计算机网络安全技术第7章Web应用安全.pptxVIP

第7章 Web应用安全 能力 CAPACITY 要求 能通过查阅相关资料，独立分析所遇到的各种Web应用安全问题，并找出合理的解决方法。 能根据实际需要正确进行Web服务器软件、Web应用程序、Web传输和Web浏览器的安全配置。 Web服务器软件的安全威胁及其防范 Web应用的体系架构及其安全威胁 Web应用程序的安全威胁及其防范 Web传输的安全威胁及其防范 Web浏览器的安全威胁及其防范 一、Web应用的体系架构及其安全威胁 Web应用安全概述 Web应用的体系架构 Web服务器软件 Web应用程序 传输网络 Web客户端 一、Web应用的体系架构及其安全威胁 Web应用的安全威胁 1 2 3 针对Web服务器软件的安全威胁：IIS等服务器软件的漏洞 针对Web应用程序的安全威胁：ASP、PHP等脚本语言的漏洞 针对传输网络的安全威胁：HTTP等明文传输协议的漏洞 4 针对浏览器和终端用户的Web浏览安全威胁：IE浏览器的漏洞等 Web服务器软件的安全威胁及其防范 Web应用的体系架构及其安全威胁 Web应用程序的安全威胁及其防范 Web传输的安全威胁及其防范 Web浏览器的安全威胁及其防范 二、Web服务器软件的安全威胁及其防范 Web服务器软件的安全 常见的Web服务软件的安全漏洞 数据驱动的远程代码执行安全漏洞 服务器功能扩展模块漏洞 源代码泄露安全漏洞 资源解析安全漏洞 Web服务器软件的安全防范措施 及时进行Web服务器软件的补丁更新 对Web服务器进行全面的漏洞扫描，并及时修复这些安全漏洞，以防范攻击者利用这些安全漏洞实施攻击 采用提升服务器安全性的一般性措施 二、Web服务器软件的安全威胁及其防范 IIS的安全 IIS安装安全 用户控制安全 访问权限控制 IIS的安全 IP地址控制 端口安全 IP转发安全 SSL安全 Web服务器软件的安全威胁及其防范 Web应用的体系架构及其安全威胁 Web应用程序的安全威胁及其防范 Web传输的安全威胁及其防范 Web浏览器的安全威胁及其防范 三、Web应用程序的安全威胁及其防范 Web应用程序的安全威胁 排名 OWASP Top 10 1 代码注入 2 不安全的身份认证和会话管理 3 跨站脚本（XSS） 4 不安全的直接对象引用 5 不安全的配置 6 敏感信息泄露 7 功能级访问控制缺失 8 跨站请求伪造（CSRF） 9 使用含有已知漏洞的组件 10 未经安全验证的重定向和转发 表7-1 OWASP团队公布的Top 10 Web应用程序安全风险（2013版） 三、Web应用程序的安全威胁及其防范 Web应用程序的安全防范措施 在满足需求的情况下，尽量使用静态页面代替动态页面。 动态Web站点尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包。 对用户输入的数据进行严格验证，对代码进行安全检测。 操作后台数据库时，尽量采用视图、存储过程等技术。 对Web应用程序的所有访问请求进行日志记录和安全审计。 三、Web应用程序的安全威胁及其防范 SQL注入攻击 SQL注入（Structured Query Language Injection）利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术。 从正常的WWW端口访问，而且表面看起来跟一般的Web页面没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 SQL注入攻击是攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 三、Web应用程序的安全威胁及其防范 SQL注入攻击的原理 SQL注入的攻击原理是向Web应用程序提供的用户输入接口（如一个动态页面的输入参数、表单的输入框，等等）输入一段精心构造的SQL查询命令，攻击和利用不完善的输入验证机制，使得注入代码得以执行完成非预期的攻击操作行为。 常见的SQL注入漏洞： 一类是由于没有对用户输入进行过滤以消除SQL语言中的字符串转义字符 另一类是由于不正确的类型处理，没有对用户输入参数进行类型约束的检查 三、Web应用程序的安全威胁及其防范 SQL注入攻击的过程 三、Web应用程序的安全威胁及其防范 SQL注入攻击的步骤（手工注入） 判断环境，寻找注入点，判断网站后台数据库类型 根据注入参数类型，在脑海中重构SQL语句的原貌，从而猜测数据库中的表名和列名 在表名和列名猜解成功后，再使用SQL语句，得出字段的值 三、Web应用程序的安全威胁及其防范 SQL注入演示实验 软件工具：明小子注入工具 三、Web应用程序的安全威胁及其防范 SQL注入攻击的防御 （1）最小权限原则，如非必要，不要使用sa、dbo