网站安全检测和防护培训课件(PPT 42页).ppt

* 解决方案 [7]避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。 [8]确认PHP配置文件中的Magic_quotes_gpc选项保持开启。 [9]在部署你的应用前，始终要做安全审评(security review)。建立一个正式的安全过程(formal security process)，在每次你做更新时，对所有的编码做审评。后面一点特别重要。不论是发布部署应用还是更新应用，请始终坚持做安全审评。 [10]千万别把敏感性数据在数据库里以明文存放。 [11]使用第三方WEB防火墙来加固整个网站系统。 * 链接注入 链接注入是将某个URL嵌入到被攻击的网站上，进而修改站点页面。被嵌入的URL包含恶意代码，可能窃取正常用户的用户名、密码，也可能窃取或操纵认证会话，以合法用户的身份执行相关操作。 主要危害： [1]获取其他用户Cookie中的敏感数据。 [2]屏蔽页面特定信息。 [3]伪造页面信息。 [4]拒绝服务攻击。 [5]突破外网内网不同安全设置。 * 解决方案 过滤客户端提交的危险字符，客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等，其中危险字符如下： |、 &、 ;、 $ 、%、@、‘、“、<>、 ()、 +、CR、 LF、 ,、.、 script、document、 eval * 跨站脚本 跨站点脚本（XSS）是针对其他用户的重量级攻击。 如果一个应用程序使用动态页面向用户显示错误消息，就会造成一种常见的XSS漏洞。 三部曲： 1.HTML注入。 2.做坏事。 3.诱捕受害者。 * 跨站脚本 举个例子说明原理： 如攻击者可在目标服务器的留言本中加入如下代码：<script>function()</script>则存在跨站脚本漏洞的网站就会执行攻击者的function()。 * 跨站脚本 [1]获取其他用户Cookie中的敏感数据。 [2]屏蔽页面特定信息。 [3]伪造页面信息。 [4]拒绝服务攻击。 [5]突破外网内网不同安全设置。 [6]与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等。 * “微博病毒”攻击事件 2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”等等微博和私信，并自动关注一位名为hellosamy的用户。 * 解决方案 开发语言的建议_严格控制输入： Asp：request Aspx：Request.QueryString、FormCookies、SeverVaiables等 Php：$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等 Jsp：request.getParameter、request.getCookies 等 严格限制提交的数据长度、类型、字符集。 * 解决方案 开发语言的建议_严格控制输出： HtmlEncode：对一段指定的字符串应用HTML编码。 UrlEncode：对一段指定的字符串URL编码。 XmlEncode：将在XML中使用的输入字符串编码。 XmlAttributeEncode：将在XML属性中使用的输入字符串编码 escape：函数可对字符串进行编码 decodeURIComponent：返回统一资源标识符的一个已编码组件的非编码形式。 encodeURI：将文本字符串编码为一个有效的统一资源标识符 (URI)。 * 网站安全检测和防护 国家统计局数管中心 安全管理处 2015年7月16日 * 目录 * 目录 * 网站安全形势 境外反共黑客组织自2012年4月起开始攻击我政府网站，截止至今年4月7日，我国境内已有428个政府网站被篡改攻击。 （一）从攻击对象上看 政府部门和教育院校的网站是其主要的攻击对象，共有361个，约占被攻击网站总数的84.3%，其中政府部门网站244个，约占总数的57%，教育院校类网站117个，占总数的27.3%。 * 网站安全形势 （二）从被攻击网站的行政层看 中央部委和直属单位、省级政府部门网站有69个，约占总数的16.2%；地市级政府部门网站有72个，约占总数的16.8%；区县级政府部门网站和企事业单位网站共有287个，约占总数的67%。 （三）从被攻击网站的地域范围看 地域较分散，涉及全国27个地区，北京、广东、广西、浙江、江苏5个地区共有213个，约占总数的50%。 * 网站安全形势 （四）攻击方式和手段看 黑客反侦察意识较强，主要利用肉鸡、跳板被隐