京东 魏嵩尧 网络信息安全测试浅谈 课件.ppt

网络信息安全测试 分享者： 魏嵩尧 ? 网络信息安全面临的形势 ? 应用层安全漏洞 1 、 web 应用安全现状 2 、 web 漏洞的利用 * 3 、 web 面临的危害 4 、构建安全的 web 应用 ? 网络层安全漏洞 1 、网络层安全意识 ? 系统层安全漏洞 1 、系统漏洞检测策略 主要内容 信息安全面临的形势 信息安全： 指信息系统的 硬件 、 软件 及其系统中的 数据 受到保护， 不因偶然的或者恶意的原因而遭受到破坏、更改、泄露， 系统连续可靠正常地运行，网络服务不中断。 从广义上讲，凡是涉及到信息系统上信息的 保密性 、 完整性 、 可用性 、 真实性 和 可控性 的相关技术和理论都 是信息安全的研究领域。 注：信息安全的具体含义会随着 “角度” 的变化而 变化 信息安全面临的形势 从不同的角度 定义信息安全： 信息 安全 网络用户 （个人、企业） 网络运营和管理者 社会教育 个人隐私、 商业利益受 保护 本地网络资 源受保护和 控制 过滤和拦截 有害信息 对不健康内 容进行控制 安全保密部门 信息安全面临的形势 电商 业务 本地化 部门 习惯 信息安全面临的形势 ? 形形色色的网络攻击、病毒、干扰、破坏和犯罪活动增 加； ? 木马间谍软件成为主要窃密方式 呈快速增长趋势 ； 2019 年 2 月，美国纳斯达克一套客户服务系统遭受攻击，约 300 家 企业战略信息可能被窃； 2019 年 3 月， RSA 遭受 APT 攻击，与其 SecurID 双因素认证产品有关 的信息可能被盗； 2019 年 4 月，韩国农协银行遭受黑客攻击，其电脑网络瘫痪了三 天。 540 多万信用卡交易记录被删； 2019 年 5 月，花旗银行 21 万份银行卡客户信息被黑客非法查看； 2019 年 5 月，国际货币基金组织被黑客窃取部分内部电子邮件和 文档； 2019 年 6 月，全球市值最高的交易所——香港交易及结算所有限 公司 ( 港交所）遭受攻击，当天暂停多家公司股票交易。 携程数据泄露 遍历的信息包括用户的： 持卡人姓名 持卡人身份证 所持银行卡类别（比如，招商银行信用卡、中国银 行信用卡） 所持银行卡卡号 所持银行卡 CVV 码 所持银行卡 6 位 Bin( 用于验证支付信息的 6 位数字 ) Struts DDOS 攻击 HTTPS OPEN SSL web 漏洞的危害 ? Q ：为什么会有安全问题？ ? A ：因为有黑客 ? 刷广告、刷流量 ? 网页木马（中病毒、帐号 被盗、被控制成为肉鸡） ? 盗取财产（ Q 币、网银等） ? 商业间谍（窃取政府、军 方、企业敏感资料） web 漏洞的危害 ? 黑客的目标 : ? 个人网站 ? 企业网站 （互联网公司最危险） ? 政府网站 ? 个人计算机 （敏感资料、肉鸡） 黑客可以利用漏洞做什么 ? 控制服务器（看一个演 示） ? 入侵内网 / 子网 ? 替换主页 ? 挂马 ? 获取用户 Cookie ? 以用户身份登录 Web ? 钓鱼 ? …… 所以…… ? 我们要了解安全风险 ? 因为…… SQL 注入漏洞 ? 下面看一个 SQL 注入攻击的实例 网站地址： swit/cms/shipin/ SQL 注入漏洞 ? 放入 SQL 注入漏洞 查询语： ? union select 1,2,3,username,password,6,7,8,9,10,11,12 from nwebadminunion select 1,2,3,username,password,6,7,8,9,10,11,12,13 from nwebadmin ? 嵌入进网站 swit/cms/shipin/NewsView.asp?id=63 union select 1,2,3,username,password,6,7,8,9,10,11,12 from nwebadmin SQL 注入漏洞 后台地址：