web开发安全技术培训教程_XXXX0809 .pptxVIP

Web开发安全技术 培训教程 ;;为什么要重视WEB的安全漏洞;;;Web攻击动机;;;HTTP域变量的说明;开发者的关注点;WEB安全的漏洞报告平台和开源合作组织;Web攻击漏洞：安全漏洞库;目录;Web代码常见的安全问题有哪些（一）;Web代码常见的安全问题有哪些（二）;输入输出验证原则;目录; SQL注入(SQL Injection);SQL 注入：数字参数(一);程序员未预料到的结果…… Username: admin OR 1=1 -- Password: 1 SELECT COUNT(*) FROM Users WHERE username=admin OR 1=1 -- and password=1;SQL 注入：数字参数（三）;SQL注入：规避SQL注入;SQL注入：安全编码;SQL注入： PreparedStatement;SQL注入：数据库加固;;跨站脚本漏洞(XSS) ;;持久XSS攻击实验(一);持久XSS攻击实验;;反射XSS攻击实验(一);反射XSS攻击实验(二);XSS包括两种类型： 持久式XSS：恶意代码持久保存在服务器上。即Persistent。 反射式XSS：恶意代码不保留在服务器上，而是通过其他形式实时通过服务器反射给普通用户。 XSS漏洞可利用的标志就是“Hello!”，一旦示意代码可以在用户的浏览器中执行，其后可实现的攻击行为与来源是持久还是反射无关。可以利用XSS发起CSRF攻击或盗取用户身份。 ;XSS漏洞：sina weibo xss蠕虫;统一输入处理并不能完全考虑到输出语境的不同，例如有时会输出为文本文件，经过html编码的语句在文本文件中会出现乱码； 而且可能存在其他来源的数据，例如其他接口系统，历史残留数据等，无法通过输入处理解决。;;XSS漏洞：转义;;目录; 跨站请求伪造(cross-site request forgery)通常缩写为XSRF。 攻击流程 XSRF攻击流程如上图所示，从上图可以看出，要完成一次XSRF攻击，比较关键的三个问题：1) 会话状态[A]的保持，即用户已经获取了易受攻击网站A的信任授权。2) 用户在依然保持没有登出易受攻击网站A的情况下，访问了“第三方网站”。3) 提交的“操作”数据包是可以预知的。; 风险 可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务? 原因分析 应用程序使用的认证方法不充分 典型攻击方式 在页面中加入一个img标签，浏览器就会发送一个请求，以获取其src属性引用的值。 攻击者将敏感操作的URI作为src 继承Cookie，以浏览者的身份作敏感访问并操作 危害：在用户无意识情况下进行危险操作 ;CSRF：案例1;CSRF：案例2;解决方案 检查 HTTP 头部 Refer 信息 Server端在收到请求之后，可以去检查这个头信息，只接受来自本域的请求而忽略外部域的请求 使用一次性令牌 每个请求都带上一个由服务器生成的随机参数。然后在服务器端核对该参数，如果和下发的随机数不同，则可以认为有人在伪造请求。因为攻击者无法知道他本次攻击的http请求需要带什么样的随机数才是有效的。 使用验证图片 图片验证信息很难被恶意程序在客户端识别，因此能够提高更强的保护 判断HTTP请求类型 采用request.getMethod()判断请求的方式是否POST 直接获取数据 对request再次封装,直接获取form的数据不接收URL的 ，request.getForm(“user”);XSS：恶意脚本通过服务器回显到用户浏览器中执行。 CSRF：（可能是恶意脚本，也可能是恶意的HTML标签；可能经过服务器的回显，也可能完全不经过）使得浏览器发起了攻击性的请求。;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 1:反射XSS偷窃Cookie;XSS Case 2:持久XSS CSRF;XSS Case 2:持久XSS CSRF;学员练习 3Min;XSS Case 2:代码分析;XSS Case 2:代码分析;XSS Case 2:代码