Web应用安全培训.pptxVIP

Web应用安全汪涛2009-10目录一 背景二 OWASP漏洞攻防 Web对象直接引用三 恶意代码执行四 注入攻击五 跨站脚本攻击六 Google Hack七Web丰富了我们的生活Web来源于World Wide Web，Web系统是Internet的重要组成部分，形形色色的Web系统正在改变着我们的生活：网上营业厅网上购物写博客竞选网上汇款交费Web小游戏工信部运营商普通用户运营商Web安全的意义作为一种新型的市场渠道，网上营业厅能够为用户提供方便快捷的服务，能够降低实体店铺的成本，因此在各大运营商市场战略中占有重要的位置。近年以来，网上营业厅的安全问题越来越受到大众的关注，主要可以划分成4个方面：网上营业厅如果被不法分子攻陷，那么可能以此为跳板进入运营商的支撑网甚至核心网络，造成大面积通讯故障。 网上到处叫卖的个人通话详单查询服务已经对老百姓的隐私造成了极大的破坏。移动集团一直就很重视客户信息保密的问题。 网上营业厅代表了企业对外的形象，每天访问用户数以万计，如果出现页面篡改、甚至网页挂马事件，对企业形象是巨大损失。 网上营业厅涉及充值交费等交易业务，容易吸引不法分子的眼球。如果利用安全漏洞造成交易欺诈，损害企业的经济利益。 Web系统逐渐成为企业安全边界之一应用层作为安全边界的一部分，或许有巨大的漏洞定制的应用程序应用层数据库历史遗留系统Web Services文件目录人力系统计费系统应用层攻击应用服务器Web服务器加固OS网络层防火墙防火墙仅仅使用网络层的防护手段 (防火墙, SSL, IDS, 加固) 无法阻止或检测到应用层攻击而Web系统的安全性参差不齐……复杂应用系统代码量大、开发人员多、难免出现疏忽；系统屡次升级、人员频繁变更，导致代码不一致；历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上；开发人员未经过安全编码培训；定制开发系统的测试程度不如标准的产品；……不同模块低耦合处理性能架构合理代码修改方便客户满意相对安全性而言，开发人员更注重系统功能！实现所有功能界面友好操作方便运行稳定开发进度与成本没有bug开发者的关注点定制开发的Web应用 = 企业安全的阿基里斯之踵 “目前，75% 的攻击发生在应用层” Gartner, 2006“2006年前9个月内新发现4,375 个漏洞. Web漏洞是其中最普遍的三类之一.” Mitre Corp, 09/2006，CVE的维护者 “产品的定制开发是应用安全中最薄弱的一环”. Gartner, 09/2005“到2009年, 80%的企业都将成为应用层攻击的受害者”. Gartner, 2007 Web攻击场景攻击动机攻击方法攻击工具黑客攻击面（attack surface）系统漏洞防范措施Web服务器Web攻击动机常见Web攻击动机恶作剧；关闭Web站点，拒绝正常服务；篡改Web网页，损害企业名誉；免费浏览收费内容；盗窃用户隐私信息，例如Email；以用户身份登录执行非法操作，从而获取暴利；以此为跳板攻击企业内网其他系统；网页挂木马，攻击访问网页的特定用户群；仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文件，要求用户汇款等；……常用的挂马exploitMS07-017 MS Windows Animated Cursor (.ANI) Remote ExploitMS07-019MS07-004 VML Remote Code ExecutionMS06-073MS06-071 XML Core Services Remote Code ExecutionMS06-068MS06-067MS06-057 WebViewFolderIcod ActiveXMS06-055MS06-014 MDAC Remote Code ExecutionMS06-013MS06-005MS06-004MS06-001Web攻击方法收集系统相关的通用信息将系统所有能访问页面，所有的资源，路径展现出来URL、口令、数据库字段、文件名都可以暴力猜解，注意利用工具；利用Web漏洞扫描器，可以尽快发现一些明显的问题错误可能泄露服务器型号版本、数据库型号、路径、代码；搜索Google，CVE, BugTraq等漏洞库是否有相关的漏洞服务器后台管理页面，路径是否可以列表等是否可以上传恶意代码？是否可以任意下载系统文件？检查所有可以输入的地方：URL、参数、Post、Cookie、Referer、 Agent、……系统是否进行了严格的校验？HTTP协议是文本协议，可利用回车换行做边界干扰用户输入是否可以影响服务器的执行？需要特殊工具才能利用这些攻击点复杂的业务逻辑中是否隐藏漏洞？常见Web攻击方法Google hack网页爬行暴力猜解Web漏洞扫描错误信息利用根据服