Web的攻击与防御.pptVIP

第七章WEB攻击与防御1

目录Web平安的兴起Web平安风险的表现为什么会产什么web平安风险常见的web平安攻击技术web平安防御技术2

Web平安的兴起在早期的互联网中，web并非主流的互联网应用，相对来说，基于SMTP、POP3、FTP、IRC等协议的用户拥有绝大多数用户，因此黑客们攻击的主要目标是网络、操作系统以及软件等领域，web平安领域的攻击预防与技术均处于非常原始的阶段。随着时代的开展，运营商和防火墙对网络的封锁使得暴漏在网络上的非web效劳越来越少，且web技术的成熟使得web应用的功能越来越强大，最终成为互联网的主流，而黑客的目光也逐渐转移到web上，随之而来的就是web平安的问题。3

Web平安的兴起在web1.0时代，人们更多的是关注效劳器端动态脚本的平安问题，比方将一个可执行脚本上传到效劳器上，从而获得权限4

Web平安的兴起伴随着，web2.0的兴起，XSS、CSRF〔跨站点请求伪造〕等攻击已经变得更为强大，web攻击的思路也从效劳器端转向了客户端，转向了浏览器和用户。“魔高一尺道高一丈”，互联网开展到今天对web平安的要求也是越来越高，越来越复杂。5

Web平安的兴起SQL注入的出现是web平安史上的一个重要里程碑，黑客们发现通过SQL注入攻击，可以获取更多的重要敏感数据，甚至能够通过数据库获取系统访问权限，这种效果并不比直接攻击系统软件差。XSS〔跨站脚本攻击〕的出现那么是web平安史上的另外一个里程碑，实际上XSS出现时和SQL注入差不多，真正引起人们重视那么是在03年以后，在经历了MySpace的XSS蠕虫事件后，XSS的重视程度提高了很多。6

Web平安的定义黑客利用网站操作系统的漏洞和Web效劳程序的SQL注入漏洞等得到Web效劳器的控制权限，轻那么篡改网页内容，重那么窃取重要内部数据，更为严重的那么是在网页中植入恶意代码，使得网站访问者受到侵害。7

什么是web平安风险呢？8

某银行网站篡改9

敏感数据泄密泄密10

企业敏感信息泄密11

“广告联盟”放置“黑链”12

钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站w13

CSDN泄密门14

百度被黑百度被黑背景：5小时无法提供任何互联网效劳漏洞：DNS效劳器被劫持影响：国内最大互联网企业也在劫难逃！15

为什么会发生Web平安风险？16

Web平安风险分析要保护Web效劳，先要了解Web系统架构，以下图是Web效劳的一般性结构图，适用于互联网上的网站，也适用于企业内网上的Web应用架构：?17

Web平安风险分析18

Web平安风险分析用户使用通用的Web浏览器，通过接入网络(网站的接入那么是互联网)连接到Web效劳器上。用户发出请求，效劳器根据请求的URL的地址连接，找到对应的网页文件，发送给用户，两者对话的“官方语言”是Http。网页文件是用文本描述的，HTML/Xml格式，在用户浏览器中有个解释器，把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。19

Web平安风险分析通常情况下，用户要访问的页面都存在Web效劳器的某个固定目录下，是一些.html或.xml文件，用户通过页面上的“超连接”(其实就是URL地址)可以在网站页面之间“跳跃”，这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息，信息发布还可以，但让用户做一些比方身份认证、投票选举之类的事情就比较麻烦，由此产生了动态网页的概念；所谓动态就是利用flash、Php、asp、Java等技术在网页中嵌入一些可运行的“小程序”，用户浏览器在解释页面时，看到这些小程序就启动运行它。20

Web平安风险分析这些“小程序”可以嵌入在页面中，也可以以文件的形式单独存放在Web效劳器的目录里，如.asp、.php、jsp文件等，并且可以在开发时指定是在用户端运行，还是在效劳器端运行；用户不再能看到这些小程序的源代码，效劳的平安性也大大提高。这样功能性的小程序越来越多，形成常用的工具包，单独管理，Web业务开发时，直接使用就可以了，这就是中间件效劳器，它实际上是Web效劳器处理能力的扩展。21

Web平安风险分析静态网页与“小程序”都是事前设计好的，一般不经常改动，但网站上很多内容需要经常的更新，如新闻、博客文章、互动游戏等，这些变动的数据放在静态的程序中显然不适合，传统的方法是数据与程序别离，采用专业的数据库。Web开发者在Web效劳器后边增加了一个数据库效劳器，这些经常变化的数据存进数据库，可以随时更新。22

Web平安风险分析