网络攻防原理与技术 第3版 教案 -第10讲 Web应用攻击技术.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第10讲Web应用攻击技术

目的要求：了解Web应用体系的脆弱性；掌握典型Web应用安全漏洞攻击方法；了解Web应用攻击的防范措施；了解Web应用防火墙的工作原理。

重点难点：SQL注入的工作原理、XSS的工作原理。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、Web应用体系结构脆弱性分析

(一)Web应用体系结构

Web以客户服务器方式工作。在用户计算机上运行的Web客户程序称为浏览器，如360安全浏览器、Firefox浏览器等。Web文档所驻留的计算机则运行服务器程序，因此这个计算机也称为万维网服务器或Web服务器，如微软IIS服务器和ApacheHTTP服务器。客户程序通过HTTP或HTTPS协议向服务器程序发出请求，服务器程序向客户程序返回客户所要的万维网文档。在一个客户程序主窗口上显示出的万维网文档称为页面(page)。页面一般用超文本标记语言HTML（HyperTextMarkLanguage）语言描述。

Web应用程序，一般使用Perl、C++、JSP、ASP、PHP、Java等一种或多种语言开发，把处理结果以页面的形式返回给客户端。Web应用的数据一般保存在数据库中。

(二)Web客户端的脆弱性

Web客户端，即浏览器，是Web应用体系中的重要一环，它负责将网站返回的页面展现给浏览器，并将用户输入的数据传输给服务器。浏览器的安全直接影响到客户端主机的安全。利用浏览器漏洞渗透目标主机已经成为主流的攻击方式。各种浏览器都被被曝出过安全漏洞，是攻击者的首选目标。

(三)Web服务器的脆弱性

Web应用程序在Web服务器上运行。Web服务器的安全直接影响到服务器主机和Web应用程序的安全。流行的IIS服务器、Apache服务器、Tomcat服务器均被曝出过很多严重的安全漏洞。攻击者通过这些漏洞，不仅可以对目标主机发起拒绝服务攻击，严重的还能获得目标系统的管理员权限、数据库访问权限，从而窃取大量有用信息。

（四）Web应用程序的脆弱性

Web应用程序是用户编写的网络应用程序，同样可能存在着安全漏洞。网站攻击事件中有很大一部分是由于Web应用程序的安全漏洞而引起的。

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员越来越多。但是很多程序员在编写代码的时候，并没有考虑安全因素，因此开发出来的应用程序存在安全隐患。此外，Web应用编程语言的种类多、灵活性高，一般程序员不易深入理解及正确利用，导致使用这些语言编写程序时不够规范，留下了安全漏洞。

HTTP协议的脆弱性

HTTP协议是一种简单、无状态的应用层协议（RFC1945、RFC2616）。虽然无状态性使得HTTP协议简单高效，但是HTTP协议的无状态性也会被攻击者利用。攻击者不需要计划多个阶段的攻击来模拟一个会话保持机制，这使得攻击变得简单易行：一个简单的HTTP请求就能够攻击Web服务器或应用程序。

由于HTTP协议是基于ASCII码的协议，不需要弄清复杂的二进制编码机制，攻击者可以了解HTTP协议中传输的所有明文信息。此外，绝大多数HTTP协议运行在众所周知的80端口上，这一点也可被攻击者利用，因为很多防火墙或其他安全设备被配置成允许80端口的内容通过，攻击者可以利用这一点渗透到内网中。

互联网中存在大量中间盒子，如CDN、防火墙、透明缓存（TransparentCache）等，这些中间盒子、Web服务器等对RFC的HTTP协议标准的理解如果不一致，就有可能导致一些新的攻击发生。

为了克服HTTP协议的上述缺陷，现在大多数Web应用程序使用安全的HTTP协议，即HTTPS协议。因为中间盒子的存在，近年来HTTPS协议也被曝存在可被攻击者利用的安全问题。

(六)Cookie的脆弱性

Cookie是指网站为了辨别用户身份、进行会话跟踪而储存在用户本地的一些数据，最早由网景公司的LouMontulli在1993年3月提出，后被采纳为RFC标准。

Cookie一般由服务器端生成，发送给客户端（一般是浏览器），浏览器会将Cookie的值保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用Cookie）。服务器可以利用Cookie存储信息并维护这些信息，从而判断HTTP传输中的状态。

Cookie中的内容大多数经过了编码处理，因此在我们看来只是一些毫无意义的字母数字组合，一般只有服务器的CGI处理程序才知道它们的含义。由于Cookie中包含了一些敏感信息，如用户名、计算机名、使用的浏览器和曾经访问的网站等，攻击者可以