网络攻防原理与技术（第3版）课件：Web网站攻击技术.pptx

;;Web应用程序体系结构;Web应用体系结构潜在弱点;Web应用体系结构潜在弱点;Web应用程序功能与安全隐患的对应关系;HTTP协议是一种简单的、无状态的应用层协议（RFC1945、RFC2616）

无状态使攻击变得容易

基于ASCII码，无需弄清复杂的二进制编码机制，攻击者就可了解协议中的明文信息

互联网中存在的大量中间盒子，HTTP标准(RFC2616和RFC7320)的理解如果不一致，就有可能导致一些新的攻击发生;HTTP会话经常被劫持;HTTP会话头泄露隐私信息;中间盒子带来的HTTP安全问题;;;;;;;;;;;;;为什么需要Cookie？

解决无状态问题：保存客户服务器之间的一些状态信息

Cookie是指网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的一些数据（通常经过编码），最早由网景公司的LouMontulli在1993年3月发明的，后被采纳为RFC标准（RFC2109、RFC2965）

;Cookie的生成与维护

由服务器端生成，发送给客户端（一般是浏览器），浏览器会将Cookie的值保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用Cookie）

服务器可以利用Cookie存储信息并经常性地维护这些信息，从而判断在HTTP传输中的状态;Cookie的生成与维护

Cookie在生成时就会被指定一个Expire值，这就是Cookie的生存周期。到期自动清除

如果一台计算机上安装了多个浏览器，每个浏览器都会在各自独立的空间存放Cookie

Cookie中的内容大多数经过了编码处理;Cookie的一般格式如下：

NAME=VALUE;expires=DATE;path=PATH;

domain=DOMAIN_NAME;secure

示例

autolog=bWlrzTpteXMxy3IzdA%3D%3D;expires=Sat,01-Jan-201800:00:00GMT;path=/;domain=

;Cookie中包含了一些敏感信息，如用户名、计算机名、使用的浏览器和曾经访问的网站等，攻击者可以利用它来进行窃密和欺骗攻击

;;;OWASP;OWASP;2007VS.2004(1/2);2007VS.2004(2/2);十大安全漏洞-OWASP2007;A1.Injection：注入漏洞；

A2.BrokenAuthenticationandSessionManagement：失效的身份认证和会话管理；

A3.Cross-SiteScripting(XSS)：跨站脚本；

A4.InsecureDirectObjectReferences：不安全的直接对象引用；

A5.SecurityMisconfiguration：安全配置错误；

;A6.SensitiveDataExposure：敏感数据暴露；

A7.MissingFunctionLevelAccessControl：功能级别访问控制缺失；

A8.Cross-SiteRequestForgery(CSRF)：跨站请求伪造；

A9.UsingKnowVulnerableComponents：使用已知易受攻击的组件；

A10.UnvalidatedRedirectsandForwards未验证的重定向和转发

;;;;;一、SQL注入攻击及防范;注入漏洞;注入漏洞;SQL注入原理;SQL注入攻击流程;SQL注入示例;靶网网址为;在URL链接中加入”and1=1”后的返回结果;判断注入权限是否是sysadmin，注入语句为and1=(selectis_srvrolemember(sysadmin));下面的URL中包含的SQL语句用来增加一个名为test用户（口令也为test）。返回结果如图10-6所示。

;下面，将增加的test用户加入到管理员组。URL链接为，返回结果如图10-7所示。从图中可以看出，页面正常返回，说明添加成功。

;一般来说，只要是带有参数的动态网页且此网页访问了数据库，那么该页面就有可能存在SQL注入漏洞。如果程序员安全意识不强，没有过滤输入的一些特殊字符，则存在SQL注入的可能性就非常大。

在探测过程中，需要分析服务器返回的详细错误信息。而在默认情况下，浏览器仅显示“HTTP500服务器错误”，并不显示详细的错误信息。为此，需要调整IE浏览器的配置，即把IE菜单【工具】中【Internet选项】下的高级选项中的【显示友好HTTP错误信息】前面的勾去掉。

;在形如http://xxx.xxx.xxx/abc.asp?id=XX的带有参数的ASP动态网页中，