《信息安全》第5章 Web安全.pptxVIP

Web安全主讲人：****学院XXX老师

引子ApacheLog4j是一个基于Java的开源日志记录组件。ApacheLog4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。2021年11月24日，阿里云安全团队向Apache官方报告了ApacheLog4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。12月9日，工信部网络安全管理局通告，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，ApacheLog4j2组件存在严重安全漏洞。召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。据以色列网络安全解决方案提供商CheckPoint统计，在ApacheLog4j2漏洞发现早期的12月10日，黑客尝试利用该漏洞进行攻击的次数仅有几千次，但这一数据在隔天却增至4万次。而截至CheckPoint发布该报告，即漏洞爆发72小时后，仅CPR传感器捕捉到利用该漏洞尝试攻击的行为就已超过83万次。令人震惊的远不止攻击频率，攻击方式也在发生着变化：基于该漏洞的新变种也在短时间内迅速衍生，截至统计之时，攻击变种已超过60种。据比利时VRT新闻报导，比利时国防部承认他们遭受了严重的网络攻击，该攻击基于ApacheLog4j相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪，如电子邮件系统就已经停机数日。开源意为开放源代码，最大的特点在于开放，开放带来巨大便利的同时也能带来巨大的风险。log4j2漏洞的出现，给全球软件开发者、使用者敲响警钟，理应充分认识任何漏洞尤其是底层组件漏洞所隐含的巨大安全威胁，引以为戒。

本章思维导图

Web概述Part1

Web简介Web（WorldWideWeb，WWW）即全球广域网，也称为万维网，它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。

Web的工作模式

Web系统结构图

URL统一资源定位符（UniformResourceLocator，简称URL）是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL，它包含的信息指出文件的位置以及浏览器应该怎么处理它。

URL统一资源定位符的一般语法格式为：“协议”+“：//”+“主机名”+“：”+“端口号”+“目录路径”+“文件名”

URL中常用的协议类型协议名功能协议名功能http超文本文件服务gopherGopher信息查找服务https安全版的超文本文件服务newsUsenet新闻组服务ftp文件传输服务telnet远程主机连接服务file计算机本地文件服务waisWAIS服务器连接服务

知名服务端口号服务名端口号服务名端口号HTTP80SMTP25FTP20，21DNS53TELNET23POP3110

HTTP协议工作原理

Web安全威胁的类别Part2

SQL注入邮件收集针对Web服务器的安全威胁针对Web浏览器的安全威胁针对Web应用程序的安全威胁针对传输协议的安全威胁

Part3Web应用程序安全威胁

OWASPTop10排名安全风险类别常见缺陷列表1失效的访问控制将敏感信息泄漏给未经授权的参与者、通过发送的数据泄漏敏感信息、跨站请求伪造2加密机制失效使用硬编码密码、损坏或有风险的加密算法、熵不足3注入跨站点脚本、SQL注入、文件名或路径的外部控制4不安全设计生成包含敏感信息的错误消息、凭证的为保护存储、信任边界冲突、凭证保护不足5安全配置错误配置、XML外部实体引用的不当限制6自带缺陷和过时的组件使用未维护的第三方组件7身份识别和身份验证错误与不匹配的服务端进行不适当的凭证确认、不适当的认证、会话固定攻击8软件和数据完整性鼓掌包含来自不受信任控制领域的功能、不进行完整性检查的代码下载、不可信数据的反序列化9安全日志和监控故障日志记录不足、日志输出不当、安全事件信息漏报、在日志文件中包含敏感信息10服务器端请求伪造——

SQL注入SQL注入是最常见的一种注入方法。攻击者利用Web应用程序数据验证或过滤漏洞，在Web应用程序中事先定义