CISP-12-Web与数据库安全管理-Web 戴忠华信息安全培训 .docxVIP

Web与数据库安全管理

中国信息安全测评中心

目录

一．Web应用安全基础 二．数据库安全

1. Web应用介绍2. HTTP协议

3. Web应用主要安全威胁

1.数据库相关介绍2.数据库安全标准

3. 数据库面临哪些安全威胁

4. 如何保护数据库安全

目录

1.web应用介绍2.HTTP协议

3.Web应用主要安全威胁

什么是web应用程序

AwebapplicationorwebserviceisasoftwareapplicationthatisaccessibleusingawebbrowserorHTTP(s)useragent.

Web应用程序或web服务是一个通过浏览器或HTTPagent来访问的软件程序

Web应用程序

典型web应用

?电子商务?网上银行?网上商户?网上支付

?电子政务

?信息门户，办公OA，政府采购，电子公文，网上审批，决策支持，协同办公，十二金

典型Web应用系统架构

防火墙

HTTP请求（明文或

SSL） Web应用

WebWebWeb应用客户端服务器Web应用

Web应用

SQL数据库

数据库

数据库

HTTP响应（HTML、JavaScript，VBScript等）

?Apache 插件： 数据库连接：?IIS ?Perl ?ADO,?Netscape ?C/C++ ?ODBC等

等 ?JSP等

Web应用组成

?客户端?浏览器

?HTTPagent?HTTP协议?Web服务器?中间件服务器?数据库服务器?HTML?Javascript

?浏览器扩展（activex）

目录

1.web应用介绍2.HTTP协议

3.Web应用主要安全威胁

HTTP协议

目录

1.web应用介绍2.HTTP协议

3.Web应用主要安全威胁

web应用安全威胁

神话：“我们的网站是安全的”

?“我们使用了网络扫描工具”

?网络扫描工具不懂应用，不能彻底提高web应用安全性

?“我们已经使用了防火墙”

?为了保证正常访问，80和443商品始终要开放

?“我们使用了SSL加密数据”

?仅仅保护了交互数据，并没有保护web应用本身?“我们每个季度都进行渗透测试”

?应用在不断的变更之中

web应用安全在哪？(WASC)

OWASPtop10十大安全威胁

1. 跨站脚本攻击(XSS)2. 注入缺陷

a)SQL注入,XPATH注入…3. 恶意文件执行(远程文件包含)

4. 不安全的直接对象引用(Parametertampering)5. 跨站请求伪造(CSRF)

6. 信息泄露和错误处理不当7. 身份验证和会话管理缺陷8. 不安全的加密存储

9.通信安全10.验证绕过

跨站脚本攻击

?“XSSflawsoccurwheneveranapplicationtakesusersupplieddataandsendsittoawebbrowserwithoutfirstvalidatingorencodingthatcontent.XSSallowsattackerstoexecutescriptinthevictimsbrowserwhichcanhijackusersessions,defacewebsites,possiblyintroduceworms,etc.”

?Web应用把用户输入的未经过滤或编码的数据直接发送给浏览器。XSS会导致攻击者在受害者的浏览器中执行脚本程序，这些脚本程序可以劫持用户的会话、修改网页甚至传播蠕虫。

?JavaScript,VBScript,ActiveX,HTML,orFlash都可以注入到存在漏洞的web应用

?网页挂马?钓鱼攻击

XSS攻击

XSS攻击

XSS的危害

?从你下在浏览的域中偷到你的信息?完全修改你看到的页面内容?从现在开始，跟踪你在浏览器中的每一个动作?把你重定向到一个恶意站点?利用浏览器的漏洞控制你的机器

阻止XSS攻击

?显示用户输入的数据时进行转义?转义成无害的html字符

?scri