第8章Web站點的安全

1、123lWeb網(wǎng)絡(luò)安全的概念、機(jī)制和特點網(wǎng)絡(luò)安全的概念、機(jī)制和特點 lWeb站點的安全隱患站點的安全隱患 l網(wǎng)絡(luò)安全的一些安全漏洞及測試網(wǎng)絡(luò)安全的一些安全漏洞及測試 l有利于有利于Web站點安全的技術(shù)實現(xiàn)站點安全的技術(shù)實現(xiàn) l防火墻在防火墻在Web站點安全中的應(yīng)用站點安全中的應(yīng)用 4l了解了解Web網(wǎng)絡(luò)安全的概念、機(jī)制和特點網(wǎng)絡(luò)安全的概念、機(jī)制和特點 l認(rèn)識認(rèn)識Web站點的安全隱患站點的安全隱患l掌握網(wǎng)絡(luò)安全的一些安全漏洞及測試掌握網(wǎng)絡(luò)安全的一些安全漏洞及測試 l描述有利于描述有利于Web站點安全的技術(shù)實現(xiàn)站點安全的技術(shù)實現(xiàn) l了解防火墻在了解防火墻在Web站點安全中的應(yīng)用站點安全中的應(yīng)用 5

2、l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet Internet 提供的服務(wù)可歸納提供的服務(wù)可歸納9項項 ： 1. 遠(yuǎn)程登錄服務(wù)遠(yuǎn)程登錄服務(wù) 遠(yuǎn)程登錄是遠(yuǎn)程登錄是Internet最早提供的基本服務(wù)功能之一。最早提供的基本服務(wù)功能之一。Internet中的用戶遠(yuǎn)程登錄使用了中的用戶遠(yuǎn)程登錄使用了Telnet命令，命令，Telnet協(xié)議是協(xié)議是TCP/IP協(xié)議的一部分，它詳細(xì)定義了客戶機(jī)協(xié)議的一部分，它詳細(xì)定義了客戶機(jī)與遠(yuǎn)程服務(wù)器之間的交互過程。它的主要優(yōu)點是能與遠(yuǎn)程服務(wù)器之間的交互過程。它的主要優(yōu)點是能夠解決不同類型的計算機(jī)系統(tǒng)之間的互操作問題。夠解決不同類型的計算機(jī)系統(tǒng)之間的互操作問題。 6l國際

3、互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet Telnet采用了客戶機(jī)采用了客戶機(jī)/服務(wù)器模式，其結(jié)構(gòu)如圖所示：服務(wù)器模式，其結(jié)構(gòu)如圖所示：7l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet 2. 文件傳送服務(wù)文件傳送服務(wù)FTP FTP服務(wù)由服務(wù)由TCP/IP的文件傳輸協(xié)議支持。只要加入的文件傳輸協(xié)議支持。只要加入Internet網(wǎng)的兩臺計算機(jī)都支持網(wǎng)的兩臺計算機(jī)都支持TCP/IP協(xié)議，無論它協(xié)議，無論它們相距多遠(yuǎn)，用戶都能將一臺計算機(jī)上的文件傳輸們相距多遠(yuǎn)，用戶都能將一臺計算機(jī)上的文件傳輸?shù)搅硪慌_計算機(jī)上。到另一臺計算機(jī)上。 8l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet FTP在本地和遠(yuǎn)程文件系統(tǒng)之間傳輸

4、文件的過程如在本地和遠(yuǎn)程文件系統(tǒng)之間傳輸文件的過程如圖所示：圖所示：9l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet 3. 電子郵政服務(wù)電子郵政服務(wù) 電子郵政簡稱為電子郵政簡稱為E-mail，是一種通過計算機(jī)網(wǎng)絡(luò)與，是一種通過計算機(jī)網(wǎng)絡(luò)與其他用戶進(jìn)行通信的現(xiàn)代化手段。用戶必須向提供其他用戶進(jìn)行通信的現(xiàn)代化手段。用戶必須向提供電子郵政服務(wù)的機(jī)構(gòu)提出申請，該機(jī)構(gòu)在其與電子郵政服務(wù)的機(jī)構(gòu)提出申請，該機(jī)構(gòu)在其與Internet聯(lián)網(wǎng)的計算機(jī)上為用戶建立一個電子郵箱，聯(lián)網(wǎng)的計算機(jī)上為用戶建立一個電子郵箱，分配一個分配一個E-mail地址。地址。 10l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet 4.名址服務(wù)名址

5、服務(wù) 名址服務(wù)器可以向用戶提供對用戶名址，計算機(jī)名名址服務(wù)器可以向用戶提供對用戶名址，計算機(jī)名址和址和E-mail地址的查詢服務(wù)。地址的查詢服務(wù)。 5. 文檔查詢服務(wù)文檔查詢服務(wù) Internet中有一種被稱為文檔查詢服務(wù)器（中有一種被稱為文檔查詢服務(wù)器（Archie server）的計算機(jī)，用戶只要向這種服務(wù)器提供希望）的計算機(jī)，用戶只要向這種服務(wù)器提供希望查找的文件的文件名或文件描述說明中包含的字符查找的文件的文件名或文件描述說明中包含的字符串，文檔查詢服務(wù)器就能查找到存放著所需文件的串，文檔查詢服務(wù)器就能查找到存放著所需文件的FTP服務(wù)器。服務(wù)器。 11l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Inte

6、rnet 6. 網(wǎng)絡(luò)新聞服務(wù)網(wǎng)絡(luò)新聞服務(wù) 網(wǎng)絡(luò)新聞（網(wǎng)絡(luò)新聞（Network News）是由一些）是由一些Internet用戶為用戶為了討論共同感興趣的問題而組成的一種邏輯上的用了討論共同感興趣的問題而組成的一種邏輯上的用戶交流網(wǎng)絡(luò)。用戶可以通過戶交流網(wǎng)絡(luò)。用戶可以通過Internet隨時閱讀服務(wù)器隨時閱讀服務(wù)器提供的消息，并能把自己的觀點提供給服務(wù)器，作提供的消息，并能把自己的觀點提供給服務(wù)器，作為消息在組內(nèi)發(fā)布。為消息在組內(nèi)發(fā)布。 7. Gopher 服務(wù)服務(wù) Gopher是基于菜單驅(qū)動的是基于菜單驅(qū)動的Internet信息查詢工具，它信息查詢工具，它能將用戶的請求自動轉(zhuǎn)換為能將用戶的請求

7、自動轉(zhuǎn)換為FTP 或或Telnet命令。命令。 12l國際互聯(lián)網(wǎng)絡(luò)國際互聯(lián)網(wǎng)絡(luò)Internet 8. WAIS服務(wù)服務(wù) 廣域信息服務(wù)（廣域信息服務(wù)（Wide Area Information Service）基）基于文件內(nèi)容（關(guān)鍵字）于文件內(nèi)容（關(guān)鍵字） 的自動搜索服務(wù)，通常被圖的自動搜索服務(wù)，通常被圖書管理員、醫(yī)學(xué)研究員等一些專業(yè)人士使用。書管理員、醫(yī)學(xué)研究員等一些專業(yè)人士使用。 9. www服務(wù)服務(wù) 13lWorld Wide Web簡介簡介 1. Web的產(chǎn)生和發(fā)展的產(chǎn)生和發(fā)展 World Wide Web 簡寫為簡寫為WWW或或Web,是是Tim Berners-Lee在在CERN發(fā)明

8、的。發(fā)明的。 Web實際上是世界范實際上是世界范圍內(nèi)相互聯(lián)系的文件的大集合。圍內(nèi)相互聯(lián)系的文件的大集合。14lWorld Wide Web簡介簡介 2. Web的工作原理的工作原理 1）客戶機(jī)）客戶機(jī)/服務(wù)器模式服務(wù)器模式 所有的所有的C/S系統(tǒng)都可以分為系統(tǒng)都可以分為3部分：客戶機(jī)、中間件部分：客戶機(jī)、中間件和服務(wù)器。和服務(wù)器。 客戶機(jī)涉及軟件的用戶前端部分，常常使用圖形用客戶機(jī)涉及軟件的用戶前端部分，常常使用圖形用戶界面。中間件位于客戶機(jī)與服務(wù)器中間，通常對戶界面。中間件位于客戶機(jī)與服務(wù)器中間，通常對用戶是透明的。服務(wù)器通常是作為核心的程序或機(jī)用戶是透明的。服務(wù)器通常是作為核心的程序或機(jī)器

9、，提供對客戶機(jī)的服務(wù)。器，提供對客戶機(jī)的服務(wù)。 15lWorld Wide Web簡介簡介 2）超文本模式）超文本模式 Web在在Internet上基于超文本置標(biāo)語言上基于超文本置標(biāo)語言(HTML)、 超超 文本傳輸協(xié)議（文本傳輸協(xié)議（HTTP）和統(tǒng)一資源定位器（）和統(tǒng)一資源定位器（URL)。 超文本可以簡單定義為收集、存儲和瀏覽離散信息，超文本可以簡單定義為收集、存儲和瀏覽離散信息， 以及建立和表示信息之間關(guān)系的技術(shù)。以及建立和表示信息之間關(guān)系的技術(shù)。 超文本賦予了超文本賦予了Web一種強(qiáng)有力的功能，使得用戶以一種強(qiáng)有力的功能，使得用戶以同一種方式來訪問所有的同一種方式來訪問所有的Inter

10、net資源。資源。 16lWorld Wide Web簡介簡介 3）HTML語言語言 Web信息服務(wù)系統(tǒng)使用的超文本是用信息服務(wù)系統(tǒng)使用的超文本是用HTML語言編語言編寫的。當(dāng)用戶使用寫的。當(dāng)用戶使用Web服務(wù)客戶瀏覽程序通過服務(wù)客戶瀏覽程序通過Internet閱讀這些超文本時，客戶瀏覽程序負(fù)責(zé)解釋閱讀這些超文本時，客戶瀏覽程序負(fù)責(zé)解釋文本中嵌入的文本中嵌入的HTML，并按照，并按照HTML命令將文本中命令將文本中的信息顯示給用戶。的信息顯示給用戶。 17lWorld Wide Web簡介簡介 4）超文本傳輸通信協(xié)議）超文本傳輸通信協(xié)議HTTP HTTP協(xié)議是一種很簡單的通信協(xié)議，其實現(xiàn)基礎(chǔ)是

11、協(xié)議是一種很簡單的通信協(xié)議，其實現(xiàn)基礎(chǔ)是通過網(wǎng)絡(luò)查詢的文件包含著可以實現(xiàn)進(jìn)一步查詢的通過網(wǎng)絡(luò)查詢的文件包含著可以實現(xiàn)進(jìn)一步查詢的鏈接。鏈接。 HTTP定義瀏覽器和服務(wù)器如何通信并傳遞信息。定義瀏覽器和服務(wù)器如何通信并傳遞信息。 18lWorld Wide Web簡介簡介 5）SQL語言語言 SQL是高級的非過程化編程語言，允許用戶在高層是高級的非過程化編程語言，允許用戶在高層數(shù)據(jù)結(jié)構(gòu)上工作。具有不同底層結(jié)構(gòu)的不同數(shù)據(jù)庫數(shù)據(jù)結(jié)構(gòu)上工作。具有不同底層結(jié)構(gòu)的不同數(shù)據(jù)庫系統(tǒng)可以使用相同的系統(tǒng)可以使用相同的SQL語言作為數(shù)據(jù)輸入與管理語言作為數(shù)據(jù)輸入與管理的接口。的接口。 SQL語言包含語言包含4個部分

12、：數(shù)據(jù)定義語言個部分：數(shù)據(jù)定義語言 、數(shù)據(jù)操作語、數(shù)據(jù)操作語言、數(shù)據(jù)查詢語言言、數(shù)據(jù)查詢語言 、數(shù)據(jù)控制語言、數(shù)據(jù)控制語言 。 19lWorld Wide Web簡介簡介 6）統(tǒng)一資源定位器）統(tǒng)一資源定位器URL URL是一種統(tǒng)一格式的是一種統(tǒng)一格式的Internet信息資源地址表達(dá)方信息資源地址表達(dá)方法，它將法，它將Internet提供的各類服務(wù)統(tǒng)提供的各類服務(wù)統(tǒng)編址，以便用編址，以便用戶通過戶通過Web客戶程序進(jìn)行查詢?？蛻舫绦蜻M(jìn)行查詢。 20lWorld Wide Web簡介簡介 7）Web瀏覽器瀏覽器 Web瀏覽器是一種功能強(qiáng)大的用于在Web上閱讀文件的工具，常見的功能如表所示：21l

13、Web的特點的特點 1）Web是圖形化的和易于導(dǎo)航的是圖形化的和易于導(dǎo)航的 Web具有將圖形、音頻、視頻信息集合于一體的特具有將圖形、音頻、視頻信息集合于一體的特性。同時，性。同時，Web是非常易于導(dǎo)航的，只需要從一個是非常易于導(dǎo)航的，只需要從一個鏈接跳到另一個鏈接，就可以在各頁各站點之間進(jìn)鏈接跳到另一個鏈接，就可以在各頁各站點之間進(jìn)行瀏覽了。行瀏覽了。 2）Web與平臺無關(guān)與平臺無關(guān) 瀏覽瀏覽WWW對用戶系統(tǒng)平臺沒有什么限制。對用戶系統(tǒng)平臺沒有什么限制。 22lWeb的特點的特點 3）Web是分布式的是分布式的 Web能使物理上并不一定在一個站點的信息在邏輯能使物理上并不一定在一個站點的信息

14、在邏輯上一體化。上一體化。 4）Web是動態(tài)的是動態(tài)的 信息的提供者可以經(jīng)常對站上的信息進(jìn)行更新。信息的提供者可以經(jīng)常對站上的信息進(jìn)行更新。 5）Web是交互的是交互的 Web的交互性表現(xiàn)在它的超連接上；此外，用戶可的交互性表現(xiàn)在它的超連接上；此外，用戶可通過填寫通過填寫FORM向服務(wù)器提交請求，服務(wù)器根據(jù)用向服務(wù)器提交請求，服務(wù)器根據(jù)用戶的請求返回相應(yīng)信息。戶的請求返回相應(yīng)信息。23l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 1. Cookie毒害毒害 網(wǎng)站常常將一些包括用戶網(wǎng)站常常將一些包括用戶 ID、口令、賬號等的、口令、賬號等的Cookie存儲到用戶系統(tǒng)上。通過改變這些值，惡意存儲到

15、用戶系統(tǒng)上。通過改變這些值，惡意的用戶就可以訪問不屬于他們的賬號。的用戶就可以訪問不屬于他們的賬號。 2. 強(qiáng)行瀏覽強(qiáng)行瀏覽 黑客通過改變程序流程，能夠強(qiáng)行訪問一些正常情黑客通過改變程序流程，能夠強(qiáng)行訪問一些正常情況下無法獲得的信息和程序，例如日志文件、管理況下無法獲得的信息和程序，例如日志文件、管理工具以及工具以及Web應(yīng)用程序的源代碼。應(yīng)用程序的源代碼。 24l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 3跨站腳本執(zhí)行跨站腳本執(zhí)行 跨站腳本執(zhí)行漏洞的成因是因為跨站腳本執(zhí)行漏洞的成因是因為CGI程序沒有對用程序沒有對用戶提交的變量中的戶提交的變量中的HTML代碼進(jìn)行過濾或轉(zhuǎn)換。代碼進(jìn)行過濾或

16、轉(zhuǎn)換。 導(dǎo)致的威脅包括獲取其他用戶導(dǎo)致的威脅包括獲取其他用戶Cookie中的敏感數(shù)據(jù)、中的敏感數(shù)據(jù)、屏蔽頁面特定信息、偽造頁面信息、拒絕服務(wù)攻擊、屏蔽頁面特定信息、偽造頁面信息、拒絕服務(wù)攻擊、突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置、與其它漏洞結(jié)合、修突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置、與其它漏洞結(jié)合、修改系統(tǒng)設(shè)置、查看系統(tǒng)文件和執(zhí)行系統(tǒng)命令等。改系統(tǒng)設(shè)置、查看系統(tǒng)文件和執(zhí)行系統(tǒng)命令等。 25l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 4. 參數(shù)篡改參數(shù)篡改 參數(shù)篡改包括操縱參數(shù)篡改包括操縱URL字符串來檢索用戶用正常方字符串來檢索用戶用正常方式得不到的信息。導(dǎo)致該漏洞的主要原因是式得不到的信息。導(dǎo)致該漏洞的主要原因

17、是Web應(yīng)應(yīng)用程序沒有對客戶端提交的參數(shù)進(jìn)行嚴(yán)格的檢驗。用程序沒有對客戶端提交的參數(shù)進(jìn)行嚴(yán)格的檢驗。 5. 輸入信息控制輸入信息控制 輸入信息控制包括通過控制由輸入信息控制包括通過控制由 CGI 腳本處理的腳本處理的 HTML 格式中的輸入信息來運行系統(tǒng)命令。能將服格式中的輸入信息來運行系統(tǒng)命令。能將服務(wù)器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上務(wù)器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上的所有文件。的所有文件。 26l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 6. 緩沖區(qū)溢出緩沖區(qū)溢出 緩沖區(qū)溢出是指當(dāng)計算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)緩沖區(qū)溢出是指當(dāng)計算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過了緩沖

18、區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋據(jù)位數(shù)超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。在合法數(shù)據(jù)上。 如果相關(guān)數(shù)據(jù)里包含了惡意代碼，那么溢出的惡意如果相關(guān)數(shù)據(jù)里包含了惡意代碼，那么溢出的惡意代碼就會改寫應(yīng)用程序返回的指令，使其指向包含代碼就會改寫應(yīng)用程序返回的指令，使其指向包含惡意代碼的地址，使其被惡意代碼的地址，使其被 CPU 編譯而執(zhí)行。編譯而執(zhí)行。 27l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 7. 調(diào)試選項及后門調(diào)試選項及后門 程序開發(fā)人員常常建立一些后門，并依靠調(diào)試選項程序開發(fā)人員常常建立一些后門，并依靠調(diào)試選項來排除應(yīng)用程序的故障，這些安全漏洞經(jīng)常被留在來排除應(yīng)用程序的故障，這

19、些安全漏洞經(jīng)常被留在一些放在一些放在Internet上的最終應(yīng)用中。上的最終應(yīng)用中。 一些常見的后門使攻擊者不用口令就可以登錄或者訪一些常見的后門使攻擊者不用口令就可以登錄或者訪問允許直接進(jìn)行應(yīng)用配置的特殊問允許直接進(jìn)行應(yīng)用配置的特殊URL。 28l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 8. 不安全的配置不安全的配置 許多操作系統(tǒng)和應(yīng)用程序的缺省配置是非常不安全許多操作系統(tǒng)和應(yīng)用程序的缺省配置是非常不安全的。這些缺省配置有：開放了大量不必要的服務(wù)、的。這些缺省配置有：開放了大量不必要的服務(wù)、安裝某些不安全的第三方軟件、使用缺省口令、缺安裝某些不安全的第三方軟件、使用缺省口令、缺省例子程序

20、、不正確的文件訪問許可設(shè)置等。省例子程序、不正確的文件訪問許可設(shè)置等。 為了避免被攻擊者利用，在程序啟用之前應(yīng)該被重為了避免被攻擊者利用，在程序啟用之前應(yīng)該被重新配置。新配置。 29l常見的常見的Web應(yīng)用程序攻擊應(yīng)用程序攻擊 9. 管理缺失管理缺失 許多操作系統(tǒng)和第三方應(yīng)用軟件都存在一些已知漏許多操作系統(tǒng)和第三方應(yīng)用軟件都存在一些已知漏洞，如果管理員不及時對洞，如果管理員不及時對Web站點進(jìn)行維護(hù)，安裝站點進(jìn)行維護(hù)，安裝已經(jīng)發(fā)布了的軟件補(bǔ)丁，這些漏洞就很可能被黑客已經(jīng)發(fā)布了的軟件補(bǔ)丁，這些漏洞就很可能被黑客利用。利用。 30l漏洞掃描器的基本原理如圖漏洞掃描器的基本原理如圖 ： Web應(yīng)用程

21、序的安全漏洞包括由應(yīng)用程序的安全漏洞包括由Web站點中的編程站點中的編程錯誤引起的用戶詳細(xì)信息被暴露、惡意用戶執(zhí)行任錯誤引起的用戶詳細(xì)信息被暴露、惡意用戶執(zhí)行任意的數(shù)據(jù)庫查詢、通過遠(yuǎn)程命令行訪問服務(wù)器等非意的數(shù)據(jù)庫查詢、通過遠(yuǎn)程命令行訪問服務(wù)器等非安全行為。漏洞掃描器的基本原理如圖所示：安全行為。漏洞掃描器的基本原理如圖所示： 31l常見的基于網(wǎng)絡(luò)掃描常見的基于網(wǎng)絡(luò)掃描Web應(yīng)用程序漏洞的過應(yīng)用程序漏洞的過程大致分為四步程大致分為四步 ： 1）確定檢測目標(biāo)，確定）確定檢測目標(biāo)，確定Web服務(wù)器的服務(wù)器的IP地址或域名地址或域名地址。地址。 2）從）從Web應(yīng)用程序漏洞庫列表中提取檢測漏洞，或應(yīng)

22、用程序漏洞庫列表中提取檢測漏洞，或者從插件組中選取檢測插件。者從插件組中選取檢測插件。 3）發(fā)送檢測請求，根據(jù)響應(yīng)信息判斷是否存在漏洞。）發(fā)送檢測請求，根據(jù)響應(yīng)信息判斷是否存在漏洞。 4）返回）返回Web應(yīng)用程序存在的漏洞類別。應(yīng)用程序存在的漏洞類別。32l確定目標(biāo)后，檢測過程如圖確定目標(biāo)后，檢測過程如圖 ： 33l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 1. 物理路徑泄露漏洞物理路徑泄露漏洞 提供提供Web、Ftp等公共服務(wù)的服務(wù)器都可能出現(xiàn)物理等公共服務(wù)的服務(wù)器都可能出現(xiàn)物理路徑泄露的問題。路徑泄露的問題。 Web服務(wù)器路徑泄露漏洞通常是由服務(wù)器路徑泄露漏洞通常是由Web服務(wù)器處理服務(wù)

23、器處理用戶請求出錯導(dǎo)致的，返回結(jié)果時將網(wǎng)站本身所在用戶請求出錯導(dǎo)致的，返回結(jié)果時將網(wǎng)站本身所在的物理路徑暴露出來，從而被攻擊者利用。的物理路徑暴露出來，從而被攻擊者利用。 34l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 2. 源代碼泄露漏洞源代碼泄露漏洞 源代碼泄露漏洞的產(chǎn)生是由輸入驗證錯誤引起的。源代碼泄露漏洞的產(chǎn)生是由輸入驗證錯誤引起的。 3. 目錄遍歷漏洞目錄遍歷漏洞 目錄遍歷攻擊指的是惡意用戶找到受限文件的位置目錄遍歷攻擊指的是惡意用戶找到受限文件的位置并且瀏覽或者執(zhí)行它們。主要通過猜測文件是否存并且瀏覽或者執(zhí)行它們。主要通過猜測文件是否存在的方法進(jìn)行。在的方法進(jìn)行。 35l常見的常

24、見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 4. 執(zhí)行任意命令執(zhí)行任意命令 攻擊的思想是運行自己輸入的命令，而不是按照開攻擊的思想是運行自己輸入的命令，而不是按照開發(fā)人員預(yù)期的那樣，執(zhí)行某個指定的程序。攻擊這發(fā)人員預(yù)期的那樣，執(zhí)行某個指定的程序。攻擊這種漏洞的目標(biāo)是發(fā)送到服務(wù)器上的操作系統(tǒng)命令或種漏洞的目標(biāo)是發(fā)送到服務(wù)器上的操作系統(tǒng)命令或者可執(zhí)行程序的戶輸入。者可執(zhí)行程序的戶輸入。 36l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 5. 緩沖區(qū)溢出漏洞緩沖區(qū)溢出漏洞 緩沖區(qū)溢出是針對緩沖區(qū)溢出是針對Web應(yīng)用最嚴(yán)重的一種攻擊。惡應(yīng)用最嚴(yán)重的一種攻擊。惡意的輸入會侵占其他程序堆棧的內(nèi)存空間，使得內(nèi)意的輸

25、入會侵占其他程序堆棧的內(nèi)存空間，使得內(nèi)存中原有的其他數(shù)據(jù)被覆蓋。存中原有的其他數(shù)據(jù)被覆蓋。 37l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 6拒絕服務(wù)攻擊拒絕服務(wù)攻擊 拒絕服務(wù)攻擊的思想是代碼執(zhí)行總是需要時間的，拒絕服務(wù)攻擊的思想是代碼執(zhí)行總是需要時間的，每次由每次由Web服務(wù)器、應(yīng)用程序或數(shù)據(jù)庫調(diào)用的函數(shù)，服務(wù)器、應(yīng)用程序或數(shù)據(jù)庫調(diào)用的函數(shù)，其執(zhí)行過程總要耗費一定的處理器周期。其執(zhí)行過程總要耗費一定的處理器周期。 如果將大量的請求快速提交到如果將大量的請求快速提交到Web服務(wù)器上，并且服務(wù)器上，并且都是很多耗時的服務(wù)，就可以阻止其他用戶正常訪都是很多耗時的服務(wù)，就可以阻止其他用戶正常訪問問

26、Web站點。站點。38l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 7. CGI漏洞攻擊漏洞攻擊 CGI程序是交互性的，當(dāng)攻擊者提交了一些非正常程序是交互性的，當(dāng)攻擊者提交了一些非正常的數(shù)據(jù)，那么服務(wù)器在解釋這些數(shù)據(jù)時可能會繞過的數(shù)據(jù)，那么服務(wù)器在解釋這些數(shù)據(jù)時可能會繞過 IIS 對文件名所作的安全檢查。對文件名所作的安全檢查。39l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 8. 跨站腳本攻擊跨站腳本攻擊 利用頁面進(jìn)行利用頁面進(jìn)行XSS攻擊的方法主要有兩種攻擊的方法主要有兩種 ： 1）將腳本直接輸入到被攻擊的站點的表格域中。）將腳本直接輸入到被攻擊的站點的表格域中。 2）將腳本嵌入到）將腳本

27、嵌入到URL的地址的的地址的CGI參數(shù)中。參數(shù)中。 40l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 跨站點腳本攻擊過程如圖所示：跨站點腳本攻擊過程如圖所示： 41l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 9. SQL 注入攻擊注入攻擊 很多很多Web站點都會利用用戶輸入的參數(shù)動態(tài)的生成站點都會利用用戶輸入的參數(shù)動態(tài)的生成SQL查詢要求，攻擊者通過在查詢要求，攻擊者通過在 URL、表格域或其他、表格域或其他的輸入域中輸入自己的的輸入域中輸入自己的SQL命令，以此改變查詢屬命令，以此改變查詢屬性騙過應(yīng)用程序，從而對數(shù)據(jù)庫進(jìn)行不受限的訪問。性騙過應(yīng)用程序，從而對數(shù)據(jù)庫進(jìn)行不受限的訪問。 42l

28、常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 SQL 注入攻擊流程如圖所示：注入攻擊流程如圖所示： 43l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 10. 未驗證的輸入未驗證的輸入 Web應(yīng)用程序一般是根據(jù)應(yīng)用程序一般是根據(jù)HTTP請求中用戶的輸入決請求中用戶的輸入決定如何響應(yīng)，定如何響應(yīng)， 黑客能夠利用黑客能夠利用HTTP請求中的任何一請求中的任何一部分，包括部分，包括URL、請求字符串、請求字符串、Cookie頭部、表單頭部、表單項或隱含參數(shù)傳遞代碼來發(fā)動攻擊。使用編碼技術(shù)項或隱含參數(shù)傳遞代碼來發(fā)動攻擊。使用編碼技術(shù)可以繞過可以繞過Web應(yīng)用程序的驗證與過濾機(jī)制。應(yīng)用程序的驗證與過濾機(jī)制。

29、 44l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 11. 被破壞的認(rèn)證和會話管理被破壞的認(rèn)證和會話管理 在網(wǎng)絡(luò)中，通常的用戶授權(quán)包括在網(wǎng)絡(luò)中，通常的用戶授權(quán)包括UserID和密碼的使和密碼的使用。大多數(shù)的賬戶和會話管理漏洞可能破壞用戶或用。大多數(shù)的賬戶和會話管理漏洞可能破壞用戶或系統(tǒng)管理員賬號。系統(tǒng)管理員賬號。 網(wǎng)絡(luò)應(yīng)用程序必須建立會話來跟蹤每個用戶的請求網(wǎng)絡(luò)應(yīng)用程序必須建立會話來跟蹤每個用戶的請求數(shù)據(jù)流，如果會話標(biāo)記沒有能夠妥善保存，攻擊者數(shù)據(jù)流，如果會話標(biāo)記沒有能夠妥善保存，攻擊者就可能截獲一個處在激活態(tài)的會話并且假扮成這個就可能截獲一個處在激活態(tài)的會話并且假扮成這個用戶的身份標(biāo)識。用戶

30、的身份標(biāo)識。45l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 12.不當(dāng)異常處理不當(dāng)異常處理 不當(dāng)?shù)漠惓Ｌ幚砜赡芙o網(wǎng)站帶來各種各樣的安全問不當(dāng)?shù)漠惓Ｌ幚砜赡芙o網(wǎng)站帶來各種各樣的安全問題。最常見的問題是向用戶顯示內(nèi)部出錯信息，如題。最常見的問題是向用戶顯示內(nèi)部出錯信息，如果這些出錯信息不加選擇地展現(xiàn)到用戶面前，就可果這些出錯信息不加選擇地展現(xiàn)到用戶面前，就可能公開了本不應(yīng)該公開的細(xì)節(jié)。能公開了本不應(yīng)該公開的細(xì)節(jié)。 46l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 13. 不安全的存儲不安全的存儲 Web應(yīng)用程序通常使用加密技術(shù)來保護(hù)敏感信息。應(yīng)用程序通常使用加密技術(shù)來保護(hù)敏感信息。在加密技術(shù)和應(yīng)

31、用程序的結(jié)合時，容易出現(xiàn)一些錯在加密技術(shù)和應(yīng)用程序的結(jié)合時，容易出現(xiàn)一些錯誤，從而給系統(tǒng)帶來嚴(yán)重的安全隱患。誤，從而給系統(tǒng)帶來嚴(yán)重的安全隱患。 經(jīng)常出錯的幾個地方包括經(jīng)常出錯的幾個地方包括: 1）未對關(guān)鍵數(shù)據(jù)進(jìn)行加密；）未對關(guān)鍵數(shù)據(jù)進(jìn)行加密； 2）密鑰、證書和密碼的不安全存放；）密鑰、證書和密碼的不安全存放； 3）在內(nèi)存中不恰當(dāng)?shù)乇４骊P(guān)鍵信息；）在內(nèi)存中不恰當(dāng)?shù)乇４骊P(guān)鍵信息；47l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 4）不當(dāng)?shù)碾S機(jī)資源；）不當(dāng)?shù)碾S機(jī)資源； 5）不當(dāng)?shù)乃惴ㄟx擇；）不當(dāng)?shù)乃惴ㄟx擇； 6）一種新開發(fā)的加密算法；）一種新開發(fā)的加密算法； 7）當(dāng)密鑰更改或者其它必備的維護(hù)過程發(fā)生

32、時，無）當(dāng)密鑰更改或者其它必備的維護(hù)過程發(fā)生時，無 法提供最新的技術(shù)支持。法提供最新的技術(shù)支持。 這些薄弱環(huán)節(jié)會給系統(tǒng)帶來嚴(yán)重的安全隱患，受保護(hù)這些薄弱環(huán)節(jié)會給系統(tǒng)帶來嚴(yán)重的安全隱患，受保護(hù) 的資源也可能因為這些薄弱環(huán)節(jié)遭受到嚴(yán)重破壞。的資源也可能因為這些薄弱環(huán)節(jié)遭受到嚴(yán)重破壞。 48l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 14.不安全的配置管理不安全的配置管理 Web應(yīng)用程序服務(wù)器的配置對于應(yīng)用程序服務(wù)器的配置對于Web應(yīng)用程序的安應(yīng)用程序的安全起到了關(guān)鍵作用。許多服務(wù)器的配置問題影響了全起到了關(guān)鍵作用。許多服務(wù)器的配置問題影響了安全性：安全性： 1）服務(wù)器軟件漏洞或者錯誤的配置允許列

33、出目錄和）服務(wù)器軟件漏洞或者錯誤的配置允許列出目錄和進(jìn)行目錄遍歷。進(jìn)行目錄遍歷。 2）沒必要的缺省、備份或者例子文件。）沒必要的缺省、備份或者例子文件。 3）服務(wù)器軟件未打補(bǔ)丁的漏洞。）服務(wù)器軟件未打補(bǔ)丁的漏洞。 49l常見的常見的Web應(yīng)用程序漏洞應(yīng)用程序漏洞 4）不當(dāng)?shù)奈募湍夸浽L問權(quán)限。）不當(dāng)?shù)奈募湍夸浽L問權(quán)限。 5）沒有必要的服務(wù)，包括內(nèi)容管理和遠(yuǎn)程管理。）沒有必要的服務(wù)，包括內(nèi)容管理和遠(yuǎn)程管理。 6）使用缺省密碼和賬號。）使用缺省密碼和賬號。 7）被激活的、可以被訪問的管理或者調(diào)試功能。）被激活的、可以被訪問的管理或者調(diào)試功能。 8）使用缺省證書。）使用缺省證書。 9）通過外部系統(tǒng)

34、的不正確授權(quán)。）通過外部系統(tǒng)的不正確授權(quán)。 10）錯誤配置的）錯誤配置的 SSL 證書和加密設(shè)置。證書和加密設(shè)置。50l認(rèn)證機(jī)制漏洞檢測認(rèn)證機(jī)制漏洞檢測 根據(jù)根據(jù)Web應(yīng)用程序要求的不同，可以使用基于應(yīng)用程序要求的不同，可以使用基于HTTP的認(rèn)證、基于表單的認(rèn)證以及的認(rèn)證、基于表單的認(rèn)證以及Microsoft Passport。無論是哪種驗證方式，應(yīng)用程序都會要求用戶輸入無論是哪種驗證方式，應(yīng)用程序都會要求用戶輸入用戶名和密碼。攻擊者用戶名和密碼。攻擊者可以用自動化的攻擊方式如可以用自動化的攻擊方式如猜測猜測密碼密碼、破壞、破壞Cookie或旁路認(rèn)證的方式來繞開認(rèn)或旁路認(rèn)證的方式來繞開認(rèn)證機(jī)制

35、。證機(jī)制。 1）密碼猜測攻擊）密碼猜測攻擊 2）竊?。└`取Cookie 3）結(jié)合）結(jié)合SQL注入繞過登陸表單注入繞過登陸表單 51l授權(quán)機(jī)制漏洞檢測授權(quán)機(jī)制漏洞檢測 程序開發(fā)人員在編寫程序開發(fā)人員在編寫Web應(yīng)用程序的時候經(jīng)常犯的應(yīng)用程序的時候經(jīng)常犯的一個錯誤就是使用了不正當(dāng)?shù)氖跈?quán)。普通用戶在登一個錯誤就是使用了不正當(dāng)?shù)氖跈?quán)。普通用戶在登錄系統(tǒng)之后，應(yīng)該被禁止訪問其他用戶的信息，而錄系統(tǒng)之后，應(yīng)該被禁止訪問其他用戶的信息，而不正當(dāng)?shù)氖跈?quán)會使普通用戶通過各種手段來提升自不正當(dāng)?shù)氖跈?quán)會使普通用戶通過各種手段來提升自身的權(quán)限，如查看其他用戶的信息，甚至得到更高身的權(quán)限，如查看其他用戶的信息，甚至得到

36、更高級的管理權(quán)限。修改查詢字符串和修改級的管理權(quán)限。修改查詢字符串和修改URL是兩種是兩種常見的攻擊授權(quán)的注入方式。常見的攻擊授權(quán)的注入方式。 52l輸入驗證漏洞檢測輸入驗證漏洞檢測 攻擊者通過提交應(yīng)用程序沒有意料到的數(shù)據(jù)進(jìn)行攻攻擊者通過提交應(yīng)用程序沒有意料到的數(shù)據(jù)進(jìn)行攻擊，這些漏洞的成因是應(yīng)用程序中沒有正確的驗證擊，這些漏洞的成因是應(yīng)用程序中沒有正確的驗證機(jī)制。機(jī)制。 1）應(yīng)用程序緩沖區(qū)溢出漏洞）應(yīng)用程序緩沖區(qū)溢出漏洞 2）用圓點（）用圓點（./.）遍歷應(yīng)用程序的目錄）遍歷應(yīng)用程序的目錄 3）跨站腳本攻擊）跨站腳本攻擊 4）邊界檢查漏洞）邊界檢查漏洞 5）搜索字段的百分號漏洞）搜索字段的百分

37、號漏洞 53lIIS自身的安全防護(hù)自身的安全防護(hù) IIS檢驗登錄用戶是否合法的過程包含五個步驟：檢驗登錄用戶是否合法的過程包含五個步驟： 1. IP地址限制地址限制 IIS能夠授予或拒絕特定能夠授予或拒絕特定IP地址對其訪問，在地址對其訪問，在IIS4.0中這種授予或拒絕可以細(xì)化為對中這種授予或拒絕可以細(xì)化為對Web站點、虛擬目站點、虛擬目錄、目錄和文件的訪問控制。錄、目錄和文件的訪問控制。 54lIIS自身的安全防護(hù)自身的安全防護(hù) 2. 用戶許可檢查用戶許可檢查 IIS支持支持4種種Web身份驗證模型：匿名、基本、身份驗證模型：匿名、基本、Windows NT請求請求/應(yīng)答、客戶憑證映射。應(yīng)

38、答、客戶憑證映射。 利用利用IIS的用戶許可檢查，將某些資源的訪問權(quán)限限的用戶許可檢查，將某些資源的訪問權(quán)限限定為必須是特定的定為必須是特定的Windows NT的合法用戶，禁止匿的合法用戶，禁止匿名訪問，以此來保護(hù)名訪問，以此來保護(hù)Web應(yīng)用程序的重要部分。應(yīng)用程序的重要部分。 55lIIS自身的安全防護(hù)自身的安全防護(hù) 3. IIS許可檢查許可檢查 一旦用戶被授予訪問權(quán)，服務(wù)器就檢查一旦用戶被授予訪問權(quán)，服務(wù)器就檢查URL和請求和請求類型，并檢查許可和類型，并檢查許可和SSL客戶身份驗證憑證?？蛻羯矸蒡炞C憑證。 IIS還還支持對文件操作的許可控制。支持對文件操作的許可控制。 56lIIS自身

39、的安全防護(hù)自身的安全防護(hù) 4. 自定義的身份驗證自定義的身份驗證 自定義的身份驗證意味著必須創(chuàng)建自己的身份驗證自定義的身份驗證意味著必須創(chuàng)建自己的身份驗證機(jī)制。在系統(tǒng)中最常用的方法是執(zhí)行一個用戶名稱機(jī)制。在系統(tǒng)中最常用的方法是執(zhí)行一個用戶名稱和口令的數(shù)據(jù)庫查詢。和口令的數(shù)據(jù)庫查詢。57lIIS自身的安全防護(hù)自身的安全防護(hù) 5. NTFS文件系統(tǒng)許可文件系統(tǒng)許可 通過使用驗證身份方式的用戶安全性背景，通過使用驗證身份方式的用戶安全性背景，IIS可以可以獲得對特定資源（基于獲得對特定資源（基于URL）的訪問權(quán)。）的訪問權(quán)。IIS的安全的安全登錄檢查在很大程度上依賴于登錄檢查在很大程度上依賴于NTF

40、S文件系統(tǒng)，所以文件系統(tǒng)，所以最好將虛擬目錄都建立在最好將虛擬目錄都建立在NTFS驅(qū)動器上。驅(qū)動器上。 只有當(dāng)上述五個步驟的檢查全部通過時，該登錄用只有當(dāng)上述五個步驟的檢查全部通過時，該登錄用戶才會被允許訪問所請求的資源。戶才會被允許訪問所請求的資源。58lASP的安全編程的安全編程 ASP編程中可以使用必要的安全措施以提高站點的安編程中可以使用必要的安全措施以提高站點的安全性，主要包括：全性，主要包括： 1.密碼的保護(hù)密碼的保護(hù) 密碼是系統(tǒng)中極敏感、關(guān)鍵的信息。密碼的提交最密碼是系統(tǒng)中極敏感、關(guān)鍵的信息。密碼的提交最好不要采用明文形式，以防被截取。好不要采用明文形式，以防被截取。 59lASP的安全編程的安全編程 2. 對對Session對象的利用對象的利用 利用利用Session對象，當(dāng)用戶通過安全登錄的檢查后，對象，當(dāng)用戶通過安全登錄的檢查后，把把Session ID屬性作為一個屬性作為一個Session變量存儲起來。每變量存儲起來。每當(dāng)用戶試圖導(dǎo)航到要求有效連接的頁面時，就可以當(dāng)用戶試圖導(dǎo)航到要求有效連接的頁面時，就可以比較當(dāng)前的比較當(dāng)前的Session ID與存儲在與存儲在Session對象中的對象中的ID。如果它們不匹配，就可以采取適當(dāng)?shù)男袆泳芙^訪問。如果它們不匹配，就可以采取適當(dāng)?shù)男袆泳芙^訪問。 60lASP的安全編程的安全編