web應(yīng)用安全幻燈片

Web應(yīng)用安全

目錄/contents課題背景Web應(yīng)用安全概述常見WEB應(yīng)用安全隱患常見WEB應(yīng)用案例分析Web安全技術(shù)

課題背景

盡管不同的企業(yè)會有不同的Web環(huán)境搭建方式，一個典型的Web應(yīng)用通常是標(biāo)準(zhǔn)的三層架構(gòu)模型。由于網(wǎng)絡(luò)技術(shù)日趨成熟，黑客們也將注意力從以往對網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對Web應(yīng)用的攻擊上。根據(jù)Gartner的最新調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，三分之二的Web站點都相當(dāng)脆弱，易受攻擊。然而現(xiàn)實確是，絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡(luò)和服務(wù)器的安全上，沒有從真正意義上保證Web應(yīng)用本身的安全，給黑客以可乘之機。Web攻擊事件-篡改數(shù)據(jù)Web攻擊事件-跨站攻擊

隨著web的廣泛應(yīng)用，Internet中與web相關(guān)的安全事故正成為目前所有事故的主要組成部分，由圖可見，與web安全有關(guān)的網(wǎng)頁惡意代碼和網(wǎng)站篡改事件占據(jù)了所有事件的大部分，web安全面臨嚴(yán)重問題。形式越來越嚴(yán)重國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心，一度引起中央電視臺媒體重點關(guān)注；引起國家司法機構(gòu)大力整治。目的越來越利益從網(wǎng)站涂鴉到政府黑站；從到游戲幣到職業(yè)資格證；網(wǎng)銀大盜到網(wǎng)馬頻發(fā)。隊伍越來越壯大地下黑客利益鏈門檻越來越低黑站工具隨手可得；網(wǎng)站漏洞隨處可見；黑客培訓(xùn)基地層出不窮web應(yīng)用安全概況分析

什么是WEB應(yīng)用

Web應(yīng)用是由動態(tài)腳本、編譯過的代碼等組合而成。它通常架設(shè)在Web服務(wù)器上，用戶在Web瀏覽器上發(fā)送請求，這些請求使用HTTP協(xié)議，經(jīng)過因特網(wǎng)和企業(yè)的Web應(yīng)用交互，由Web應(yīng)用和企業(yè)后臺的數(shù)據(jù)庫及其他動態(tài)內(nèi)容通信。

Web組成部分服務(wù)器端（web服務(wù)器）在服務(wù)器結(jié)構(gòu)中規(guī)定了服務(wù)器的傳輸設(shè)定，信息傳輸格式及服務(wù)器本身的基本開放結(jié)構(gòu)客戶端（瀏覽器）客戶端通常稱為web瀏覽器，用于向服務(wù)器發(fā)送資源請求，并將受到的信息解碼顯示。通信協(xié)議（HTTP協(xié)議）HTTP是分布的web應(yīng)用的核心技術(shù)協(xié)議，它定義了web瀏覽器向web服務(wù)器發(fā)送索取web頁面請求的格式以及web頁面在internet上的傳輸方式。WEB服務(wù)端安全

常見的問題就是：SQL注入，文件上傳，水平權(quán)限，系統(tǒng)命令執(zhí)行等漏洞。服務(wù)端安全問題是服務(wù)端程序邏輯和服務(wù)端的HTTP服務(wù)器，應(yīng)用服務(wù)器以及數(shù)據(jù)庫服務(wù)器問題導(dǎo)致。WEB客戶端安全

常見的問題就是：XSS漏洞，CSRF漏洞，以及其他瀏覽器插件或者JavaApplet漏洞。客戶端的問題，主要是瀏覽器的特性導(dǎo)致的，攻擊的是WEB系統(tǒng)的用戶。

WEB安全分類XSS跨站CSRF網(wǎng)頁掛馬WebShellSQL注入拒絕服務(wù)釣魚欺騙上傳漏洞常見WEB應(yīng)用安全隱患微博上的蠕蟲2011年６月份，新浪微博出現(xiàn)了一次比較大的ＸＳＳ攻擊事件。大量用戶自己發(fā)送諸如：“郭美美事件的一些未注意道德細(xì)節(jié)”“建黨大業(yè)中穿幫的地方”、“這是傳說中的神仙眷侶啊”等微博和私信，并自動關(guān)注以為名為hellosally的用戶。微博用戶中招后會自動向自己的粉絲發(fā)送含毒私信和微博，有人點擊后會再次中毒，形成惡性循環(huán)。

常見WEB應(yīng)用案例分析XSS又叫CSS(CrossSiteScript)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。

在XSS攻擊中，一般有三個角色參與：攻擊者、目標(biāo)服務(wù)器、受害者的瀏覽器。

跨站腳本（XSS）

反射型XSS

反射型XSS也被稱為非持久性XSS，是現(xiàn)在最容易出現(xiàn)的一種XSS漏洞。XSS的Payload一般是寫在URL中，之后設(shè)法讓被害者點擊這/xss.php?username=<script>alert(/xss/)</script>這個鏈接。存儲型XSS

存儲型XSS又被稱為持久性XSS，存儲型XSS是最危險的一種跨站腳本。存儲型XSS被服務(wù)器端接收并存儲，當(dāng)用戶訪問該網(wǎng)頁時，這段XSS代碼被讀出來響應(yīng)給瀏覽器。反射型XSS與DOM型XSS都必須依靠用戶手動去觸發(fā)，而存儲型XSS卻不需要。DOMXSS

DOM的全稱為DocumentObjectModel,即文檔對象模型。基于DOM型的XSS是不需要與服務(wù)器交互的，它只發(fā)生在客戶端處理數(shù)據(jù)階段。簡單理解DOMXSS就是出現(xiàn)在javascript代碼中的xss漏洞。如果輸入/dom.html?content=<script>alert(/xss/)</script>，就會產(chǎn)生XSS漏洞。這種利用也需要受害者點擊鏈接來觸發(fā)，DOM型XSS是前端代碼中存在了漏洞，而反射型是后端代碼中存在了漏洞。攻擊流程示意圖XSS的危害1.修改網(wǎng)頁內(nèi)容2.盜取各類用戶賬戶，如支付寶賬戶、用戶網(wǎng)銀賬戶、各類管理員賬戶。3.非法轉(zhuǎn)賬4.強制發(fā)送電子郵件5.網(wǎng)站掛馬6.重定向用戶到其他的網(wǎng)頁或者網(wǎng)站7.控制受害者機器向其他網(wǎng)站發(fā)起攻擊相對SQL注入而言，跨站腳本安全問題和特點更復(fù)雜，這使得對跨站腳本漏洞的防范難度更大?？缯灸_本問題與SQL注入漏洞類似，都是利用程序員編寫腳本或頁面過濾不足所導(dǎo)致010203

跨站請求的防范對于用戶可提交的信息要進行嚴(yán)格的過濾，防止跨站腳本漏洞的產(chǎn)生?？缯菊埱髠卧霤SRF02CSRF（Cross-SiteRequestForgery)即跨站請求偽造，通?？s寫為CSRF或者XSRF，是一種對網(wǎng)站缺陷的惡意利用。誕生于2000年，火于2007/2008年。CSRF通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站，通過社會工程學(xué)的手段（如通過電子郵件發(fā)送一個鏈接）來蠱惑受害者進行一些敏感性的操作，如修改密碼、修改Ｅ－ｍａｉｌ，轉(zhuǎn)賬等，而受害者還不知道他已經(jīng)中招。WebA為存在CSRF漏洞的網(wǎng)站，WebB為攻擊者構(gòu)建的惡意網(wǎng)站，UserC為WebA網(wǎng)站的合法用戶。CSRF的攻擊原理1.用戶C打開瀏覽器，訪問受信任網(wǎng)站A，輸入用戶名和密碼請求登錄網(wǎng)站A；2.在用戶信息通過驗證后，網(wǎng)站A產(chǎn)生Cookie信息并返回給瀏覽器，此時用戶登錄網(wǎng)站A成功，可以正常發(fā)送請求到網(wǎng)站A；3.用戶未退出網(wǎng)站A之前，在同一瀏覽器中，打開一個TAB頁訪網(wǎng)站B；4.網(wǎng)站B接收到用戶請求后，返回一些攻擊性代碼，并發(fā)出一個請求要求訪問第三方站點A；5.瀏覽器在接收到這些攻擊性代碼后，根據(jù)網(wǎng)站B的請求，在用戶不知情的情況下攜帶Cookie信息，向網(wǎng)站A發(fā)出請求。網(wǎng)站A并不知道該請求其實是由B發(fā)起的，所以會根據(jù)用戶C的Cookie信息以C的權(quán)限處理該請求，導(dǎo)致來自網(wǎng)站B的惡意代碼被執(zhí)行。CSRF攻擊原理給攻擊者提升權(quán)限越權(quán)執(zhí)行危險操作增加管理員盜取用戶銀行卡/信用卡CSRF的主要危害增加驗證碼Cookie/session失效時間驗證HTTP中Refer字段Token增加get/post請求的隨機值CSRF的防御情景導(dǎo)入032011年最轟動IT界的安全事件是CSDN泄露用戶名和密碼的事件，導(dǎo)致CSDN數(shù)據(jù)庫中的600多萬用戶的登錄名和密碼遭到泄露，后果是CSDN臨時關(guān)閉系統(tǒng)登錄，進行系統(tǒng)恢復(fù)，CSDN用戶暫時停用。同年3月，一個被命名為LizaMoon的SQL注入攻擊席卷全球，許多網(wǎng)站遭到攻擊，網(wǎng)頁內(nèi)容中被典型ＷＥB應(yīng)用漏洞塞入LizaMoon字符串疑似掛馬鏈接，通過Google查詢LizaM關(guān)鍵字，被植入而已鏈接的ＵＲＬ數(shù)量在兩天內(nèi)有２８０００個急速增長到３８００００.此次LizaMoon攻擊利用了一個很巧妙的SQL注入，導(dǎo)致全球五萬中文網(wǎng)頁被感染。

通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計者意圖去執(zhí)行SQL語句。SQL注入原理SQL注入實例詳解1、首先，創(chuàng)建一張實驗用的數(shù)據(jù)表：CREATETABLEusers(`id`int(11)NOTNULLAUTO_INCREMENT,`username`varchar(64)NOTNULL,`password`varchar(64)NOTNULL,`email`varchar(64)NOTNULL,PRIMARYKEY(`id`),UNIQUEKEY`username`(`username`))ENGINE=MyISAMAUTO_INCREMENT=3DEFAULTCHARSET=latin1;2、添加一條記錄用于測試：INSERT

INTO

users

(username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@');3.當(dāng)用戶點擊提交按鈕的時候，將會把表單數(shù)據(jù)提交給validate.php頁面，validate.php頁面用來判斷用戶輸入的用戶名和密碼有沒有都符合要求(這一步至關(guān)重要，也往往是SQL漏洞所在)。4.填好正確的用戶名(marcofly)和密碼(test)后，點擊提交，將會返回給我們“歡迎管理員”的界面。5.在用戶名輸入框中輸入:’or1=1#,密碼隨便輸入，這時候的合成后的SQL查詢語句為：select*fromuserswhereusername=''or1=1#'andpassword=md5('')語義分析：“#”在mysql中是注釋符，這樣井號后面的內(nèi)容將被mysql視為注釋內(nèi)容，這樣就不會去執(zhí)行了，換句話說，以下的兩句sql語句等價：select*fromuserswhereusername=''or1=1#'andpassword=md5('')等價于select*fromuserswhereusername=''or1=1網(wǎng)頁被惡意篡改在不經(jīng)授權(quán)的情況下操作數(shù)據(jù)庫中的數(shù)據(jù)私自添加操作系統(tǒng)賬號和數(shù)據(jù)庫成員賬號010203SQL注入危害

網(wǎng)頁掛馬釣魚欺騙是一種誘騙用戶披露他們的個人信息，竊取用戶的銀行資料的詐騙手段其他Web滲透攻擊040506SQL注入危害網(wǎng)頁掛馬指的是把一個木馬程序上傳到一個網(wǎng)站里面然后用木馬生成器生一個網(wǎng)馬，再上到空間里面再加代碼使得木馬在打開網(wǎng)頁時運行！攻擊目的的明確性，攻擊步驟的逐步與漸進性，攻擊手段的多樣性和綜合性。永遠(yuǎn)不要信任用戶的輸入

對用戶的輸入進行校驗，可以通過正則表達(dá)式，或限制長度；對單引號和雙"-"進行轉(zhuǎn)換等。永遠(yuǎn)不要使用動態(tài)拼裝sql可以使用參數(shù)化的sql或者直接使用存儲過程進行數(shù)據(jù)查詢存取。永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫連接為每個應(yīng)用使用單獨的權(quán)限有限的數(shù)據(jù)庫連接。SQL的防范措施情景導(dǎo)入0411年的時候，當(dāng)當(dāng)網(wǎng)（）存在一個公開的HTTP接口myaddress.aspx。此接口根據(jù)接收的參數(shù)addressid來返回json對/值形式的消費者收貨地址數(shù)據(jù)，然后在前端頁面上由Javascript解析進行輸出。這是一個很多同類電子商務(wù)類網(wǎng)站都會用到的一個普通功能。在漏洞報告中，測試人員利用傳入?yún)?shù)的可遍歷性(識別不同用戶的整型參數(shù)addressid)，通過改變輸入不同的addressid參數(shù)，并且利用自動化腳本或者工具進Fuzzing暴力測試，順利的遍歷輸出其他用戶的個人信息及隱私。這是一個典型的越權(quán)訪問案例。修復(fù)方案也非常簡單，在WebServer上對HttpRequest請求和當(dāng)前的用戶身份進行校驗。28%39%33%越權(quán)訪問存在形式1.非法用戶的越權(quán)訪問2.合法用戶的越權(quán)訪問什么是越權(quán)訪問？越權(quán)訪問(BrokenAccessControl,簡稱BAC)，顧名思義即是跨越權(quán)限訪問，是一種在web程序中常見的安全缺陷越權(quán)訪問的原理是對用戶提交的參數(shù)不進行權(quán)限檢查和跨域訪問限制而造成的。

越權(quán)訪問01

web服務(wù)器安全技術(shù)

web應(yīng)用服務(wù)安全技術(shù)

web瀏覽器安全技術(shù)0203web安全技術(shù)web服務(wù)器安全技術(shù)Web防護課通過多種手段實現(xiàn)，這主要包括：安全配置web服務(wù)器、網(wǎng)頁防篡改技術(shù)、反向代理技術(shù)、蜜罐技術(shù)。安全配置web服務(wù)器充分利用web服務(wù)器本身擁有的如主目錄權(quán)限設(shè)定、用戶訪問控制、ip地址許可等安全機制，進行合理的有效的配置，確保web服務(wù)的訪問安全。網(wǎng)頁防篡改技術(shù)將網(wǎng)頁監(jiān)控與恢復(fù)結(jié)合在一起，通過對網(wǎng)站進行實時監(jiān)控，主動發(fā)現(xiàn)網(wǎng)頁頁面內(nèi)容是否被非法改動，一旦被非法篡改，可立即恢復(fù)被篡改的網(wǎng)頁。蜜罐技術(shù)蜜罐系統(tǒng)通過模擬web服務(wù)器的行為，可以判別訪問是否對應(yīng)用服務(wù)器及后臺后臺數(shù)據(jù)庫系統(tǒng)有害，能有效地防范各種已知及未知的攻擊行為。對于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會被合法流量所淹沒。而蜜罐進出的數(shù)據(jù)大部分是