Web應用安全技術原理與實踐 課件 第6章 Web應用安全概述

Web應用安全第六章Web應用安全概述2時間攻擊事件攻擊方法2022.1.13-14烏克蘭外交部、教育部、內(nèi)政部、能源部等70多個政府網(wǎng)站遭到了網(wǎng)絡攻擊，導致大部分網(wǎng)站癱瘓Web系統(tǒng)漏洞，如CVE-2021-32648，Log4j漏洞等2022.1.15烏克蘭政府部門的多臺主機植入勒索病毒和木馬程序木馬攻擊2022.2.14烏克蘭政府新聞網(wǎng)站和Privatbank銀行網(wǎng)站拒絕服務攻擊。DDOS攻擊2022.2.23數(shù)據(jù)擦除惡意軟件HermeticWiper在烏克蘭的數(shù)百臺計算機上被發(fā)現(xiàn)，遭到數(shù)據(jù)擦除攻擊,涉及目標包括金融及政府承包商。木馬攻擊2022.2.24俄羅斯RT電視臺稱網(wǎng)站遭到DDoS攻擊，大約27%的攻擊地址位于美國，攻擊時間持續(xù)6小時DDOS攻擊2022.2.25匿名者的攻擊導致俄羅斯多個政府網(wǎng)站下線，包括總統(tǒng)普京的官方克里姆林宮、俄羅斯國防部、俄羅斯議會、國營媒體今日俄羅斯RT電視臺等。Web系統(tǒng)漏洞攻擊2022.2.28隸屬于匿名者的黑客組織GNG入侵并泄露了俄羅斯SberBANK的數(shù)據(jù)庫；匿名者黑客組織攻擊了俄羅斯海關系統(tǒng)致使網(wǎng)站無法登錄Web系統(tǒng)相關漏洞攻擊2022.3.7匿名者入侵了多個俄羅斯十分受歡迎的流媒體平臺，不間斷的播放來自烏克蘭的戰(zhàn)爭畫面。Web系統(tǒng)相關漏洞攻擊俄烏沖突中披露的網(wǎng)絡攻擊事件32022年度網(wǎng)絡安全漏洞態(tài)勢報告-CNNVD42023年9月漏洞情況月度通報--CNVD5我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析-2021年上半年（CNCERT）我國境內(nèi)遭篡改的網(wǎng)站有近3.4萬個，其中被篡改的政府網(wǎng)站177個。網(wǎng)站安全網(wǎng)頁仿冒我國境內(nèi)網(wǎng)站仿冒網(wǎng)頁約1.3萬余個，其中經(jīng)融（尤其是農(nóng)村信用社）、電信等重點行業(yè)8000多個，同比增長31.2%。網(wǎng)站后門境外8,289個IP地址對我國境內(nèi)約1.4萬個網(wǎng)站植入后門，同比減少62.4%，其中位于美國的地址最多。網(wǎng)頁篡改6Web1.0時代攻擊目標：網(wǎng)站的網(wǎng)頁表現(xiàn)形式：更改網(wǎng)站主頁攻擊手段：利用Web服務器或其他系統(tǒng)漏洞進行攻擊。1Web應用中的主要安全問題72Web應用中的主要安全問題Web2.0時代攻擊者8OWASP

TOP10OWASP成立于2001年，2004年、2007年、2010年、2013年、2017年、2021年，先后6次發(fā)布TOP10。服務器端服務器端Web前端服務器端服務器端2Web應用中的主要安全問題Web2.0時代9Web后端安全問題Web前端安全問題HTTP協(xié)議相關安全問題SQL注入漏洞、文件操作類漏洞、命令注入漏洞、代碼注入漏洞、XXE、反序列化漏洞、SSRF攻擊、Webshell等XSS（Cross-SiteScripting）漏洞、網(wǎng)站釣魚、XSS蠕蟲、點擊劫持、網(wǎng)頁掛馬、瀏覽器安全CSRF攻擊、會話攻擊（會話固定、會話預測等）、HTTP消息頭注入2Web應用中的主要安全問題Web2.0時代10Web應用安全問題Web2.0時代Web應用滲透測試滲透測試流程、滲透測試工具、代碼審計、漏洞掃描、指紋識別、GoogleHacking、……應用系統(tǒng)安全問題業(yè)務邏輯問題（如用戶管理、權限管理等）、系統(tǒng)設計缺陷、數(shù)據(jù)安全保護失效、……Web安全防護問題WAF、Web木馬防護、應急響應、數(shù)據(jù)備份恢復、……11課程目標1、理解Web應用系統(tǒng)的基本組成和運行原理2、理解主要Web應用漏洞（SQL注入漏洞、文件操作類漏洞、命令注入漏洞、XXE漏洞、XSS漏洞、反序列化漏洞、