web應用程序安全攻防
應用程序體系結構以及其安全威脅
1、三層架構:表示層、業務邏輯層和數據層
2、體系結構:瀏覽器、web服務器、web應用程序、數據庫、傳輸協議HTTP/HTTPS
3、web應用安全威脅:針對瀏覽器和終端用戶的web瀏覽安全、針對傳輸網絡協議安全威脅、系統安全威脅、web應用程序安全威脅、web數據安全威脅。
web應用的安全攻防
web應用信息收集
1、手工審查web應用程序結構和源代碼:靜態和動態生成的頁面、目錄結構、輔助性文件、輸入表單、查詢參數字符串。
2、自動下載和鏡像web站頁面.
3、google hacking技術審查和探測web應用程序。
4、web應用程序安全評估與漏洞探測————輔助分析工具:瀏覽器插件、免費工具集、商業web應用安全評估系統和漏洞掃描器。
攻擊web服務器軟件
安全漏洞:數據驅動的遠程代碼執行安全漏洞、服務器功能擴展模塊漏洞、樣本文件安全漏洞、源代碼泄漏、資源解析攻擊
攻擊web程序
web應用程序安全威脅:針對認證機制的攻擊、授權機制、客戶端攻擊、命令執行攻擊、信息暴露、邏輯攻擊
攻擊web數據內容
安全敏感數據泄漏、網站篡改、不良信息內容上傳。
防范技術
1、web站點網絡傳輸安全設防措施:HTTPS、加密的連接通道、靜態綁定的MAC-TP映射。
2、web站點操作系統及服務安全設防措施:補丁更新、遠程漏洞掃描、提升操作系統和服務安全性。
3、web應用程序安全設防措施。
4、web站點數據安全設防措施。
SQL注入
1、原理:向web應用提供的用戶接口輸入一段精心構造的SQL查詢命令,攻擊和利用不完善的輸入機制,使得注入代碼得以執行完成非預期的攻擊操作行為。
2、步驟:發現SQL注入點、判斷后臺數據庫類型、后臺數據庫中管理員用戶口令字猜解、上傳ASP后門、得到默認用戶權限、利用數據庫擴展存儲過程執行shell命令
3、工具:wposion、wieliekoek.pl、SPItoolkit、HDSI等
4、防范措施:類型安全的參數編碼機制、外部用戶輸入必須進行完備的安全檢查、將動態SQL語句替換為存儲過程,預編譯SQL或ADO命令對象、加強SQL數據庫服務器的配置和鏈接。
XSS攻擊
1、攻擊原理
2、工具類型:持久型、非持久型
3、測試和利用XSS漏洞步驟:測試XSS漏洞、顯示用戶會話cookie、竊取用戶會話cookie、利用cookie信息假冒其他用戶發表和修改帖子、編寫實現XSS蠕蟲。
4、防范措施:服務器端(輸入驗證、輸出凈化、消除危險輸入點)、客戶端(提升瀏覽器安全設置)
web瀏覽器安全攻防
web瀏覽器戰爭及技術發展
1、目前瀏覽器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。
2、安全問題和威脅:瀏覽器軟件安全困境三要素(復雜性、可擴展性、連通性)、瀏覽安全威脅位置(網絡協議、瀏覽端系統平臺、瀏覽器軟件以及插件程序的滲透攻擊威脅、社會工程學)
網頁木馬
1、黑客地下經濟鏈:病毒編寫者、網絡駭客、“信封”盜竊者、虛擬財產盜竊者、虛擬資產賣家、玩家。
2、網頁木馬:從根本上講是針對web瀏覽端軟件實施的客戶端滲透攻擊代碼。
3、網絡木馬機理全方位分析與理解:被動式攻擊、復雜、需要多種類型惡意代碼和網絡資源。
4、網頁木馬特性:多樣化客戶端滲透攻擊位置和技術類型、分布式復雜的微觀鏈接結構、靈活多變的混淆與對抗分析能力。
5、網絡木馬的核心————瀏覽器滲透攻擊:例MS06-014漏洞以及ANI光標漏洞(堆內存操作技術)
6、網頁掛馬機制:內嵌HTML標簽、惡意Script腳本、內嵌對象鏈接、ARP欺騙掛馬。
7、混淆(免殺)機制:代碼重新排版、大小寫變換,十六進制編碼等方式混淆、加密后解密方式、字符串運算,數學運算或者特殊函數混淆代碼。
8、網頁木馬的檢測和分析技術:基于特征碼匹配的傳統檢測方法、基于統計與機器學習的靜態分析方法、基于動態行為結果判定的檢測方法、基于模擬瀏覽器環境的動態分析檢測方法、網頁木馬檢測分析技術綜合對比。
9、防范措施:提升操作系統與瀏覽端平臺軟件安全性、安裝和實時更新反病毒軟件、安裝Mac OS/Linux操作系統并使用冷門的瀏覽器
- 完成新聞頁面)
