下载此文档

02 常见Web安全漏洞.ppt


文档分类:IT计算机 | 页数:约107页 举报非法文档有奖
1/107
下载提示
  • 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
  • 2.下载该文档所得收入归上传者、原创者。
  • 3.下载的文档,不会出现我们的网址水印。
1/107 下载此文档
文档列表 文档介绍
02常见Web安全漏洞Web安全现状SQL注入XSSCSRF文件上传目录遍历其他Web安全漏洞目录Web丰富了我们的生活Web来源于WorldWideWeb,的重要组成部分,形形色色的Web系统正在改变着我们的生活。网上购物网上汇款交费写博客Web小游戏竞选网上营业厅Web系统的安全性参差不齐……复杂应用系统代码量大、开发人员多、难免出现疏忽;系统屡次升级、人员频繁变更,导致代码不一致;历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上;开发人员未经过安全编码培训;定制开发系统的测试程度不如标准的产品;……相对安全性而言,开发人员更注重系统功能!客户满意界面友好操作方便处理性能实现所有功能架构合理代码修改方便运行稳定没有bug不同模块低耦合开发进度与成本开发者的关注点Web攻击场景攻击动机攻击方法攻击工具系统漏洞防范措施攻击面(attacksurface)Web服务器黑客Web攻击动机常见Web攻击动机恶作剧;关闭Web站点,拒绝正常服务;篡改Web网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;……常用的***exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-001Web攻击方法常见Web攻击方法Googlehack网页爬行暴力猜解Web***错误信息利用根据服务器版本寻找现有的攻击代码利用服务器配置漏洞文件上传、下载构造恶意输入(SQLSQL注入、命令SQL注入、跨站脚本攻击)HTTP协议攻击拒绝服务攻击其他攻击点利用(WebServices,Flash,Ajax,ActiveX,JavaApplet)业务逻辑测试……收集系统相关的通用信息将系统所有能访问页面,所有的资源,路径展现出来;URL、口令、数据库字段、文件名都可以暴力猜解,注意利用工具;利用Web***器,可以尽快发现一些明显的问题错误可能泄露服务器型号版本、数据库型号、路径、代码;搜索Google,CVE,BugTraq等漏洞库是否有相关的漏洞;服务器后台管理页面,路径是否可以列表等;是否可以上传恶意代码?是否可以任意下载系统文件;检查所有可以输入的地方:URL、参数、Post、Cookie、Referer、Agent等是否进行了严格的校验;HTTP协议是文本协议,可利用回车换行做边界干扰;用户输入是否可以影响服务器的执行;需要特殊工具才能利用这些攻击点;复杂的业务逻辑中是否隐藏漏洞。Web攻击工具:WebScarab特色:HTTP协议完全可见(可以完全操作所有的攻击点)支持HTTPS(包括客户端证书)全程数据与状态记录,可随时回顾P=OpenWebApplicationSecurityProject,OWASP是最权威的Web应用安全开源合作组织,其网站上有大量的Web应用安全工具与资料。WebScarab是OWASP组织推出的开源工具,可应用于一切基于HTTP协议系统的调试与攻击。Web攻击面不仅仅是浏览器中可见的内容访问资源名称GET与POST参数Referer与UserAgentHTTP方法CookieAjaxWebServiceFlash客户端JavaAppletPOST/?var1=:*/*Referer:-Language:en-us,de;q=-Encoding:gzip,deflateContent-Type:application/x-Content-Lenght:59User-Agent:Mozilla/:ection:Keep-AliveCookie:JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2uid=fred&password=secret&pagestyle=&action=login直接可在浏览器中利用的输入所有输入点更多输入点黑客实际利用的输入点Web攻击漏洞:安全漏洞库Security

02 常见Web安全漏洞 来自淘豆网www.taodocs.com转载请标明出处.

非法内容举报中心
文档信息
  • 页数107
  • 收藏数0 收藏
  • 顶次数0
  • 上传人读书百遍
  • 文件大小3.33 MB
  • 时间2019-07-15