02 常见Web安全漏洞优质课件.ppt

Web安全现状SQL注入XSSCSRF文件上传目录遍历其他Web安全漏洞目录Web丰富了我们的生活Web来源于WorldWideWeb,的重要组成部分,形形色色的Web系统正在改变着我们的生活。网上购物网上汇款交费写博客Web小游戏竞选网上营业厅Web系统的安全性参差不齐……复杂应用系统代码量大、开发人员多、难免出现疏忽;系统屡次升级、人员频繁变更,导致代码不一致;历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上;开发人员未经过安全编码培训;定制开发系统的测试程度不如标准的产品;……相对安全性而言,开发人员更注重系统功能!客户满意界面友好操作方便处理性能实现所有功能架构合理代码修改方便运行稳定没有bug不同模块低耦合开发进度与成本开发者的关注点Web攻击场景攻击动机攻击方法攻击工具系统漏洞防范措施攻击面(attacksurface)Web服务器黑客Web攻击动机常见Web攻击动机恶作剧;关闭Web站点,拒绝正常服务;篡改Web网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;……常用的***exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-001Web攻击工具:WebScarab特色:HTTP协议完全可见(可以完全操作所有的攻击点)支持HTTPS(包括客户端证书)全程数据与状态记录,可随时回顾P=OpenWebApplicationSecurityProject,OWASP是最权威的Web应用安全开源合作组织,其网站上有大量的Web应用安全工具与资料。WebScarab是OWASP组织推出的开源工具,可应用于一切基于HTTP协议系统的调试与攻击。Web攻击面不仅仅是浏览器中可见的内容访问资源名称GET与POST参数Referer与UserAgentHTTP方法CookieAjaxWebServiceFlash客户端JavaAppletPOST/?var1=:*/*Referer:-Language:en-us,de;q=-Encoding:gzip,deflateContent-Type:application/x-Content-Lenght:59User-Agent:Mozilla/:ection:Keep-AliveCookie:JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2uid=fred&password=secret&pagestyle=&action=login直接可在浏览器中利用的输入所有输入点更多输入点黑客实际利用的输入点Web攻击漏洞:安全漏洞库Securityfocus网站的漏洞库名称为Bugtraq,它给每个漏洞编号叫BugtraqID。()CVE是和Bugtraq齐名的漏洞库,它给漏洞库编号叫CVEID。(http://cve./)CVE与Bugtraq漏洞库都会对确认的漏洞进行统一编号,其编号是业界承认的统一标准,有助于避免混淆。在这些漏洞库中都可以查到大量的Web应用漏洞。,简称为XSS如果Web应用没有对攻击者的输入进行适当的编码和过滤,就转发给其他用户的浏览器时,可能导致XSS漏洞;攻击者可利用XSS在其他用户的浏览器中运行恶意脚本,偷窃用户的会话,或是偷偷模拟用户执行非法的操作。发帖子,发消息2注入InjectionFlaws如果Web应用没有对攻击者的输入进行适当的编码和过滤,就用于构造数据库查询或操作系统命令时,可能导致注入漏洞;攻击者可利用注入漏洞诱使Web应用执行未预见的命令(即命令SQL注入)或数据库查询(即SQLSQL注入)。搜索用户3文件上传MaliciousFileExecution如果Web应用允许用户上传文件,但对上传文件名未作适当的过滤时,用户可能