02 常见Web安全漏洞PPT课件.pptx

常见Web安全漏洞
杭州华三通信技术有限公司版权所有,未经授权不得使用与传播
H3C专业安全培训课程
Web安全现状
SQL注入
XSS
CSRF
文件上传
目录遍历
其他Web安全漏洞
目录
Web丰富了我们的生活
Web来源于World Wide Web,的重要组成部分,形形色色的Web系统正在改变着我们的生活。
网上购物
网上汇款交费
写博客
Web小游戏
竞选
网上营业厅
Web系统的安全性参差不齐……
复杂应用系统代码量大、开发人员多、难免出现疏忽;
系统屡次升级、人员频繁变更,导致代码不一致;
历史遗留系统、试运行系统等多个Web系统共同运行于同一台服务器上;
开发人员未经过安全编码培训;
定制开发系统的测试程度不如标准的产品;
……
相对安全性而言,开发人员更注重系统功能!
客户
满意
界面友好
操作方便
处理
性能
实现
所有功能
架构合理
代码修改方便
运行
稳定
没有bug
不同模块
低耦合
开发进度与成本
开发者的关注点
Web攻击场景
攻击动机
攻击方法
攻击工具
系统漏洞
防范措施
攻击面(attack surface)
Web服务器
黑客
Web攻击动机
常见Web攻击动机
恶作剧;
关闭Web站点,拒绝正常服务;
篡改Web网页,损害企业名誉;
免费浏览收费内容;
盗窃用户隐私信息,例如Email;
以用户身份登录执行非法操作,从而获取暴利;
以此为跳板攻击企业内网其他系统;
网页挂木马,攻击访问网页的特定用户群;
仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;
……
常用的***exploit
MS07-017 MS Windows Animated Cursor (.ANI) Remote Exploit
MS07-019
MS07-004 VML Remote Code Execution
MS06-073
MS06-071 XML Core Services Remote Code Execution
MS06-068
MS06-067
MS06-057 WebViewFolderIcod ActiveX
MS06-055
MS06-014 MDAC Remote Code Execution
MS06-013
MS06-005
MS06-004
MS06-001
Web攻击工具:WebScarab
特色:
HTTP协议完全可见(可以完全操作所有的攻击点)
支持HTTPS (包括客户端证书)
全程数据与状态记录,可随时回顾

OWASP=Open Web Application Security Project,OWASP是最权威的Web应用安全开源合作组织,其网站上有大量的Web应用安全工具与资料。
WebScarab是OWASP组织推出的开源工具,可应用于一切基于HTTP协议系统的调试与攻击。
Web攻击面不仅仅是浏览器中可见的内容
访问资源名称
GET与POST参数
Referer与User Agent
HTTP 方法
Cookie
Ajax
Web Service
Flash客户端
Java Applet
POST /?var1= HTTP/
Accept: */*
Referer:
Accept-Language: en-us,de;q=
Accept-Encoding: gzip, deflate
Content-Type: application/x-
Content-Lenght: 59
User-Agent: Mozilla/
Host: nection: Keep-Alive
Cookie: JSESSIONID=0000dITLGLqhz1dKkPEtpoYqbN2
uid=fred&password=secret&pagestyle=&action=login
直接可在浏览器中利用的输入
所有输入点
更多输入点
黑客实际利用的输入点
Web攻击漏洞:安全漏洞库
Securityfocus网站的漏洞库名称为Bugtraq,它给每个漏洞编号叫Bugtraq ID。()
CVE是和Bugtraq齐名的漏洞库,它给漏洞库编号叫CVE ID。(http://cve./ )
CVE与Bugtraq漏洞库都会对确认的漏洞进行统一编号,其编号是业界承认的统一标准,有助于避免混淆。在这些漏洞库中都可以查到大量的Web应用漏洞。