系统安全培训-Web安全性课件_第1页
系统安全培训-Web安全性课件_第2页
系统安全培训-Web安全性课件_第3页
系统安全培训-Web安全性课件_第4页
系统安全培训-Web安全性课件_第5页
已阅读5页,还剩32页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

系统安全

——Web安全性2014年7月2014中国计算机网络安全应急年会资料安全性问题之一SQL注入什么是SQLInjection:(SQL注入)

就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。

简而言之,是在输入的数据字符串中夹带SQL指令,在设计不良的程序中忽略了检查,那么在这些夹带的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此招致到破坏安全性问题之一SQL注入SQL注入的原因1、在应用程序中使用字符串联结方式组合SQL指令2、在应用程序链接数据库时使用权限过大的帐号(例如使用SA)3、在数据库中开放了不必要但权力过大的功能(如,在SQLServer中的的xp_cmdshell延伸预存程序或是OLEAutomation预存程序等)4、太过于信任用户所输入的数据,未限制输入的字符数安全性问题之一SQL注入SQL注入的危害修改数据库内容删除其它表窃取数据到本地执行系统命令,进而修改或控制操作系统、破坏硬盘数据等特点攻击耗时少、危害大安全性问题之一SQL注入问题代码(ASP+MSSQLServer)ifRequest.QueryString("id")isNoThingthenid=1else

id=Request.QueryString("id")endifsql="selecttitle,contentfrom[news]whereid="&idsetrs=Server.CreateObject("adodb.Recordset")rs.Opensql,connection,1,1安全性问题之一SQL注入修改数据库内容提交语句http://localhost/news.asp?id=1;updatenewssettitle='test'wheretitle='oldtitle’执行语句:selecttitle,contentfrom[news]whereid=1;updatenewssettitle='test'wheretitle='oldtitle'服务器返回的错误信息关键文件路径如何预防SQL注入?

从应用程序的角度来讲,我们要做以下三项工作:1.转义敏感字符及字符串(SQL的敏感字符包括:“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”//”,”..”,”;”,”‘”,”--”,”%”,”0x”,”><=!-*/()|”,和”空格”)。2.屏蔽出错信息:阻止攻击者知道攻击的结果3.服务端正式处理之前对提交数据的合法性进行检查(包括:数据类型,数据长度,敏感字符的校验)。在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作。安全性问题之二上传文件漏洞伪造客户端绕过上传后缀名检查可能导致上传木马解决方法:使用白名单,后台检查防止木马执行的方法给各个不必要的目录,去掉“执行”权限;删除不需要的程序映射。安全性问题之三XSSCross-SiteScripting(XSS):(跨站点脚本攻击)XSS是由于Web程序没有对用户提交的HTML内容进行适当的过滤,这样攻击者就可能在你的Web页中插入一些HTML语句,这些语句通过以<script>标签的形式出现。攻击者通常使用跨站脚本攻击来窃取COOKIES

和SESSION信息,或是欺骗用户将隐私信息暴露给错误对象(又称为钓鱼)。问题三XSS<html>Resultsfor<script>window.open(?...document.cookie...)</script></html>AttackServer受害人服务器受害人客户端usergetsbadlinkuserclicksonlinkvictimechoesuserinput/search.php?term=<script>...</script>安全性问题之三XSS跨站脚本XSS利用示例Cookie、Session会话CookieASPSESSIONIDXXXXXXXX、JSESSIONID、PHPSESSID安全性问题之四SCRFCross-SiteRequestForgery(SCRF):(跨站点请求伪造)SCRF的特性就是利用网站对用户标识的信任,欺骗用户的浏览器发送HTTP请求给目标站点。安全性问题之四SCRF浏览器和网站建立认证的会话Web浏览器跟可信的站点建立了一个经认证的会话之后,只要是通过该Web浏览器这个认证的会话所发送的请求,都被视为可信的动作。安全性问题之四SCRF恶意站点伪造的有效请求图中,发生了一个SCRF攻击。发起攻击的站点致使浏览器向可信的站点发送一个请求。该可信的站点认为,来自该Web浏览器的请求都是经过认证的有效请求,所以执行这个“可信的动作”。SCRF攻击之所以会发生,其根本原因就是Web站点所验证的是Web浏览器而非用户本身。安全性问题之四SCRF假如张三在浏览目标站点A,那么站点A便会给张三的浏览器一个cookie,用于存放一个伪随机数作为会话标识符sid,以跟踪她的会话。该站点会要求张三进行登录,当她输入有效的用户名和口令时,该站点会记录这样一个事实:张三已经登录到会话sid。当张三发送一个请求到站点A时,她的浏览器就会自动地发送包含sid的会话cookie。之后,站点A就会使用站点的会话记录来识别该会话是否来自张三。安全性问题之四SCRF客户端————(认证)——服务器Cookie:sid第三方站点——客户端——(恶意命令请求)———服务器第三方站点内容:<imgsrc=“/Transfer.html?srcAmount=A&TargetAmount=B&Turnover=1000”>指令:张三的账户A向账号B转账,交易金额1000安全性问题之四SCRF总之,只要身份认证是隐式进行的,就会存在SCRF攻击的危险,因为浏览器发出请求这一动作未必是受用户的指使。原则上,这种威胁可以通过对每个发送至该站点的请求都要求用户进行显式的、不可欺骗的动作(比如重新输入用户名和口令)来消除,但实际上这会导致严重的易用性问题。大部分标准和广泛应用的认证机制都无法防止CSRF攻击。安全性问题之四SCRFSCRF成功发动攻击前提是,用户必须已经登录到目标站点,并且必须浏览了攻击者的站点或被攻击者部分控制的站点。安全性问题之五XSIOCrossSiteImageOverlaying(XSIO):跨站图像叠加XSIO是因为没有限制图片的position属性为absolute,导致可以控制一张图片出现在网页的任意位置。那么我们就可以用这张图片去覆盖网页上的任意一个位置(link、button)。这就可以导致页面破坏。而给图片设置一个链接后,很显然就可以起到一个钓鱼的作用。由于对正常的HTML标签是没有做过滤的,所以我们可以用这些标签或CSS样式来实施XSIO攻击。安全性问题之六XSIOCrossSiteImageOverlaying(XSIO):跨站图像叠加测试方法:<ahref=http://><imgsrc=""style="position:absolute;left:123px;top:123px;"></a>安全性问题之六XSIOhttp://XX.XXX.X.XXX/XX_bbs/websource/BBS/article_det.aspx?id=15&aid=2015<ahref="javAScrIpT:alert('跨站图像叠加XSIO');"><imgheight="240"src="/BL_BBS/uploads/a2.JPG"width="320"style="filter:alpha(opacity=30);left:0px;position:absolute;top:100px;opacity:0.3"/></a>跨站图像叠加安全性问题的根源客户端数据的不可信任性。Never—underanycircumstances—trustdatafromthebrowser.(从不要相信来自浏览器端的数据,因为你永远不可能知道在浏览器进行数据操作是你的用户还是正在寻找攻击漏洞的黑客)不信任客户端如何交换数据?解决方法:安全性测试安全性测试是一个很大的题目,首先取决于要达到怎样的安全程度。不要期望网站可以达到100%的安全。解决方法:安全性测试(1)如何进行XSS测试?首先,找到带有参数传递的URL,如登录页面,搜索页面,提交评论,发表留言页面等等。其次,在页面参数中输入如下语句(如:Javascript,VBscript,HTML,ActiveX,Flash)来进行测试:<script>alert(document.cookie)</script>解决方法:安全性测试(2)如何预防XSS漏洞?从应用程序的角度来讲,要进行以下几项预防:对Javascript,VBscript,HTML,ActiveX,Flash等语句或脚本进行转义。在服务端正式处理之前对提交数据的合法性进行检查(包括:数据类型,数据长度,敏感字符的校验)等。从测试人员的角度来讲,要从需求检查和执行测试过程两个阶段来完成XSS检查:在

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论