WEB应用与开发安全

WEB应用与开发

常见的安全缺陷及解决办法

余德贵yudgu@163.com数据库(D)WEBSERRVER(S)浏览器(B)ASPresponseASPrequest1、web应用程序的结构和安全（ASP）

可能出现的安全问题：（1）服务端：操作系统、Web网站访问安全（TCP/IP端口）、应用程序（ASP/执行文件的运行等）、数据库安全（如数据的合法性）（2）客户端：访问Web网站资源时出现的安全，如脚本安全，执行文件（exe、bat）的下载和运行（3）传输：数据被拦截、侦听、数据包解密等。（2）客户端（1）服务端（3）传输2、web应用程序安全（ASP）安全表征：（1）服务端：数据库丢失、数据失窃和修改、据库服务停止、Web网站瘫痪或页面被修改（盗连接）、操作系统崩溃等 安全缺陷：操作系统、数据服务和web应用程序本身的缺陷（2）客户端：浏览器、操作系统设置被恶意修改、数据失窃和修改、操作系统崩溃等安全缺陷：操作系统本身的缺陷、保护意识和非法使用计算机软件2、web应用程序安全攻击、侵入网站、病毒（木马设计）的目的：（1）表现自己的计算机水平（好奇）（2）窃取数据机密（如情报）（3）商业目的，如计算机病毒的生产与某些杀毒软件公司有密切联系（4）保护自己程序代码。故意攻击、侵入网站、病毒（木马）设计和传播是犯罪行为！用autorun.inf文件传播我木马或病毒

最近出现了用autorun.inf文件传播我木马或病毒，它通过使用者的误操作让目标程序执行，达到侵入电脑的目的，autorun.inf常用于对文件的安装等操作，是为了方便使用者运行程序。但因为有木马和病毒通过它传播所以它带来了很大的负面影响。利用TCP/IP协议设计的NethackerⅡ等黑客软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。防范这类事情发生的方法无非是经常检查系统，给系统打上补丁，经常使用反黑杀毒软件，上网时打开防火墙，注意异常现象，留意AutoRun.inf文件的内容，关闭共享或不要设置为完全共享，且加上复杂的共享密码。操作系统、数据服务和web应用程序本身的缺陷攻击、侵入网站Windows的某些服务程序，Tcp/ip\数据共享SQLServer的sql语句（数据库注入）ASP程序代码执行安全二、sqlserver数据防止注入

攻击者可以在输入域中插入特殊字符，改变SQL查询的本意，欺骗数据库服务器执行恶意的查询恶意查询，有可能获取后端数据库保存的任何信息，例如客户信用卡号码的清单甚至进入操作系统。Sql注入式攻击是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因：<%username=Request.form("username")Password=Request.form("Password")setRs=server.CreateObject("ADODB.Recordset")SetDbCn=Server.CreateObject("ADODB.Connection")‘用户验证代码：Sql=“select*fromuserwhereusermane=‘”&username&”’andPassword=‘”&Password&”’”Rs.opensql,dbcn,1,3Ifnotrs.eofthen‘用户验证通过！进入系统。Endif%>Password=“123456’or‘2’=‘2”

Password=“123456’deletefromuser”

3、web应用程序开发安全措施(ASP）

二、sqlserver数据防止注入

运行dos命令netuserxp_cmdshelladdexecmaster.dbo.xp_cmdshell

netlocalgroupadministratorsEXECmaster.dbo.xp_cmdshell'netuseraaa123456/add'EXECmaster.dbo.xp_cmdshell'netuseraaa123456/add'EXECmaster.dbo.xp_cmdshell'netlocalgroupAdministratorsaaa/add‘EXECmaster.dbo.xp_cmdshell'netlocalgroupCOMPUTER\RemoteDesktopUsersaaa/add‘处理办法：最小权限原则。特别是不要用dbo或者sa账户，为不同的类型的动作或者组建使用不同的账户，最小权限原则适用于所有与安全有关的场合对用户输入进行检查。对一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤；使用强数据类型，比如你需要用户输入一个整数，就要把用户输入的数据转换成整数形式；限制用户输入的长度等等。这些检查要放在server运行，client提交的任何东西都是不可信的使用存储过程，如果一定要使用sq语句，那么用标准的方式组建sql语句，比如可以利用parameters对象，避免用字符串直接拼sq命令。当sql运行出错时，不要把数据库返回的错误信息全部显示给用户，错误信息经常会透露一些数据库设计的细节针对常用的sql注入式攻击方式对症下药3、web应用程序开发安