Web应用安全技术原理与实践 课件 第6章 Web应用安全概述

Web应用安全第六章Web应用安全概述2时间攻击事件攻击方法2022.1.13-14乌克兰外交部、教育部、内政部、能源部等70多个政府网站遭到了网络攻击，导致大部分网站瘫痪Web系统漏洞，如CVE-2021-32648，Log4j漏洞等2022.1.15乌克兰政府部门的多台主机植入勒索病毒和木马程序木马攻击2022.2.14乌克兰政府新闻网站和Privatbank银行网站拒绝服务攻击。DDOS攻击2022.2.23数据擦除恶意软件HermeticWiper在乌克兰的数百台计算机上被发现，遭到数据擦除攻击,涉及目标包括金融及政府承包商。木马攻击2022.2.24俄罗斯RT电视台称网站遭到DDoS攻击，大约27%的攻击地址位于美国，攻击时间持续6小时DDOS攻击2022.2.25匿名者的攻击导致俄罗斯多个政府网站下线，包括总统普京的官方克里姆林宫、俄罗斯国防部、俄罗斯议会、国营媒体今日俄罗斯RT电视台等。Web系统漏洞攻击2022.2.28隶属于匿名者的黑客组织GNG入侵并泄露了俄罗斯SberBANK的数据库；匿名者黑客组织攻击了俄罗斯海关系统致使网站无法登录Web系统相关漏洞攻击2022.3.7匿名者入侵了多个俄罗斯十分受欢迎的流媒体平台，不间断的播放来自乌克兰的战争画面。Web系统相关漏洞攻击俄乌冲突中披露的网络攻击事件32022年度网络安全漏洞态势报告-CNNVD42023年9月漏洞情况月度通报--CNVD5我国互联网网络安全监测数据分析-2021年上半年（CNCERT）我国境内遭篡改的网站有近3.4万个，其中被篡改的政府网站177个。网站安全网页仿冒我国境内网站仿冒网页约1.3万余个，其中经融（尤其是农村信用社）、电信等重点行业8000多个，同比增长31.2%。网站后门境外8,289个IP地址对我国境内约1.4万个网站植入后门，同比减少62.4%，其中位于美国的地址最多。网页篡改6Web1.0时代攻击目标：网站的网页表现形式：更改网站主页攻击手段：利用Web服务器或其他系统漏洞进行攻击。1Web应用中的主要安全问题72Web应用中的主要安全问题Web2.0时代攻击者8OWASP

TOP10OWASP成立于2001年，2004年、2007年、2010年、2013年、2017年、2021年，先后6次发布TOP10。服务器端服务器端Web前端服务器端服务器端2Web应用中的主要安全问题Web2.0时代9Web后端安全问题Web前端安全问题HTTP协议相关安全问题SQL注入漏洞、文件操作类漏洞、命令注入漏洞、代码注入漏洞、XXE、反序列化漏洞、SSRF攻击、Webshell等XSS（Cross-SiteScripting）漏洞、网站钓鱼、XSS蠕虫、点击劫持、网页挂马、浏览器安全CSRF攻击、会话攻击（会话固定、会话预测等）、HTTP消息头注入2Web应用中的主要安全问题Web2.0时代10Web应用安全问题Web2.0时代Web应用渗透测试渗透测试流程、渗透测试工具、代码审计、漏洞扫描、指纹识别、GoogleHacking、……应用系统安全问题业务逻辑问题（如用户管理、权限管理等）、系统设计缺陷、数据安全保护失效、……Web安全防护问题WAF、Web木马防护、应急响应、数据备份恢复、……11课程目标1、理解Web应用系统的基本组成和运行原理2、理解主要Web应用漏洞（SQL注入漏洞、文件操作类漏洞、命令注入漏洞、XXE漏洞、XSS漏洞、反序列化漏洞、