计算机网络安全技术(第4版)第7章Web应用安全课件

1第7章Web应用安全计算机网络安全技术（第4版）工业和信息化“十三五”高职高专人才培养规划教材第7章 Web应用安全人民邮电出版社2第7章Web应用安全能力CAPACITY要求能通过查阅相关资料，独立分析所遇到的各种Web应用安全问题，并找出合理的解决方法。能根据实际需要正确进行Web服务器软件、Web应用程序、Web传输和Web浏览器的安全配置。3第7章Web应用安全内容CONTENTS导航Web服务器软件的安全威胁及其防范Web应用的体系架构及其安全威胁Web应用程序的安全威胁及其防范Web传输的安全威胁及其防范Web浏览器的安全威胁及其防范4第7章Web应用安全5第7章Web应用安全6第7章Web应用安全内容CONTENTS导航Web服务器软件的安全威胁及其防范Web应用的体系架构及其安全威胁Web应用程序的安全威胁及其防范Web传输的安全威胁及其防范Web浏览器的安全威胁及其防范7第7章Web应用安全二、Web服务器软件的安全威胁及其防范Web服务器软件的安全常见的Web服务软件的安全漏洞l数据驱动的远程代码执行安全漏洞l服务器功能扩展模块漏洞l源代码泄露安全漏洞l资源解析安全漏洞Web服务器软件的安全防范措施l及时进行Web服务器软件的补丁更新l对Web服务器进行全面的漏洞扫描，并及时修复这些安全漏洞，以防范攻击者利用这些安全漏洞实施攻击l采用提升服务器安全性的一般性措施8第7章Web应用安全二、Web服务器软件的安全威胁及其防范IIS的安全IIS安装安全用户控制安全访问权限控制9第7章Web应用安全IIS的安全lIP地址控制l端口安全lIP转发安全lSSL安全10第7章Web应用安全内容CONTENTS导航Web服务器软件的安全威胁及其防范Web应用的体系架构及其安全威胁Web应用程序的安全威胁及其防范Web传输的安全威胁及其防范Web浏览器的安全威胁及其防范11第7章Web应用安全三、Web应用程序的安全威胁及其防范Web应用程序的安全威胁排名OWASP Top 101代码注入2不安全的身份认证和会话管理3跨站脚本（XSS）4不安全的直接对象引用5不安全的配置6敏感信息泄露7功能级访问控制缺失8跨站请求伪造（CSRF）9使用含有已知漏洞的组件10未经安全验证的重定向和转发表7-1OWASP团队公布的Top10Web应用程序安全风险（2013版）12第7章Web应用安全三、Web应用程序的安全威胁及其防范Web应用程序的安全防范措施l在满足需求的情况下，尽量使用静态页面代替动态页面。l动态Web站点尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包。l对用户输入的数据进行严格验证，对代码进行安全检测。l操作后台数据库时，尽量采用视图、存储过程等技术。l对Web应用程序的所有访问请求进行日志记录和安全审计。13第7章Web应用安全三、Web应用程序的安全威胁及其防范SQL注入攻击SQL注入（StructuredQueryLanguageInjection）利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术。从正常的WWW端口访问，而且表面看起来跟一般的Web页面没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。SQL注入攻击是攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。14第7章Web应用安全三、Web应用程序的安全威胁及其防范SQL注入攻击的原理lSQL注入的攻击原理是向Web应用程序提供的用户输入接口（如一个动态页面的输入参数、表单的输入框，等等）输入一段精心构造的SQL查询命令，攻击和利用不完善的输入验证机制，使得注入代码得以执行完成非预期的攻击操作行为。l常见的SQL注入漏洞：l一类是由于没有对用户输入进行过滤以消除SQL语言中的字符串转义字符l另一类是由于不正确的类型处理，没有对用户输入参数进行类型约束的检查15第7章Web应用安全三、Web应用程序的安全威胁及其防范SQL注入攻击的过程16第7章Web应用安全三、Web应用程序的安全威胁及其防范SQL注入攻击的步骤（手工注入）l判断环境，寻找注入点，判断网站后台数据库类型l根据注入参数类型，在脑海中重构SQL语句的原貌，从而猜测数据库中的表名和列名l在表名和列名猜解成功后，再使用SQL语句，得出字段的值17第7章Web应用安全三、Web应用程序的安全威胁及其防范SQL注入演示实验软件工具：明小子注入工具18第7章Web应用安全三、Web应用程序的安全威胁及其防范SQL注入攻击的防御（1）最小权限原则，如非必要，不要使用sa、dbo等权限较高的账户。（2）对用户的输入进行严格的检查，过滤掉一些特殊字符，强制约束数据类型、约束输入长度等。（3）使用存储过程代替简单的SQL语句。（4）当SQL运行出错时，不要把全部的出错信息全部显示给用户，以免泄露一些数据库的信息。19第7章Web应用安全三、Web应用程序的安全威胁及其防范跨站脚本攻击XSSl工作原理：利用Web应用程序的漏洞，在Web页面中插入恶意的HTML、JavaScript或其他恶意脚本。当用户浏览该页面时，客户端浏览器就会解析和执行这些代码，从而造成客户端用户信息泄露、客户端被渗透攻击等后果。l跨站脚本攻击的最终目标不是提供服务的Web应用程序，而是使用Web应用程序的用户。20第7章Web应用安全三、Web应用程序的安全威胁及其防范跨站脚本攻击的类型l反射型XSS是目前最为普遍的跨站脚本类型；它只是简单地把用户在HTTP请求参数或HTML提交表单中提供的数据“反射”给浏览器。也称非持久型XSS典型例子：站点搜索功能l存储型XSS危害最为严重的跨站脚本类型。它将用户输入的数据持久性地“存储”在Web服务器端，并在一些“正常”页面中持续性地显示，从而能够影响所有访问这些页面的其他用户。也称持久性XSS典型例子：博客、留言本、BBS论坛等Web应用程序l基于DOM的XSS21第7章Web应用安全三、Web应用程序的安全威胁及其防范跨站脚本攻击演示实验22第7章Web应用安全三、Web应用程序的安全威胁及其防范跨站脚本攻击演示实验23第7章Web应用安全内容CONTENTS导航Web服务器软件的安全威胁及其防范Web应用的体系架构及其安全威胁Web应用程序的安全威胁及其防范Web传输的安全威胁及其防范Web浏览器的安全威胁及其防范24第7章Web应用安全四、Web传输的安全威胁及其防范Web传输的安全威胁及防范l主要安全威胁：针对HTTP明文传输的监听、假冒身份攻击和拒绝服务攻击。l提升Web传输安全的措施：l启用SSLl通过加密的连接通道来管理Web站点l采用静态绑定MAC地址、在服务网段内进行ARP等攻击行为的检测、在网关位置部署防火墙和入侵检测系统等检测和防护手段，应对拒绝服务攻击25第7章Web应用安全四、Web传输的安全威胁及其防范SSL安全通信演示实验从一个对话框说起26第7章Web应用安全四、Web传输的安全威胁及其防范认识SSLl什么是SSL？SSL（SecureSocketLayer，安全套接层）协议是Netscape公司为了保证Web通信的安全而提出的一种网络安全通信协议。l工作原理l基本特征l数据保密性l数据完整性l身份认证27第7章Web应用安全四、Web传输的安全威胁及其防范如何在IIS中配置SSLl【实验整体思路】l【实验步骤】1.安装“证书服务”Windows组件2.在服务器创建服务器证书请求 3.申请并安装服务器证书请求 4.客户端通过SSL安全通道建立和服务器的连接 5.申请并安装客户端证书 28第7章Web应用安全四、Web传输的安全威胁及其防范实验总结不显示登录用户名.合理分配其他用户权限l借助SSL在传输层实现了Web通信的安全lSSL是PKI技术在Web安全中的一个重要应用。29第7章Web应用安全内容CONTENTS导航Web服务器软件的安全威胁及其防范Web应用的体系架构及其安全威胁Web应用程序的安全威胁及其防范Web传输的安全威胁及其防范Web浏览器的安全威胁及其防范30第7章Web应用安全五、Web浏览器的安全威胁及其防范Web浏览器的安全威胁l利用Web浏览器软件及其插件程序的安全漏洞实施的渗透攻击威胁，包括：网页木马、浏览器劫持等。l针对互联网用户的社会工程学攻击威胁，包括：网络钓鱼等。31第7章Web应用安全五、Web浏览器的安全威胁及其防范IE浏览器的安全防范01020304设置IE浏览器的安全级别清除IE缓存隐私设置关闭自动完成功能32第7章Web应用安全五、Web浏览器的安全威胁及其防范Cookie的安全性l什么是Cookie？lCookie：当用户通过浏览器访问Web服务器时，Web服务器发送的、存储在Web浏览器端（即用户端）的一些简短的信息片断lCookie的存在在一定程度上是对个人隐私的一种潜在威胁33第7章Web应用安全五、Web浏览器的安全威胁及其防范Cookie欺骗演示实验34第7章Web应用安全五、Web浏览器的安全威胁及其防范Cookie欺骗演示实验35第7章Web应用安全五、Web浏览器的安全威胁及其防范Web浏览器的安全防范l加强安全意识，通过学习提升自己抵御社会工程学攻击的能力l勤打补丁，将操作系统和浏览器软件更新到最新版本，确保所使用的计算机始终处于一个相对安全的状态l合理利用浏览器软件、网络安全厂商软件和设备提供的安全功能设置，提升Web浏览器的安全性36第7章Web应用安全THANKS