web应用程序安全攻防
应用程序体系结构以及其安全威胁
1、三层架构:表示层、业务逻辑层和数据层
2、体系结构:浏览器、web服务器、web应用程序、数据库、传输协议HTTP/HTTPS
3、web应用安全威胁:针对浏览器和终端用户的web浏览安全、针对传输网络协议安全威胁、系统安全威胁、web应用程序安全威胁、web数据安全威胁。
web应用的安全攻防
web应用信息收集
1、手工审查web应用程序结构和源代码:静态和动态生成的页面、目录结构、辅助性文件、输入表单、查询参数字符串。
2、自动下载和镜像web站页面.
3、google hacking技术审查和探测web应用程序。
4、web应用程序安全评估与漏洞探测————辅助分析工具:浏览器插件、免费工具集、商业web应用安全评估系统和漏洞扫描器。
攻击web服务器软件
安全漏洞:数据驱动的远程代码执行安全漏洞、服务器功能扩展模块漏洞、样本文件安全漏洞、源代码泄漏、资源解析攻击
攻击web程序
web应用程序安全威胁:针对认证机制的攻击、授权机制、客户端攻击、命令执行攻击、信息暴露、逻辑攻击
攻击web数据内容
安全敏感数据泄漏、网站篡改、不良信息内容上传。
防范技术
1、web站点网络传输安全设防措施:HTTPS、加密的连接通道、静态绑定的MAC-TP映射。
2、web站点操作系统及服务安全设防措施:补丁更新、远程漏洞扫描、提升操作系统和服务安全性。
3、web应用程序安全设防措施。
4、web站点数据安全设防措施。
SQL注入
1、原理:向web应用提供的用户接口输入一段精心构造的SQL查询命令,攻击和利用不完善的输入机制,使得注入代码得以执行完成非预期的攻击操作行为。
2、步骤:发现SQL注入点、判断后台数据库类型、后台数据库中管理员用户口令字猜解、上传ASP后门、得到默认用户权限、利用数据库扩展存储过程执行shell命令
3、工具:wposion、wieliekoek.pl、SPItoolkit、HDSI等
4、防范措施:类型安全的参数编码机制、外部用户输入必须进行完备的安全检查、将动态SQL语句替换为存储过程,预编译SQL或ADO命令对象、加强SQL数据库服务器的配置和链接。
XSS攻击
1、攻击原理
2、工具类型:持久型、非持久型
3、测试和利用XSS漏洞步骤:测试XSS漏洞、显示用户会话cookie、窃取用户会话cookie、利用cookie信息假冒其他用户发表和修改帖子、编写实现XSS蠕虫。
4、防范措施:服务器端(输入验证、输出净化、消除危险输入点)、客户端(提升浏览器安全设置)
web浏览器安全攻防
web浏览器战争及技术发展
1、目前浏览器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。
2、安全问题和威胁:浏览器软件安全困境三要素(复杂性、可扩展性、连通性)、浏览安全威胁位置(网络协议、浏览端系统平台、浏览器软件以及插件程序的渗透攻击威胁、社会工程学)
网页木马
1、黑客地下经济链:病毒编写者、网络骇客、“信封”盗窃者、虚拟财产盗窃者、虚拟资产卖家、玩家。
2、网页木马:从根本上讲是针对web浏览端软件实施的客户端渗透攻击代码。
3、网络木马机理全方位分析与理解:被动式攻击、复杂、需要多种类型恶意代码和网络资源。
4、网页木马特性:多样化客户端渗透攻击位置和技术类型、分布式复杂的微观链接结构、灵活多变的混淆与对抗分析能力。
5、网络木马的核心————浏览器渗透攻击:例MS06-014漏洞以及ANI光标漏洞(堆内存操作技术)
6、网页挂马机制:内嵌HTML标签、恶意Script脚本、内嵌对象链接、ARP欺骗挂马。
7、混淆(免杀)机制:代码重新排版、大小写变换,十六进制编码等方式混淆、加密后解密方式、字符串运算,数学运算或者特殊函数混淆代码。
8、网页木马的检测和分析技术:基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果判定的检测方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。
9、防范措施:提升操作系统与浏览端平台软件安全性、安装和实时更新反病毒软件、安装Mac OS/Linux操作系统并使用冷门的浏览器