web应用程序安全攻防

应用程序体系结构以及其安全威胁

1、三层架构：表示层、业务逻辑层和数据层

2、体系结构：浏览器、web服务器、web应用程序、数据库、传输协议HTTP/HTTPS

3、web应用安全威胁：针对浏览器和终端用户的web浏览安全、针对传输网络协议安全威胁、系统安全威胁、web应用程序安全威胁、web数据安全威胁。

web应用的安全攻防

web应用信息收集

1、手工审查web应用程序结构和源代码：静态和动态生成的页面、目录结构、辅助性文件、输入表单、查询参数字符串。

2、自动下载和镜像web站页面.

3、google hacking技术审查和探测web应用程序。

4、web应用程序安全评估与漏洞探测————辅助分析工具：浏览器插件、免费工具集、商业web应用安全评估系统和漏洞扫描器。

攻击web服务器软件

安全漏洞：数据驱动的远程代码执行安全漏洞、服务器功能扩展模块漏洞、样本文件安全漏洞、源代码泄漏、资源解析攻击

攻击web程序

web应用程序安全威胁：针对认证机制的攻击、授权机制、客户端攻击、命令执行攻击、信息暴露、逻辑攻击

攻击web数据内容

安全敏感数据泄漏、网站篡改、不良信息内容上传。

防范技术

1、web站点网络传输安全设防措施：HTTPS、加密的连接通道、静态绑定的MAC-TP映射。

2、web站点操作系统及服务安全设防措施：补丁更新、远程漏洞扫描、提升操作系统和服务安全性。

3、web应用程序安全设防措施。

4、web站点数据安全设防措施。

SQL注入

1、原理：向web应用提供的用户接口输入一段精心构造的SQL查询命令，攻击和利用不完善的输入机制，使得注入代码得以执行完成非预期的攻击操作行为。

2、步骤：发现SQL注入点、判断后台数据库类型、后台数据库中管理员用户口令字猜解、上传ASP后门、得到默认用户权限、利用数据库扩展存储过程执行shell命令

3、工具：wposion、wieliekoek.pl、SPItoolkit、HDSI等

4、防范措施：类型安全的参数编码机制、外部用户输入必须进行完备的安全检查、将动态SQL语句替换为存储过程，预编译SQL或ADO命令对象、加强SQL数据库服务器的配置和链接。

XSS攻击

1、攻击原理

2、工具类型：持久型、非持久型

3、测试和利用XSS漏洞步骤：测试XSS漏洞、显示用户会话cookie、窃取用户会话cookie、利用cookie信息假冒其他用户发表和修改帖子、编写实现XSS蠕虫。

4、防范措施：服务器端（输入验证、输出净化、消除危险输入点）、客户端（提升浏览器安全设置）

web浏览器安全攻防

web浏览器战争及技术发展

1、目前浏览器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。

2、安全问题和威胁：浏览器软件安全困境三要素（复杂性、可扩展性、连通性）、浏览安全威胁位置(网络协议、浏览端系统平台、浏览器软件以及插件程序的渗透攻击威胁、社会工程学)

网页木马

1、黑客地下经济链：病毒编写者、网络骇客、“信封”盗窃者、虚拟财产盗窃者、虚拟资产卖家、玩家。

2、网页木马:从根本上讲是针对web浏览端软件实施的客户端渗透攻击代码。

3、网络木马机理全方位分析与理解：被动式攻击、复杂、需要多种类型恶意代码和网络资源。

4、网页木马特性：多样化客户端渗透攻击位置和技术类型、分布式复杂的微观链接结构、灵活多变的混淆与对抗分析能力。

5、网络木马的核心————浏览器渗透攻击：例MS06-014漏洞以及ANI光标漏洞（堆内存操作技术）

6、网页挂马机制：内嵌HTML标签、恶意Script脚本、内嵌对象链接、ARP欺骗挂马。

7、混淆（免杀）机制：代码重新排版、大小写变换，十六进制编码等方式混淆、加密后解密方式、字符串运算，数学运算或者特殊函数混淆代码。

8、网页木马的检测和分析技术：基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果判定的检测方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。

9、防范措施：提升操作系统与浏览端平台软件安全性、安装和实时更新反病毒软件、安装Mac OS/Linux操作系统并使用冷门的浏览器