第7章应用安全技术教学课件PPT.ppt

《第7章应用安全技术教学课件PPT.ppt》由会员分享，可在线阅读，更多相关《第7章应用安全技术教学课件PPT.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、完整版教学课件完整版教学课件第7章 应用安全技术2XXX 微信：XXX XXX/XXXXXX学院信息安全技术3XXX 微信：XXX XXX/第7章 应用安全技术本章学习目标 了解Web应用的安全现状 了解XSS跨站攻击技术 掌握电子邮件加密技术 了解防垃圾邮件技术 掌握Kali Linux中创建WiFi热点 了解网上银行账户安全常识 掌握WinHEX的一般使用人们的生活越来越离不开网络，但是目前的网络环境隐藏着种种威胁，因此本章通过介绍Web应用安全、电子邮件加密技术、防垃圾邮件技术、Kali Linux中创建WiFi热点以及网上银行账户安全常识，来提高读者安全使用网络的水平。4XXX 微信：

2、XXX XXX/7.1 Web应用安全技术截至2021年1月，全球手机用户数量为52.2亿，互联网用户数量为46.6亿。截至2020年12月，我国网民规模为9.89亿，互联网普及率达70.4%。许多用户会利用网络进行购物、银行转账支付和各种软件下载。而近年来互联网的环境发生了很大的变化，Web 2.0/3.0成为互联网热门的概念，Web相关技术和应用的发展使得在线协作、共享更加方便。人们在享受网络便捷的同时，网络环境也变得越来越危险。随着多形态攻击的数量增多，传统防护手段的安全效果也越来越差，总是处于预防威胁检测威胁处理威胁策略执行的循环之中。面对来势汹汹的新型Web威胁，传统的防护模式已经过

3、于陈旧。面对目前通过Web传播的复合式攻击，无论是代码比对、行为分析、内容过滤，还是端口封闭、统计分析，都表现得无能为力。单一的安全产品在对付复合式攻击时也明显地力不从心。5XXX 微信：XXX XXX/7.1.1 Web技术简介与安全分析 Web是World Wide Web的简称，即万维网。Web服务是指采用B/S架构（Browser/Server），通过HTTP协议提供服务的统称，这种结构也称为Web架构。1Web服务器服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web 服务器是驻留在服务器上的软件，它汇集了大量的信息。Web服务器的作用就是管理这些文档，

4、按用户的要求返回信息。 UNIX/Linux系统中的Web服务器多采用Apache服务器软件；Window系统中的Web服务器多采用IIS （Internet Information Server）服务器软件。目前，Apache服务器软件占据最大的市场份额，并且可以在多种环境下运行，如UNIX、Linux、Solaris和Windows 等。2Web浏览器Web浏览器用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示。Web浏览器从Web服务器下载和获取文件，翻译下载文件中的HTML代码，进行格式化，根据HTML中的内容，在屏幕上显示信息。如果文件中包含图像以及其他格式的文件（如声频

5、、视频和Flash等），Web浏览器会做相应的处理或依据所支持的插件进行必要的显示。 常见的Web浏览器软件有Firefox、IE（Internet Explorer）和Chrome等。6XXX 微信：XXX XXX/7.1.1 Web技术简介与安全分析 3通信协议 通信协议是指HTTP协议（HyperText Transfer Protocol，超文本传输协议），Web浏览器与服务器之间遵循HTTP协议进行通信传输。HTTP是分布式的Web应用的核心技术协议，在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式，以及 Web页面在Internet上

6、的传输方式。一般情况下，Web服务器在80端口监听，等待Web浏览器的请求，Web浏览器通过3次握手与Web服务器建立起TCP/IP连接。4HTML和JavaScript语言（1）HTML（HyperText Markup Language，超文本标记语言）。HTML是一种用来制作网页的标记语言，它不需要编译，可以直接由浏览器执行，属于浏览器解释型语言。（2）JavaScript。JavaScript是一种面向对象的描述语言，可以用来开发Internet客户端的应用程序。建立一个名为javascript.html的文件，如图7.1所示。在IE中打开javascript.html文件，可以看到如

7、图7.2所示的窗口。7XXX 微信：XXX XXX/7.1.1 Web技术简介与安全分析 图7.1 javascript.html文件 图7.2 在IE中打开javascript.html文件8XXX 微信：XXX XXX/7.1.1 Web技术简介与安全分析 修改javascript.html的文件，如图7.3所示。在JavaScript脚本中定义了一个函数testAlert()。在网页中有一个按钮对象，当单击该按钮时，执行相应的JavaScript函数testAlert()。在IE中打开javascript.html文件，可以看到如图7.4所示的窗口。图7.3 修改后的javascript

8、.html文件 图7.4 在IE中打开修改后的javascript.html文件9XXX 微信：XXX XXX/7.1.1 Web技术简介与安全分析 5WebShellWebShell具有可以管理Web和修改主页内容的权限，如果要修改别人的主页，一般都需要这个权限，上传漏洞要得到的也是这个权限。如果某个服务器的权限设置得不好，那么通过WebShell可以得到该服务器的最高权限。6上传漏洞在浏览器地址栏中网址的后面加上“/up”（或与此含义相近的名字），如果显示“上传格式不正确”等类似的提示，说明存在上传漏洞，可以用上传工具得到WebShell。7暴库这个漏洞现在已经很少见了，但是还有一些站点存

9、在这个漏洞。暴库就是通过猜测数据库文件所在的路径来将其下载，得到该文件后就可以破解该网站的用户密码了。例如，在Firefox浏览器地址栏中输入，可以将此网站的数据库文件下载。8旁注当入侵A网站时发现这个网站无懈可击，此时可从与A网站在同一服务器的B网站入手。入侵B网站后，利用B网站得到服务器的管理员权限，从而获得了对A网站的控制权。9CGICGI（Common Gateway Interface，公共网关接口）是运行在服务器上的一段程序。绝大多数CGI程序被用来解释来自浏览器表单的输入信息，并在服务器产生相应的处理，或将相应的信息反馈给浏览器。CGI程序使网页具有交互功能。CGI可以用任何一种

10、语言编写，只要这种语言具有标准输入、输出和环境变量。UNIX/Linux环境中有Perl（Practical Extraction and Report Language）、Bourne Shell、Tcl（Tool Command Language）和C语言等。Windows环境中有C/C+、Perl等。10XXX 微信：XXX XXX/7.1.1 Web技术简介与安全分析 10Web系统架构Web系统一般架构如图7.5所示。图7.5 Web系统一般架构11Web系统架构安全分析浏览器可能给用户计算机带来安全问题，因为Web技术可以对本地硬盘进行操作，可以把木马、病毒放到客户端计算机上。另外

11、，针对Web服务器的威胁更多。入侵者可以采取如下等方式入侵Web服务器。（1）服务器系统漏洞。Web服务器毕竟是一个通用的服务器，无论是Windows，还是Linux/UNIX，都必不可少地带有系统自身的漏洞。通过这些漏洞入侵，可以获得服务器的高级权限，当然对服务器上运行的Web服务就可以随意控制了。（2）Web服务应用漏洞。如果说系统级的软件漏洞太多了，那么Web应用软件的漏洞就更多，因为Web服务开发简单，开发的团队参差不齐，编程不规范，安全意识不强，因开发时间紧张而简化测试等。最为常见的SQL注入就是大多利用了编程过程中产生的漏洞。（3）密码暴力破解。成功入侵Web系统后，入侵者可以篡改

12、网页、篡改数据、挂木马等。11XXX 微信：XXX XXX/7.1.2 应用安全基础1网页防篡改系统网页防篡改系统实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时将报告提交给系统管理员，从而保护Web站点的数据安全。2网页内容过滤技术Web页面内容过滤系统通过对网络信息流中的内容进行过滤和分析，实现对网络用户浏览或传送非法、黄色、反动等敏感信息进行监控和封杀。同时通过强大的用户管理功能，实现对用户的分组管理、分时管理和分内容管理。3实时信息过滤实时信息过滤系统就是通过对企业内部网络状况的监控，对企业内部的即时短消息（如MSN、ICQ和雅虎通等）的通信和点对点的

13、软件通信进行多方式的管理。4广告软件（Adware）广告软件（Adware）是指未经用户允许下载并安装，或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后，往往造成系统运行缓慢或系统异常。5间谍软件（Spyware）间谍软件（Spyware）是能够在使用者不知情的情况下，在用户计算机上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获，甚至这些后门程序还能使黑客远程操纵用户的计算机。为了防止广告软件和间谍软件，应采用安全性比较好的网络浏览器，并注意弥补系统漏洞，不要轻易安装共享软件或免费软件，这些软件往往含有广告程序、间谍软件等不良软件，可能带来安

14、全风险，同时也不要浏览不良网站。12XXX 微信：XXX XXX/7.1.2 应用安全基础6浏览器劫持浏览器劫持是一种恶意程序，通过DLL插件、BHO和Winsock LSP等形式对用户的浏览器进行篡改，使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常。浏览器劫持有多种不同的方式，从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程，劫持浏览器。为了防止浏览器被劫持，建议使用安全性能比较高的浏览器，并可以针对自己的需要对浏览器的安全设置进行相应调整，如果给浏览器安装插件，尽量从浏览器提供商的官方网站下载。另外，

15、不要轻易浏览不良网站，不要轻易安装共享软件、盗版软件。7恶意共享软件恶意共享软件（Malicious Shareware）是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上，并且利用一些病毒常用的技术手段造成软件很难被卸载，或采用一些非法手段强制用户购买的免费、共享软件。13XXX 微信：XXX XXX/7.1.3 实例XSS跨站攻击技术1什么是XSS攻击XSS又称CSS（Cross Site Script），即跨站脚本攻击，它指的是恶意攻击者向Web页面里插入恶意代码，当用户浏览该页时，嵌入在Web里面的恶意代码会被执行，从而达到攻击者的特殊目的。XSS属于被动式的攻击。2XSS跨站

16、脚本攻击原理建立一个名为xss_test.html的文件，如图7.6所示。在IE中打开xss_test.html文件，可以看到如图7.7所示的窗口。图7.6 xss_test.html文件 图7.7 在IE中打开xss_test.html文件14XXX 微信：XXX XXX/7.1.3 实例XSS跨站攻击技术修改xss_test.html的文件，如图7.8所示。在IE中打开xss_test.html文件，可以看到如图7.9所示的窗口。图7.8 修改后的xss_test.html文件 图7.9 在IE中打开修改后的xss_test.html文件15XXX 微信：XXX XXX/7.1.3 实例X

17、SS跨站攻击技术3XSS跨站脚本的触发条件（1）完整的脚本标记。在某个表单提交内容时，可以构造特殊的值闭合标记来构造完整无错的脚本标记，如图7.8所示，提交的内容是：alert(xss); /proc/sys/net/ipv4/ip_forwardiptables -Fiptables -Xiptables -Ziptables -t nat -Fiptables -t nat -Xiptables -t nat -Ziptables -t mangle -Fiptables -t mangle -Xiptables -t mangle -Ziptables -P INPUT ACCEPTip

18、tables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P POSTROUTING ACCEPTiptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE /这条命令很关键22XXX 微信：XXX XXX/7.5 实例Kali Linux中创建WiFi热点第3步：开启终端3，开启dhcpd。执行apt-g

19、et install isc-dhcp-server命令安装dhcp软件包。编辑dhcp配置文件/etc/dhcp/dhcpd.conf，内容如下：开启终端3，执行如下命令，开启dhcpd，如图7.15所示。# /etc/init.d/isc-dhcp-server stop; dhcpd -d -f -cf /etc/dhcp/dhcpd.conf at0图7.15 开启dhcpddefault-lease-time 600;max-lease-time 7200;authoritative;subnet 192.168.1.0 netmask 255.255.255.0 option ro

20、uters 192.168.1.1; option subnet-mask 255.255.255.0; option domain-name ztg; option domain-name-servers 10.3.9.4; range 192.168.1.20 192.168.1.50;23XXX 微信：XXX XXX/7.5 实例Kali Linux中创建WiFi热点第4步：捕获被欺骗者手机流量。看到图7.16最后一行，说明被欺骗者手机已经连接上了WiFi热点，在手机上使用浏览器访问。图7.16 被欺骗者手机已经连接上了WiFi热点24XXX 微信：XXX XXX/7.5 实例Kali

21、Linux中创建WiFi热点在攻击者计算机上，开启终端4，执行driftnet -i at0命令，捕获到被欺骗者访问网站时页面中所包含的图片，如图7.17所示。也可以执行driftnet -a -i at0命令，直接保存捕获的图片，如图7.18所示。图7.17 捕获的图片 图7.18 保存捕获的图片25XXX 微信：XXX XXX/7.6 网上银行账户安全网上银行是21世纪金融业的一次革命，是网络时代的金融业的创新，是网络经济时代的金融业转型，是传统银行业务的创新和发展。1什么是网上银行网上银行借助于互联网数字通信技术，向客户提供金融信息发布和金融交易服务，是传统银行业务在互联网上的延伸，是一

22、种虚拟银行，没有传统精致的银行装修门面，没有银行业务柜台和柜员，银行业务和运营模式与传统银行有很大区别，在线为客户提供办理结算、信贷服务的商业银行。网上银行提供“3A”式服务，即Anytime（任何时间）、Anywhere（任何地点）和Anyhow（任何方式）。网上银行对个人提供的业务包括：个人查询、个人转账、代理缴费、挂失服务、外汇买卖、电子汇款和个人投资理财。网上银行对公提供的业务包括：信息发布、信贷、存款、转账和支付中介、国际业务、住房金融、受托代理、基金托管、资金清算和保险箱。2网上银行的发展第一个网上银行于1995年在美国诞生安全第一银行“Security First Network

23、 Bank”。之后8个月，中国银行于1996年建立了自己的网上银行，1998年开始提供网上银行服务，1998年3月，中国第一笔网上交易成功。目前所有的商业银行都建立了不同规模的网上银行，网上银行是基于互联网的虚拟银行。26XXX 微信：XXX XXX/7.6 网上银行账户安全3网上银行安全隐患和可能出现的问题我国的银行信息系统是比较先进的系统，银行信息系统的信息安全涉及方方面面。网上银行可以让银行充分利用互联网来弥补网点设置的不足，为用户提供方便的银行服务，这是银行发展的重点之一。但是，由于网上银行中涉及资金的转移，就不免引起了一些犯罪分子利用网络安全和信息安全漏洞来盗窃银行账号和密码来从事犯

24、罪活动。为了防范此类犯罪，仅仅提醒用户注意保护好密码是不够的，因为现在的技术手段完全可以不在用户使用的计算机旁边就窃获用户的账号和密码。中国人民银行颁布的网上银行业务管理暂行办法规定：“银行应采用合适的加密技术和措施，以确认网上银行业务用户身份和授权，保证网上交易数据传输的保密性、真实性，保证通过网络传输信息的完整性和交易的不可否认性。”由此可以看出网上银行信息安全问题的严重性，特别是近期不断出现的假冒银行网站和假冒银行的安全通知电子邮件的问题，使得网上银行信息安全问题非常突出，主要总结如下。（1）机密性问题。（2）完整性问题。（3）真实身份认证问题。（4）交易的不可否认性问题。27XXX 微

25、信：XXX XXX/7.6 网上银行账户安全4网上银行出现的安全问题网上银行越来越深入人们的日常生活，通过网上银行可以迅速办理查询、汇款、转账、外汇交易和基金买卖等各种金融业务。但网上银行的安全问题也是人们所关心的，目前各银行的网上银行都具备符合标准的安全系统及措施，确保客户权益得到充分保障。如交通银行的网上银行就采取了许多安全防范措施，其中包括附加码校验，以防止程序测试密码攻击。网上银行的防范措施是很严密的。虽然目前各商业银行都有意识地提高了网上银行的安全系数，但是保护网银账户的安全，并不仅仅是银行的工作，客户也应采取措施规避各类风险。例如，网上钓鱼是目前国内外不法分子常用的欺骗手段，利用人

26、们视觉的马虎，制造假网址，如将改写为等。5网上银行的安全防范开展网上银行有两大保障：一是技术保障，二是法律与规范。技术保障有网络层安全防范和PKI技术。网络层安全防范措施有设置过滤功能的安全路由器、设置IDS和设置防黑客软件系统等，网上银行安全防范在网络层实施安全机制是安全防范的重点之一。PKI是目前网上银行最佳的防范措施。国家在2005年4月1日颁布并执行了中国电子签名法，人民银行发布了电子支付指引，这是网上银行的法律依据。28XXX 微信：XXX XXX/7.7 实例使用WinHexWinHex软件含十六进制编辑器、磁盘编辑器和RAM编辑器，可帮助我们实现计算机调查取证、文件及磁盘数据恢复

27、、磁盘的底层数据处理，以及密码分析、软件注册等信息安全工作。它能检查并且编辑各种文件，从磁盘驱动器中恢复已删文件或丢失的数据，支持USBDisk和数码相机的存储卡。本实验在虚拟机（VMware、Windows 2003 SP2）中安装使用WinHex 15.6。实验过程如下。第1步：在C盘根目录中建立X-ways文件夹，在X-ways文件夹中建立一个文本文件，文件名为winhex.txt，内容为“使用WinHex练习”。第2步：解压软件包WinHex 15.6.zip，运行WinHex.exe文件，如图7.20所示，一定要选择“Computer forensics interface”，否则部

28、分功能不能使用。单击“OK”按钮，进入WinHex主界面，如图7.21所示。图7.20 选择“Computer forensics interface” 图7.21 WinHex主界面29XXX 微信：XXX XXX/7.7 实例使用WinHex第3步：在图7.21中，依次选择“Options”“Edit Mode”，出现“Select Mode”对话框，如图7.22所示，选择Default Edit Mode (=editable)，单击“OK”按钮。第4步：在图7.21中，依次选择“File”“Open”，打开文件winhex.txt，如图7.23所示，修改第38六个字节，单击“保存”按钮

29、，出现如图7.24所示对话框，单击“Yes”按钮确认保存。用记事本打开winhex.txt文件，内容为“练习WinHex练习”。图7.22 “Select Mode”对话框 图7.23 打开文件winhex.txt30XXX 微信：XXX XXX/7.7 实例使用WinHex第5步：加密文件winhex.txt。在图7.21中，依次选择“Edit”“Modify Data”，出现“Modify Data”对话框，如图7.25所示，选择XOR，输入22，单击“OK”按钮，对文件内容进行加密变换。加密前的文件内容是“练习WinHex练习”，加密后的文件内容是“蜋澟櫋茮倁KLJGZ艡泜”。解密时进行

30、同样的操作即可。图7.24 确认保存 图7.25 “Modify Data”对话框31XXX 微信：XXX XXX/习 题 71填空题（1）Web是 的简称，即万维网。Web服务是指采用 架构，通过HTTP协议提供服务的统称，这种结构也称为 架构。（2） 是一种用来制作网页的标记语言，它不需要编译，可以直接由浏览器执行，属于浏览器解释型语言。（3）JavaScript是一种 的描述语言，可以用来开发Internet客户端的应用程序。（4） 实时监控Web站点，当Web站点上的文件受到破坏时，能迅速恢复被破坏的文件，并及时提交报告给系统管理员，从而保护Web站点的数据安全。（5） 是可以管理Web，修改主页内容等的权限，如果要修改别人的主页，一般都需要这个权限，上传漏洞要得到的也是这个权限。（6） 借助于互联网数字通信技术向客户提供金融信息发布和金融交易服务，是传统银行业务在互联网上的延伸，是一种虚拟银行。（7）开展网上银行有两大保障： 和 。2思考与简答题（1）简述Web技术简介与安全分析。（2）简述网上银行账户安全问题。3上机题（1）Kali Linux中创建WiFi热点。（2）WinHex的使用。