web安全培训.ppt

《web安全培训.ppt》由会员分享，可在线阅读，更多相关《web安全培训.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WEB安全培训安全培训 更多更多软件件测试资料尽在料尽在road软件件测试论坛http:/ GETPOSTCookieHTTP头环境变量头环境变量v间接输入间接输入 数据库取出的数据数据库取出的数据编码的用户数据编码的用户数据2021/9/265LOGOWEB程序安全问题vSQL注入注入v跨站脚本跨站脚本vUrl Redirect跳转跳转vAccess Control 越权访问越权访问2021/9/266LOGOSQL注入vSQL注入简介注入简介 拼接的拼接的SQL字符串改变了设计者原来的意图，字符串改变了设计者原来的意图，执行了如泄露、改变数据等操作，甚至控制数执行了如泄露、改变数据等操作，

2、甚至控制数据库服务器据库服务器拼接拼接SQL字符串灵活方便，但是容易导致安全字符串灵活方便，但是容易导致安全问题问题2021/9/267LOGOSQL注入vSQL注入原理注入原理http:/victim/news.php?id=http:/victim/news.php?id=37213721select*from news where id=select*from news where id=$id$idselect*from news where id=select*from news where id=372137212021/9/268LOGOSQL注入利用v利用示例利用示例 http

3、:/victim/news.php?id=http:/victim/news.php?id=0 union select name,pw from users0 union select name,pw from usersselect*from news where id=select*from news where id=$id$idselect*from news where id=select*from news where id=0 union select name,pw from users0 union select name,pw from users2021/9/269LO

4、GOSQL注入的危害v泄露敏感信息泄露敏感信息 攻击者可以获取后台数据库的种类、版本，操攻击者可以获取后台数据库的种类、版本，操作系统信息，数据库名、表名、字段名以及数作系统信息，数据库名、表名、字段名以及数据库中的数据信息据库中的数据信息v泄露敏感信息泄露敏感信息 无需知道口令就能以用户身份登陆应用系统无需知道口令就能以用户身份登陆应用系统v篡改敏感数据篡改敏感数据 对数据库进行增加、删除、篡改的操作对数据库进行增加、删除、篡改的操作v执行任意系统命令执行任意系统命令 利用数据库支持的特定功能，执行任意命令利用数据库支持的特定功能，执行任意命令2021/9/2610LOGOSQL注入的危害v

5、不同的数据库，不同的数据库配置，危害不同的数据库，不同的数据库配置，危害程度不一样程度不一样 SQL Server默认配置并且使用默认配置并且使用sa帐号帐号MySQL版本、数据库版本、数据库root帐号、系统帐号、系统root用户用户启动服务启动服务2021/9/2611LOGOSQL注入v避免避免SQL注入注入过滤拼接字符串中的用户数据，尤其不能忽视过滤拼接字符串中的用户数据，尤其不能忽视间接输入数据的间接输入数据的SQL语句拼接语句拼接如果可能，使用其他方法代替如果可能，使用其他方法代替SQL语句拼接语句拼接使用使用WEB应用扫描器检测程序相对比较明显的应用扫描器检测程序相对比较明显的S

6、QL注入问题注入问题2021/9/2612LOGO跨站脚本v跨站脚本简介跨站脚本简介跨站脚本跨站脚本(Cross-Site Scripting)是指远程是指远程WEB页面的页面的html代码可以插入具有恶意目的的代码可以插入具有恶意目的的数据，当浏览器下载该页面，嵌入其中的恶意数据，当浏览器下载该页面，嵌入其中的恶意脚本将被解释执行，从而对客户端用户造成伤脚本将被解释执行，从而对客户端用户造成伤害。简称害。简称CSS或或XSS不影响服务端程序，但影响客户端不影响服务端程序，但影响客户端2021/9/2613LOGO跨站脚本请求：请求：http:/ alert(/XSS/)2021/9/2614

7、LOGO跨站脚本危害v窃取窃取Cookiedocument.cookiev页面内容被篡改页面内容被篡改Js代码改写代码改写/跳转页面跳转页面v蠕虫蠕虫Myspace新浪微博新浪微博v恶意代码恶意代码2021/9/2615LOGO跨站脚本防御v显示用户数据时对显示用户数据时对“&”等等HTML符号进符号进行编码转换行编码转换htmlspecialcharsv过滤必要的过滤必要的XHTML属性及各种编码，尤其属性及各种编码，尤其在在WEB提供样式功能的时候提供样式功能的时候v设计时要考虑到关键内容不能由用户的直设计时要考虑到关键内容不能由用户的直接数据显示，要有转换或后台间接审核的接数据显示，要有

8、转换或后台间接审核的过程过程v用用WEB应用扫描器对程序进行检测应用扫描器对程序进行检测2021/9/2616LOGOUrl Redirect跳转vUrl Redirect钓鱼攻击原理钓鱼攻击原理vredirect.htm?target=http:/2021/9/2617LOGOURL跳转攻击QQQQ用户2021/9/2618LOGOURL跳转攻击vUrl Redirect策略策略目标地址应限制跳转到当前域内目标地址应限制跳转到当前域内如果需要跳转到外部链接需要有如果需要跳转到外部链接需要有url的白名单的白名单2021/9/2619LOGOAccess ControlvAccess Cont

9、rol攻击例子攻击例子(前台代码前台代码)2021/9/2620LOGOAccess ControlvAccess Control攻击例子攻击例子(后台代码后台代码)public boolean canManageMssage()if(isAdmin()return true;检查了角色检查了角色但是短消息属于用户，不属于角色但是短消息属于用户，不属于角色2021/9/2621LOGOAccess ControlvAccess Control安全策略安全策略权限框架权限框架SQL语句条件语句条件2021/9/2622LOGOCookie的安全v简介简介Cookie是是Netscape的一个重大

10、发明，当用户的一个重大发明，当用户访问网站时，它能够在访问者的机器保存一段访问网站时，它能够在访问者的机器保存一段信息，可以用来标识各种属性。当用户再次访信息，可以用来标识各种属性。当用户再次访问这个网站的时候，它又能够读出这些信息，问这个网站的时候，它又能够读出这些信息，这样这样WEB程序就能知道该用户上次的操作程序就能知道该用户上次的操作Cookie大大提高了用户体验，被广泛使用大大提高了用户体验，被广泛使用2021/9/2623LOGOCookie的安全vCookie的欺骗的欺骗Cookie是纯客户端数据，非常容易伪造是纯客户端数据，非常容易伪造文件型的文件型的Cookie可以直接改浏览

11、器的可以直接改浏览器的Cookie文件文件通过通过curl或或firefox的的LiveHTTPHeaders插件可插件可以轻松伪造各种类型的以轻松伪造各种类型的Cookie数据数据2021/9/2624LOGOCookie的安全v使用使用Cookie时应注意的问题时应注意的问题尽量不要用尽量不要用Cookie明文存储敏感信息明文存储敏感信息数据加密后保存到客户端的数据加密后保存到客户端的Cookie为为Cookie设置适当的有效时间设置适当的有效时间2021/9/2625LOGOWEB服务器端安全问题v合理的文件权限设置合理的文件权限设置取消取消WEB用户对用户对apache日志的读权限日志

12、的读权限nobody有写权限的有写权限的WEB目录取消解析权限目录取消解析权限2021/9/2626LOGOWEB服务器端安全问题v信息泄露信息泄露服务器版本信息泄露服务器版本信息泄露运行环境遗留测试文件运行环境遗留测试文件phpinfo.phpconn.asp.bak程序出错泄露物理路径程序出错泄露物理路径程序查询出错返回程序查询出错返回SQL语句语句过于详细的用户验证返回信息过于详细的用户验证返回信息2021/9/2627LOGOWEB应用扫描器vAppScan非常专业的商业非常专业的商业WEB应用扫描器应用扫描器功能强大，准确率高，尤其是跨站脚本和功能强大，准确率高，尤其是跨站脚本和SQL注入的检测注入的检测扫描速度较慢扫描速度较慢2021/9/2628LOGOWEB应用扫描器vWebInspect相比相比AppScan，功能毫不逊色，抓，功能毫不逊色，抓URL的能力的能力更强更强安装需要安装需要SQL Server，比较麻烦，比较麻烦2021/9/2629LOGOWEB应用扫描器vAcunetix Web Vulerability Scanner轻量级轻量级速度快速度快自由度大自由度大2021/9/2021/9/2631