《web安全技术培训-周涛》.pdf

Web安全技术培训 启明星辰核心研究院 周涛 2013年6月 昆明 提 纲 一、web应用安全现状 二、owasp top 10漏洞机理及防范 三、典型web安全检测工具机理分析 1. web应用现状 应用广泛 • Web已成为互联网第一大应用 • Web应用流量占TCP流量的67.7% 漏洞普遍 • 超过90%的Web系统存在某种漏洞 • 75%的网络攻击通过HTTP/HTTPS 协议 危害严重 • 一旦被入侵将会造成大范围影响 • 通常被作为高级攻击的跳板导致更大损失 2. 2012年度国内web安全现状  国家互联网应急中心发布 《2012年我国互联网网络安全态势综述》 ， 该报告显示：去年我国网络基础设施运行总体平稳，但安全形势不容 乐观，面临的境外攻击威胁依然严重。据监测，去年我国境内被篡改 网站数量为16388个，据监测，其中政府网站1802个，分别同比增长 6.1％和21.4％。 3. 典型web安全案例 夜龙行动 • 通过SQL注入，入侵外网Web服务器； • 以Web服务器为跳板，对内网其他服务器及终端电脑进行扫描； • 通过密码暴力破解等方式入侵内网服务器及开发人员电脑； • 向被入侵电脑植入恶意代码，并安装远端控制工具； • 禁用被入侵电脑的IE代理设置，建立直连通道，传回大量机密文件； • 更多内网电脑遭到入侵，多半为高阶主管点击了看似正常的邮件附件，却不 知其中含有恶意代码。 3. 典型web安全案例  “”曝光的各类安全漏洞 3. 典型web安全案例  2011年底各大网站的“拖库”事件 • 2011.12.21 ，CSDN社区，约600万用户 • 2011.12.22 ，天涯社区，近4000万用户 • … • 截止12月底，疑似泄露的数据库有 26个，涉及帐号、密码 2.78 亿条。  原因分析（来自CSDN蒋涛） • 开源CMS系统等第三方系统存在漏洞，导致CSDN系统存在安全风险； – 2013 A9 ：使用已知的脆弱组件 • 应用程序存在跨站脚本漏洞； – 2013 A3 ：跨站脚本攻击 • 网站存在大量系统后台认证漏洞，如弱口令及暴露的后台等； – 2013 A2 ：失效的身份验证和会话管理 • CSDN已经停用但还在线上的老系统也是导致此次数据泄露的原因之一 – 2013 A6 ：敏感数据曝光 4. 典型web站点架构 URL请求 Web 应用 Web 应用 数据库 Web Web 浏览器 服务器 Web应用 数据库 Web应用  Web服务器（Apache 、Microsoft IIS、Tomcat 、nginx）  Web应用程序（HTML、ASP 、JavaScript 、JAVA 、PHP、Python等）  数据库服务器（Oracle、SQL Server、DB2、MySql） 5. web安全研究范畴 狭义的web安全 • 只关注web应用代码的安全问题 广义的web安全 • 涉及整个web应用系统 –数据库 –web服务器 –web应用 –web应用层协议 –浏览器安全 本次培训关注狭义web安全问题 提 纲 一、web应用安全现状 二、owasp top 10漏洞机理及防范 三、典型web安全检测工具机理分析 1. 十大风险概述 目前已经有2004、2007、2010、2013年4个版本 2010年前的版本关注“最常见漏洞”，之后关注“最严重 的风险” 风险评估要