web安全评估过程.pptx

Web安全评估过程; 工作开展思路;评估操作八大步骤;步骤3——制定评估规范;步骤6——风险整改;;新技术新业务上线评估优势对比;2013年 OWASP Top 10 十大漏洞;OWASP Top 10 ;OWASP Top 10 ; 互联网上多数SSL加密都使用名为OpenSSL的开源软件包。由于OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。; ?受影响服务： 443端口 465端口 993端口 995端口 1194端口 ......;淘宝;支付宝;12306铁道购票系统;163邮箱;网神VPN;中华电信hinet邮箱;BUDGET VM;利用SQL注入漏洞，入侵网上营业厅盗取充值卡密，成功充值。;利用SQL注入漏洞，入侵网上营业厅盗取充值卡密，成功充值。;通过注入语句，获取到了网站数据库名，并且可以通过修改注入语句获取到管理员的帐号密码和数据库中重要的信息。 ;SQL注入漏洞-3;通过注入工具直接获得了所有的数据库名。;Post注入;SQL注入漏洞-4;SQL注入漏洞-4;SQL注入漏洞-4;跨站脚本漏洞-1;在飞信客户端，测试存在XSS跨站漏洞。当用个人帐号A给公众帐号B发信息的时候插入恶意代码，受害者触发后，攻击者会得到自己想要得到的东西。;代码显示是这样的：;所以把测试代码替换成获取Cookie恶意代码的时候，受害人触发后，恶意代码就会把盗取的受害人cookie信息发送攻击者这里。;跨站脚本漏洞-3;;弱口令-1;弱口令-1;弱口令-1;下图为获取到的网站权限。;弱口令-2;通过账号ftp，密码为空，登陆进入ftp。;弱口令-3;敏感数据明文传输;电子卷的密匙也是明文传输 ;只要修改任意不同的手机号，就可以获得不同的和包电子卷密匙。 机号改直接获得和包电子卷密匙。;通过批量自动修改手机号，可以快速的恶意抢卷，造成严重损失;Struts2远程任意代码执行漏洞-1;Struts2多个前缀参数远程任意代码执行漏洞-1;Struts2多个前缀参数远程任意代码执行漏洞-1;攻击者利用Struts2任意代码执行漏洞，可以直接在服务器上执行任意命令，写入webshell。;Struts2远程任意代码执行漏洞-2;Struts2远程任意代码执行漏洞-2;Struts2远程任意代码执行漏洞-2;应用程序???限制可跳转的URL格式和范围，导致出现未验证的直接跳转。;未验证的URL跳转-2; ;文件上传漏洞-1; ;应用系统的上传模块没有任何安全防护措施，导致攻击者可以上传任意文件到服务器以获得webshell。 在“头像上传”页面，上传ceshi.jsp文件，显示成功上传，通过webshell即可得到应用系统的控制权：;文件上传漏洞-2;Thank you！