网络攻防原理与技术教学课件（共14章）第11章 Web网站攻击技术.pptxVIP

第 十一 章Web网站攻击技术内容提纲Web应用体系结构脆弱性分析1常见Web应用攻击及防范2Web应用防火墙WAF3连接器 连接器 数据库 数据库 Web应用程序体系结构 Oracle SQL Server etc.IE, Chrome,Firefox,etc. Apache IIS etc.HTTP/HTTPS请求Web应用程序 传输层 Web客户端 Web服务器 Web应用程序 Web应用程序 明文或SSLHTTP响应( HTML, JavaScript, etc.) Perl C++ CGI Java ASP PHP etc. ADO ODBC JDBC etc.Web应用体系结构潜在弱点Web客户端活动内容执行，客户端软件漏洞的利用，交互站点脚本的错误传输偷听客户-服务器通信，SSL重定向Web服务器Web服务器软件漏洞；Web应用体系结构潜在弱点Web应用程序攻击授权、认证、站点结构、输入验证，以及应用程序逻辑数据库通过数据库查询运行优先权命令，查询操纵返回额外的数据集。Web应用安全Web应用程序功能与安全隐患的对应关系HTTP协议安全问题HTTP协议是一种简单的、无状态的应用层协议（RFC1945、RFC2616）无状态使攻击变得容易基于ASCII码，无需弄清复杂的二进制编码机制，攻击者就可了解协议中的明文信息互联网中存在的大量中间盒子，HTTP标准(RFC 2616和RFC 7320)的理解如果不一致，就有可能导致一些新的攻击发生HTTP协议安全问题HTTP会话经常被劫持HTTP协议安全问题HTTP会话头泄露隐私信息HTTP协议安全问题中间盒子带来的HTTP安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题HTTP协议安全问题Cookie的安全问题为什么需要Cookie？解决无状态问题：保存客户服务器之间的一些状态信息Cookie是指网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的一些数据（通常经过编码），最早由网景公司的Lou Montulli在1993年3月发明的，后被采纳为RFC标准（RFC2109、RFC2965）Cookie安全问题Cookie的生成与维护由服务器端生成，发送给客户端（一般是浏览器），浏览器会将Cookie的值保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用Cookie）服务器可以利用Cookie存储信息并经常性地维护这些信息，从而判断在HTTP传输中的状态Cookie安全问题Cookie的生成与维护Cookie在生成时就会被指定一个Expire值，这就是Cookie的生存周期。到期自动清除如果一台计算机上安装了多个浏览器，每个浏览器都会在各自独立的空间存放CookieCookie中的内容大多数经过了编码处理Cookie安全问题Cookie的一般格式如下：NAME= VALUE; expires= DATE; path= PATH;domain= DOMAIN_NAME; secure示例autolog = bWlrzTpteXMxy3IzdA%3D%3D; expires=Sat, 01-Jan-2018 00:00:00 GMT; path=/; domain=Cookie安全问题Cookie中包含了一些敏感信息，如用户名、计算机名、使用的浏览器和曾经访问的网站等，攻击者可以利用它来进行窃密和欺骗攻击内容提纲Web应用体系结构脆弱性分析1常见Web应用攻击及防范2Web应用防火墙WAF3OWASP十大安全漏洞变迁史OWASPOWASP: Open Web Application Security Project， 一个全志愿者组成的、非营利性机构开发和出版免费专业开源的文档、工具和标准，如： “The Ten Most Critical Web Application Security Vulnerabilities”，《A Guide to Building Secure Web Applications》， WebGoat， WebScarab，各种Web代码测试工具等OWASPOWASP: Open Web Application Security Project， , 致力于帮助组织机构理解和提高他们的Web安全组织各种Web安全会议2007 VS. 2004 (1/2)OWASP Top 10 2007OWASP Top 10 2004A1. Cross Site Scripting (XSS)A4. Cross Site Sc