计算机网络安全原理（第2版）课件 第9章 Web应用安全.pptx

本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发

本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！

本PPT可免费使用、修改，使用时请保留此页。;;;;Web应用体系结构;Web应用体系结构;Web应用程序功能与安全隐患的对应关系;HTTP协议是一种简单的、无状态的应用层协议（RFC1945、RFC2616）

无状态使攻击变得容易

基于ASCII码，无需弄清复杂的二进制编码机制，攻击者就可了解协议中的明文信息

互联网中存在的大量中间盒子，HTTP标准(RFC2616和RFC7320)的理解如果不一致，就有可能导致一些新的攻击发生;HTTP会话经常被劫持;HTTP会话头泄露隐私信息;中间盒子带来的HTTP安全问题;;;;;;;;;;;;;为什么需要Cookie？

解决无状态问题：保存客户服务器之间的一些状态信息

Cookie是指网站为了辨别用户身份、进行会话跟踪而储存在用户本地终端上的一些数据（通常经过编码），最早由网景公司的LouMontulli在1993年3月发明的，后被采纳为RFC标准（RFC2109、RFC2965）

;Cookie的生成与维护

由服务器端生成，发送给客户端（一般是浏览器），浏览器会将Cookie的值保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用Cookie）

服务器可以利用Cookie存储信息并经常性地维护这些信息，从而判断在HTTP传输中的状态;Cookie的生成与维护

Cookie在生成时就会被指定一个Expire值，这就是Cookie的生存周期。到期自动清除

如果一台计算机上安装了多个浏览器，每个浏览器都会在各自独立的空间存放Cookie

Cookie中的内容大多数经过了编码处理;Cookie的一般格式如下：

NAME=VALUE;expires=DATE;path=PATH;

domain=DOMAIN_NAME;secure

示例

autolog=bWlrzTpteXMxy3IzdA%3D%3D;expires=Sat,01-Jan-201800:00:00GMT;path=/;domain=

;Cookie中包含了一些敏感信息，如用户名、计算机名、使用的浏览器和曾经访问的网站等，攻击者可以利用它来进行窃密和欺骗???击

;;;OWASP;OWASP;2007VS.2004(1/2);2007VS.2004(2/2);十大安全漏洞-OWASP2007;A1.Injection：注入漏洞；

A2.BrokenAuthenticationandSessionManagement：失效的身份认证和会话管理；

A3.Cross-SiteScripting(XSS)：跨站脚本；

A4.InsecureDirectObjectReferences：不安全的直接对象引用；

A5.SecurityMisconfiguration：安全配置错误；

;A6.SensitiveDataExposure：敏感数据暴露；

A7.MissingFunctionLevelAccessControl：功能级别访问控制缺失；

A8.Cross-SiteRequestForgery(CSRF)：跨站请求伪造；

A9.UsingKnowVulnerableComponents：使用已知易受攻击的组件；

A10.UnvalidatedRedirectsandForwards未验证的重定向和转发

;;;;OWASP2021;一、SQL注入攻击及防范;注入漏洞;注入漏洞;SQL注入原理;SQL注入攻击流程;SQL注入示例;按提交方式，可分为GET注入、POST注入、Cookie注入、HTTP头注入等

按字符类型，可分为整型注入和字符型注入

按服务器是否返回提示信息，可分为SQL回显注入和SQL盲注;SQL回显注入(SQLFeedbackInjection)：在执行SQL注入攻击时，Web服务器会返回来自数据库服务器（DBMS）的SQL语句执行结果，如数据库字段内容，或提示具体的SQL语法错误信息等。攻击者可以根据服务器返回的这些信息，有针对性地实施后续注入攻击。;DVWA中的SQL注入攻击时的正常提示信息;DVWA中SQL注入攻击时的错误提示信息(输入1’);DVWA中的SQL注入攻击时的错误提示信息;使用其它子句来实施SQL