软件安全技术课件：Web漏洞分析.pptx

Web漏洞分析

本讲要点1.Web基础知识2.典型的Web安全漏洞

（根据2017版OWASPTop10修改）3.对策

1.Web基础知识（1）目前普遍使用的Web三层架构

1.Web基础知识（2）一次Web访问过程分析用户浏览器Web服务器数据库服务器中间件服务器如PHP服务输入网址解析、渲染呈现页面给用户域名解析HTTP请求HTTP响应网站内部处理1）域名解析：浏览器会依次查询浏览器的DNS缓存、系统缓存、路由器缓存，如果没有找到，则一直查询到根域名服务器缓存，找到域名所对应的的IP地址。2）TCP连接：通过IP地址找到IP对应的服务器后，要求建立TCP连接。3）HTTP连接：TCP连接成功后，浏览器开始向这个服务器发送一个HTTP请求。服务器接收到请求后开始进行处理，处理结束，返回一个响应包。4）浏览器接收和处理：浏览器接收到来自服务器的响应后，开始解析和渲染接收到的内容并呈现给用户。5）TCP断开连接：最后客户端断开与服务器的TCP连接。

2.典型的Web安全漏洞Web应用安全漏洞是Web应用程序在需求、设计、实现、配置、维护和使用等过程中，有意或无意产生的缺陷，这些缺陷一旦被攻击者所利用，就会造成对网站或用户的安全损害，从而影响构建于Web应用之上正常服务的运行，危害网站或用户的安全属性。

2.典型的Web安全漏洞OWASP2013年发布的Web安全十大威胁（漏洞）

2.典型的Web安全漏洞OWASP2017年发布的Web安全十大威胁OWASPTop10-2017主要基于超过40家专门从事应用程序安全业务的公司提交的数据，以及500位以上个人完成的行业调查。这些数据包含了从数以百计的组织和超过10万个实际应用程序和API中收集的漏洞。前10大风险项是根据这些流行数据选择和优先排序，并结合了对可利用性、可检测性和影响程度的一致性评估而形成。OWASPTop10-2017的首要目的是教导开发人员、设计人员、架构师、管理人员和企业组织，让他们认识到最严重Web应用漏洞。

2.典型的Web安全漏洞OWASP2017年发布的Web安全十大威胁

2.典型的Web安全漏洞OWASPTop10-2017变化1）删除了A8和A10项。由于更多的平台添加了CSRF防御，所以发现CSRF漏洞的应用程序不到5％，同时只在8％左右的应用程序中发现未验证的重定向和转发漏洞，因此A8和A10这两项排除在了top10之外，但仍然是需要关注的重要风险。

2.典型的Web安全漏洞OWASPTop10-2017变化2）A3降位。2013年排名第三的XSS在2017年只排名第七名，其中除了开发者对XSS的防范意识加强之外另一個关键的原因在于，目前有很多自动化的扫描工具，都已经内建XSS扫描，可以加快漏洞修补速度，使得整体XSS漏洞数量看起来比以往少，但XSS风险却没有因此减少。

2.典型的Web安全漏洞OWASPTop10-2017变化3）新添加3项。包括XXE、不安全的反序列化和不足的日志记录和监控，而后者对于许多组织来说是个严重的问题。

2.典型的Web安全漏洞OWASPTop10-2017变化变化的主要原因：在过去的几年中，应用程序的基础技术和结构发生了重大变化，一些成熟的框架被大量使用，JS框架（如Angular、React）编写的单页应用程序，允许创建高度模块化的前端用户体验；原来交付服务器端处理的功能现在变为由客户端处理。

2.典型的Web安全漏洞OWASPTop10-2017A1：Injection（注入）原理：攻击者能够利用现有Web应用程序，将恶意代码当作数据插入查询语句或命令中，这些恶意数据可以欺骗解析器，从而执行非授权操作。可利用性：注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。几乎任何数据源都能成为注入载体，包括环境变量、所有类型的用户、参数、外部和内部Web服务。普遍性：注入漏洞十分普遍，注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现。

2.典型的Web安全漏洞OWASPTop10-2017A1：Injection（注入）视频：

2.典型的Web安全漏洞OWASPTop10-2017A1：Injection（注入）可检测性：注入漏洞很容易通过代码审查发现。扫描器和模糊测试工具可以帮助攻击者找到这些漏洞。危害性：数据丢失、破坏或泄露给非授权方。缺乏可审计性或是拒绝服务。获取承载主机和网络的控制权。

2.典型的Web安全漏洞A1：Injection（注入）攻击举例：DVWA$query=SELECTfirst_name,last_nameFROMusersWHEREuser_id=$id’;”;