《網絡攻防技術與實踐》 第11、十二章讀書筆記

web應用程序安全攻防

隨着網貸、購物和社交等一系列新型互聯網產品的誕生，企業信息化的過程當中愈來愈多的應用都架設在 Web 平臺上，接踵而至的就是 Web 安全威脅的凸顯。大量黑客利用網站操做系統的漏洞和 Web 服務程序的 SQL 注入漏洞等獲得 Web 服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更爲嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

web應用體系中的關鍵組件

• 瀏覽器：是一種用於檢索並展現萬維網信息資源的應用程序。這些信息資源可爲網頁、圖片、影音或其餘內容，它們由統一資源標誌符標誌。信息資源中的超連接可以使用戶方便地瀏覽相關信息。
• web服務器：通常指網站服務器，是指駐留於因特網上某種類型計算機的程序，能夠向瀏覽器等Web客戶端提供文檔，也能夠放置網站文件，讓全世界瀏覽；能夠放置數據文件，讓全世界下載。目前最主流的三個Web服務器是Apache Nginx IIS
• web應用程序：一種能夠經過Web訪問的應用程序，程序的最大好處是用戶很容易訪問應用程序，用戶只須要有瀏覽器便可，不須要再安裝其餘軟件。
• 數據庫：是以必定方式儲存在一塊兒、能與多個用戶共享、具備儘量小的冗餘度、與應用程序彼此獨立的數據集合。
• 傳輸協議：指在任何物理介質中容許兩個或多個在傳輸系統中的終端之間傳播信息的系統標準，也是指計算機通訊或網上設備的共同語言。通訊協議定義了通訊中的語法學, 語義學和同步規則以及可能存在的錯誤檢測與糾正。

web應用安全威脅

• 針對瀏覽器和終端用戶的web瀏覽安全威脅
• 針對傳輸網絡的網絡協議安全威脅
• 系統層安全威脅
• web服務器軟件安全威脅
• web應用程序安全威脅
• web數據安全威脅

針對web應用程序探測發現漏洞

• 手工審查web應用程序結構和源代碼
  • 靜態和動態生成的頁面
  • 目錄結構
  • 輔助性文件
  • 輸入表單
  • 查詢參數字符串
• 自動下載與鏡像web站點頁面
• 使用google hacking技術審查與探測web應用程序
• web應用程序安全評估與漏洞探測

web服務器平臺中的安全漏洞分類

• 數據驅動的遠程代碼執行安全漏洞
• 服務器功能擴展模塊漏洞
• 樣本文件安全漏洞
• 源代碼泄露
• 資源解析攻擊

攻擊web應用程序的技術角度分類

• 針對認證機制的攻擊
• 受權機制的攻擊
• 客戶端攻擊
• 命令執行攻擊
• 信息暴露
• 邏輯攻擊

安全威脅舉例

web站點網絡傳輸安全防禦措施

• 儘可能使用https協議，至少對登錄過程進行加密保護
• 經過加密的鏈接通道來管理web站點
• 對關鍵的web服務器設置靜態綁定MAC-IP映射，在服務網段內進行ARP等各種欺騙攻擊的檢測與MAC封禁機制，在網關位置部署防火牆與入侵監測系統對web服務器實施保護與安全檢測，採用冗餘等機制來應對拒絕服務攻擊。

web站點操做系統及服務安全設防措施

• 對web站點的操做系統與服務器軟件進行及時的補丁更新。
• 對服務器的操做系統及開放服務進行遠程安全漏洞掃描
• 採用提高系統與服務安全性的通常新設防措施

web應用程序安全設防措施

• 謹慎考慮是否採用動態頁面技術、是否支持客戶端執行代碼、是否容許接收用戶輸入。
• 儘可能使用具備良好安全聲譽及穩定技術支持力量的web應用軟件包，並按期更新、掃描漏洞。
• 只在必要是自主或外包開發web應用程序
• 使用日誌功能

sql注入步驟

1. 發現sql注入點
2. 判斷後臺數據庫類型
3. 後臺數據庫管理員用戶口令字猜解
4. 上傳ASP後門，獲得默認帳戶權限
5. 本地權限提高
6. 利用數據庫擴展存儲過程執行shell命令

xss攻擊防範措施

• 輸入驗證
• 輸出淨化
• 消除危險的輸入點

web瀏覽器與安全攻防

web瀏覽器安全威脅位置

• 針對傳輸網絡的網絡協議安全威脅
• 針對web瀏覽器端系統平臺的安全威脅
• 針對web瀏覽器軟件及插件程序的滲透攻擊威脅
• 針對互聯網用戶的社會工程學攻擊威脅

網頁木馬攻擊工具特性

• 多樣化的客戶端滲透攻擊位置和技術類型
• 分佈式、複雜的微觀連接結構
• 靈活多變的混淆與對抗分析能力

網頁掛馬策略

• 內嵌HTML標籤
• 惡意Script叫腳本
• 內嵌對象連接
• ARP欺騙掛馬

網頁木馬檢測與分析技術

• 基於特徵碼匹配的傳統檢測方法
• 基於統計與機器學習的靜態分析方法
• 基於動態行爲結果斷定的監測分析方法
• 基於模擬瀏覽器環境的動態分析檢測方法