20159320《網絡攻防實踐》第5周教材總結

web應用程序安全攻防

應用程序體系結構以及其安全威脅

一、三層架構：表示層、業務邏輯層和數據層

二、體系結構：瀏覽器、web服務器、web應用程序、數據庫、傳輸協議HTTP/HTTPS

三、web應用安全威脅：針對瀏覽器和終端用戶的web瀏覽安全、針對傳輸網絡協議安全威脅、系統安全威脅、web應用程序安全威脅、web數據安全威脅。

web應用的安全攻防

web應用信息收集

一、手工審查web應用程序結構和源代碼：靜態和動態生成的頁面、目錄結構、輔助性文件、輸入表單、查詢參數字符串。

二、自動下載和鏡像web站頁面.

三、google hacking技術審查和探測web應用程序。

四、web應用程序安全評估與漏洞探測————輔助分析工具：瀏覽器插件、免費工具集、商業web應用安全評估系統和漏洞掃描器。

攻擊web服務器軟件

安全漏洞：數據驅動的遠程代碼執行安全漏洞、服務器功能擴展模塊漏洞、樣本文件安全漏洞、源代碼泄漏、資源解析攻擊

攻擊web程序

web應用程序安全威脅：針對認證機制的攻擊、受權機制、客戶端攻擊、命令執行攻擊、信息暴露、邏輯攻擊

攻擊web數據內容

安全敏感數據泄漏、網站篡改、不良信息內容上傳。

防範技術

一、web站點網絡傳輸安全設防措施：HTTPS、加密的鏈接通道、靜態綁定的MAC-TP映射。

二、web站點操做系統及服務安全設防措施：補丁更新、遠程漏洞掃描、提高操做系統和服務安全性。

三、web應用程序安全設防措施。

四、web站點數據安全設防措施。

SQL注入

一、原理：向web應用提供的用戶接口輸入一段精心構造的SQL查詢命令，攻擊和利用不完善的輸入機制，使得注入代碼得以執行完成非預期的攻擊操做行爲。

二、步驟：發現SQL注入點、判斷後臺數據庫類型、後臺數據庫中管理員用戶口令字猜解、上傳ASP後門、獲得默認用戶權限、利用數據庫擴展存儲過程執行shell命令

三、工具：wposion、wieliekoek.pl、SPItoolkit、HDSI等

四、防範措施：類型安全的參數編碼機制、外部用戶輸入必須進行完備的安全檢查、將動態SQL語句替換爲存儲過程，預編譯SQL或ADO命令對象、增強SQL數據庫服務器的配置和連接。

XSS攻擊

一、攻擊原理

二、工具類型：持久型、非持久型

三、測試和利用XSS漏洞步驟：測試XSS漏洞、顯示用戶會話cookie、竊取用戶會話cookie、利用cookie信息假冒其餘用戶發表和修改帖子、編寫實現XSS蠕蟲。

四、防範措施：服務器端（輸入驗證、輸出淨化、消除危險輸入點）、客戶端（提高瀏覽器安全設置）

web瀏覽器安全攻防

web瀏覽器戰爭及技術發展

一、目前瀏覽器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。

二、安全問題和威脅：瀏覽器軟件安全困境三要素（複雜性、可擴展性、連通性）、瀏覽安全威脅位置(網絡協議、瀏覽端系統平臺、瀏覽器軟件以及插件程序的滲透攻擊威脅、社會工程學)

網頁木馬

一、黑客地下經濟鏈：病毒編寫者、網絡駭客、「信封」盜竊者、虛擬財產盜竊者、虛擬資產賣家、玩家。

二、網頁木馬:從根本上講是針對web瀏覽端軟件實施的客戶端滲透攻擊代碼。

三、網絡木馬機理全方位分析與理解：被動式攻擊、複雜、須要多種類型惡意代碼和網絡資源。

四、網頁木馬特性：多樣化客戶端滲透攻擊位置和技術類型、分佈式複雜的微觀連接結構、靈活多變的混淆與對抗分析能力。

五、網絡木馬的核心————瀏覽器滲透攻擊：例MS06-014漏洞以及ANI光標漏洞（堆內存操做技術）

六、網頁掛馬機制：內嵌HTML標籤、惡意Script腳本、內嵌對象連接、ARP欺騙掛馬。

七、混淆（免殺）機制：代碼從新排版、大小寫變換，十六進制編碼等方式混淆、加密後解密方式、字符串運算，數學運算或者特殊函數混淆代碼。

八、網頁木馬的檢測和分析技術：基於特徵碼匹配的傳統檢測方法、基於統計與機器學習的靜態分析方法、基於動態行爲結果斷定的檢測方法、基於模擬瀏覽器環境的動態分析檢測方法、網頁木馬檢測分析技術綜合對比。

九、防範措施：提高操做系統與瀏覽端平臺軟件安全性、安裝和實時更新反病毒軟件、安裝Mac OS/Linux操做系統並使用冷門的瀏覽器