教材学习总结
web应用程序安全攻防
应用程序体系结构以及其安全威胁
一、三层架构:表示层、业务逻辑层和数据层
二、体系结构:浏览器、web服务器、web应用程序、数据库、传输协议HTTP/HTTPS
三、web应用安全威胁:针对浏览器和终端用户的web浏览安全、针对传输网络协议安全威胁、系统安全威胁、web应用程序安全威胁、web数据安全威胁。
web应用的安全攻防
web应用信息收集
一、手工审查web应用程序结构和源代码:静态和动态生成的页面、目录结构、辅助性文件、输入表单、查询参数字符串。
二、自动下载和镜像web站页面.
三、google hacking技术审查和探测web应用程序。
四、web应用程序安全评估与漏洞探测————辅助分析工具:浏览器插件、免费工具集、商业web应用安全评估系统和漏洞扫描器。
攻击web服务器软件
安全漏洞:数据驱动的远程代码执行安全漏洞、服务器功能扩展模块漏洞、样本文件安全漏洞、源代码泄漏、资源解析攻击
攻击web程序
web应用程序安全威胁:针对认证机制的攻击、受权机制、客户端攻击、命令执行攻击、信息暴露、逻辑攻击
攻击web数据内容
安全敏感数据泄漏、网站篡改、不良信息内容上传。
防范技术
一、web站点网络传输安全设防措施:HTTPS、加密的链接通道、静态绑定的MAC-TP映射。
二、web站点操做系统及服务安全设防措施:补丁更新、远程漏洞扫描、提高操做系统和服务安全性。
三、web应用程序安全设防措施。
四、web站点数据安全设防措施。
SQL注入
一、原理:向web应用提供的用户接口输入一段精心构造的SQL查询命令,攻击和利用不完善的输入机制,使得注入代码得以执行完成非预期的攻击操做行为。
二、步骤:发现SQL注入点、判断后台数据库类型、后台数据库中管理员用户口令字猜解、上传ASP后门、获得默认用户权限、利用数据库扩展存储过程执行shell命令
三、工具:wposion、wieliekoek.pl、SPItoolkit、HDSI等
四、防范措施:类型安全的参数编码机制、外部用户输入必须进行完备的安全检查、将动态SQL语句替换为存储过程,预编译SQL或ADO命令对象、增强SQL数据库服务器的配置和连接。
XSS攻击
一、攻击原理
二、工具类型:持久型、非持久型
三、测试和利用XSS漏洞步骤:测试XSS漏洞、显示用户会话cookie、窃取用户会话cookie、利用cookie信息假冒其余用户发表和修改帖子、编写实现XSS蠕虫。
四、防范措施:服务器端(输入验证、输出净化、消除危险输入点)、客户端(提高浏览器安全设置)
web浏览器安全攻防
web浏览器战争及技术发展
一、目前浏览器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。
二、安全问题和威胁:浏览器软件安全困境三要素(复杂性、可扩展性、连通性)、浏览安全威胁位置(网络协议、浏览端系统平台、浏览器软件以及插件程序的渗透攻击威胁、社会工程学)
网页木马
一、黑客地下经济链:病毒编写者、网络骇客、“信封”盗窃者、虚拟财产盗窃者、虚拟资产卖家、玩家。
二、网页木马:从根本上讲是针对web浏览端软件实施的客户端渗透攻击代码。
三、网络木马机理全方位分析与理解:被动式攻击、复杂、须要多种类型恶意代码和网络资源。
四、网页木马特性:多样化客户端渗透攻击位置和技术类型、分布式复杂的微观连接结构、灵活多变的混淆与对抗分析能力。
五、网络木马的核心————浏览器渗透攻击:例MS06-014漏洞以及ANI光标漏洞(堆内存操做技术)
六、网页挂马机制:内嵌HTML标签、恶意Script脚本、内嵌对象连接、ARP欺骗挂马。
七、混淆(免杀)机制:代码从新排版、大小写变换,十六进制编码等方式混淆、加密后解密方式、字符串运算,数学运算或者特殊函数混淆代码。
八、网页木马的检测和分析技术:基于特征码匹配的传统检测方法、基于统计与机器学习的静态分析方法、基于动态行为结果断定的检测方法、基于模拟浏览器环境的动态分析检测方法、网页木马检测分析技术综合对比。
九、防范措施:提高操做系统与浏览端平台软件安全性、安装和实时更新反病毒软件、安装Mac OS/Linux操做系统并使用冷门的浏览器