网络攻防原理与技术课件最新版第11章Web网站攻击技术

Cookie安全问题
Cookie中包含了一些敏感信息，如用户 名、计算机名、使用的浏览器和曾经访 问的网站等，攻击者可以利用它来进行 窃密和欺骗攻击
内容提纲
1 Web应用体系结构脆弱性分析 2 常见Web应用攻击及防范 3 Web应用防火墙WAF
Web应用安全的严重性
在安全漏洞报告中，Web应用安全漏洞一直占据最 前列。
Web 服务器
Web 应用程序
Web 应用程序
明文或 SSL
HTTP响应 ( HTML, JavaScript,
etc.)
• Perl • C++ • CGI • Java • ASP • PHP • etc.
Web 应用程序
• Oracle • SQL Server • etc.
连接器 数据库
连接器 数据库
• ADO • ODBC • JDBC • etc.
Web应用体系结构潜在弱点
Web客户端 活动内容执行，客户端软件漏洞的利用，交互 站点脚本的错误
传输 偷听客户-服务器通信，SSL重定向
Web服务器 Web服务器软件漏洞；
Web应用体系结构潜在弱点
Web应用程序 攻击授权、认证、站点结构、输入验证，以及 应用程序逻辑
十大安全漏洞-OWASP 2007
OWASP 2013
A1. Injection：注入漏洞； A2. Broken Authentication and Session
Management：失效的身份认证和会话管理； A3. Cross-Site Scripting (XSS)：跨站脚本； A4. Insecure Direct Object References：不安全
伪造； A9.Using Know Vulnerable Components：使用已
知易受攻击的组件； A10.Unvalidated Redirects and Forwards 未验证的
重定向和转发
OWASP 2017
OWASP 2017
OWASP 2017
一、SQL注入攻击及防范
的直接对象引用； A5. Security Misconfiguration：安全配置错误；
OWASP 2013
A6.Sensitive Data Exposure：敏感数据暴露； A7.Missing Function Level Access Control：功能
级别访问控制缺失； A8. Cross-Site Request Forgery (CSRF)：跨站请求
比如SANS @RISK 在2007年8月的安全漏洞报告：
SANS @RISK Aug 2007 8/7 8/13 8/20 8/27 Total
Microsoft Products
0 5 15
0
20
Mac
10 1
2
4
Linux
45 1
5
15
Unix, Solaris, etc
62 6
3
17
Network Device
数据库 通过数据库查询运行优先权命令，查询操纵返 回额外的数据集。
Web应用安全
Web应用程序功能与安全隐患的对应关系
HTTP协议安全问题
HTTP协议是一种简单的、无状态的应用 层协议（RFC1945、RFC2616）
无状态使攻击变得容易 基于ASCII码，无需弄清复杂的二进制编码
机制，攻击者就可了解协议中的明文信息 互联网中存在的大量中间盒子，HTTP标准
HTTP协议安全问题
HTTP协议安全问题
HTTP协议安全问题Βιβλιοθήκη Baidu
HTTP协议安全问题
HTTP协议安全问题
HTTP协议安全问题
HTTP协议安全问题
HTTP协议安全问题
HTTP协议安全问题
HTTPS
有了HTTPS，即使被中间人攻击，也能 防止攻击
2020.3.26 国内部分地区网络出现中间人攻击 （通过骨干网络进行劫持 HTTPS的443端口 ）：GitHub、京东等被劫持。因证书不对， 被浏览器阻止访问
SSN参数来自于用户的输入：
参数未经验证或编码
黑客输入： 1234’ OR ‘1’=‘1 应用程序构造查询语句：
永真逻辑！
SELECT * FROM USERS WHERE SSN=‘1234’ OR ‘1’=‘1’
OWASP Top 10 2007
OWASP Top 10 2004
A1. Cross Site Scripting (XSS)
A2. Injection Flaws
A3. Malicious File Execution
A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF) A6. Information Leakage and Improper Error Handling A7. Broken Authentication and Session Management
NAME= VALUE; expires= DATE; path= PATH; domain= DOMAIN_NAME; secure
示例
autolog = bWlrzTpteXMxy3IzdA%3D%3D; expires=Sat, 01-Jan-2018 00:00:00 GMT; path=/; domain=victim.com
A4. Cross Site Scripting (XSS) A6. Injection Flaws (NEW) A2. Broken Access Control (Split in 2007 T10) (NEW)
A7. Improper Error Handling
A3. Broken Authentication and Session Management
用自签名证书伪造知名网站证书
用自签名证书伪造知名网站证书
用自签名证书伪造知名网站证书
HTTPS就安全了吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
Cookie安全问题
Cookie的生成与维护
Cookie在生成时就会被指定一个Expire值， 这就是Cookie的生存周期。到期自动清除
如果一台计算机上安装了多个浏览器，每个 浏览器都会在各自独立的空间存放Cookie
Cookie中的内容大多数经过了编码处理
Cookie安全问题
Cookie的一般格式如下：
(RFC 2616和RFC 7320)的理解如果不一致， 就有可能导致一些新的攻击发生
HTTP协议安全问题
HTTP会话经常被劫持
HTTP协议安全问题
HTTP会话头泄露隐私信息
HTTP协议安全问题
中间盒子带来的HTTP安全问题
HTTP协议安全问题
HTTP协议安全问题
HTTP协议安全问题
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
第 十一 章 Web网站攻击技术
内容提纲
1 Web应用体系结构脆弱性分析 2 常见Web应用攻击及防范 3 Web应用防火墙WAF
Web应用程序体系结构
IE, Chrome, Firefox,
etc.
HTTP/HTTPS 请求
• Apache • IIS • etc.
Web 客户端
传输层
2007 VS. 2004 (2/2)
OWASP Top 10 2007
A8. Insecure Cryptographic Storage A9. Insecure Communications
A10. Failure to Restrict URL Access <removed in 2007> <removed in 2007> <removed in 2007> <removed in 2007>
Cookie安全问题
Cookie的生成与维护
由服务器端生成，发送给客户端（一般是浏 览器），浏览器会将Cookie的值保存到某个 目录下的文本文件内，下次请求同一网站时 就发送该Cookie给服务器（前提是浏览器设 置为启用Cookie）
服务器可以利用Cookie存储信息并经常性地 维护这些信息，从而判断在HTTP传输中的 状态
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
12 3
5
11
Web Applications
50 35 23
22 130
OWASP
OWASP: Open Web Application Security Project， http://www.owasp.org
一个全志愿者组成的、非营利性机构 开发和出版免费专业开源的文档、工具和标
准，如： “The Ten Most Critical Web Application Security Vulnerabilities”，《A Guide to Building Secure Web Applications》 ， WebGoat， WebScarab，各种Web代码测 试工具等
OWASP
OWASP: Open Web Application Security Project， http://www.owasp.org, http://www.owasp.org.cn
致力于帮助组织机构理解和提高他们的Web 安全
组织各种Web安全会议
OWASP十大安全漏洞变迁史
2007 VS. 2004 (1/2)
OWASP Top 10 2004
A8. Insecure Storage
(NEW) A2. Broken Access Control (split in 2007 T10) A1. Un-validated Input A5. Buffer Overflows A9. Denial of Service A10. Insecure Configuration Management
注入漏洞
最普遍的注入漏洞包括：
SQL注入：通过SQL语句恶意地调用后台数据 库
系统调用 通过shell命令调用外部程序 任何依赖于解释执行的Web应用都有被注 入漏洞攻击的危险！
SQL注入原理
例子：
通过用户提供的参数来查询表中的数据
"SELECT * FROM USERS WHERE SSN=‘" + ssn + "’“
HTTPS就安全了吗？
有了HTTPS，通信就不会被支持吗？
HTTPS就安全了吗？
清华大学段海新教授团队关于中间盒子 主要研究成果
HTTPS就安全了吗？
清华大学段海新教授：
Cookie的安全问题
为什么需要Cookie？
解决无状态问题：保存客户服务器之间的一 些状态信息
Cookie是指网站为了辨别用户身份、进行会 话跟踪而储存在用户本地终端上的一些数据 （通常经过编码），最早由网景公司的Lou Montulli在1993年3月发明的，后被采纳为 RFC标准（RFC2109、RFC2965）
注入漏洞
OWASP Definition
Injection flaws, particularly SQL injection, are common in web applications. Injection occurs when user-supplied data is sent to an interpreter as part of a command or query. The attacker’s hostile data tricks the interpreter into executing unintended commands or changing data.