Web安全测试ppt课件

A3-错误的认证和会话管理

遭破坏的认证和会话管理 就是攻击者窃听了我们访问HTTP时的用户名和密码， 或者是我们的会话，从而得到sessionID，进而冒充 用户进行Http访问的过程。
如何来防范
第一， 我们要整体审视我们的架构 认证机制本身必须是简单、集中和标准化的； 使用容器提供给我们的标准session id； 确保在任何时候用SSL来保护我们的密码和 session id 第二， 验证认证的实现机制 检查SSL的实现方法 验证所有与认证相关的函数 确保“注销登录”的动作能够关闭所有的会话

A1-注入
注入往往是应用程序缺少对输入进行安全性检查所引 起的，攻击者把一些包含指令的数据发送给解释器， 解释器会把收到的数据转换成指令执行。 常见的注入包括SQL注入，OS Shell，LDAP， Xpath，Hibernate等等，

SQL注入实例

http://www.phpchina.com/index.php?actionviewthread-tid-66445
Web安全测试
网络安全事件

2001年4月27日--5月5日)导火索.撞机事件

美国 2.7黑客案件事件
6.网络破坏：
主页篡改、文件删除、毁坏OS 、格式化磁盘
7. 数据窃取：
敏感数据拷贝、监听敏感数据传输---共享媒介 /服务器监听/远程监听RMON
8.伪造、浪费与滥用资源：
违规使用
9.篡改审计数据:
1.Dos：使目标系统或网络无法提供正常服务
网络Flooding:syn flooding、 ping flooding 、DDos 系统Crash: Ping of death、泪滴、 land 、WinNuke 应用Crash/Overload：利用应用程序缺陷，如长邮件
2.扫描探测：系统弱点探察

A5-伪造跨站请求（CSRF）

是一种对网站的恶意利用。类似（XSS），。XSS利 用站点内的信任用户，而CSRF则通过伪装来自受信 任用户的请求来利用受信任的网站。
如何防范

开发人员应当向URL添加跟会话有关信息。
A6-安全性误配置

防火墙、平台、Web服务器、应用服务器，系统框 架，数据库 缺少补丁，错误的安全配置，缺省用户是否存在，不 必要的服务

A4-不正确的直接对象引用

意指一个已经授权的用户，通过更改访问时的一个参 数，从而访问到了原本其并没有得到授权的对象。 Web应用往往在生成Web页面时会用它的真实名字， 且并不会对所有的目标对象访问时来检查用户权限， 所以这就造成了不安全的对象直接引用的漏洞。
如何防范
1. 使用非直接的对象引用——这防止了攻击者直 接访问其并未授权的对象，通过一种mapping或是 其他的方法让攻击者无法直接访问。 2. 检查访问——对每一个来自于不信任的源的直 接对象引用都必须包含访问控制检查，从而确信该用 户对该对象拥有访问权。

如何防范


验证你的系统的安全配置



可使用自动化的安全配置向导； 必须覆盖整个平台和系统； 对所有组件都必须保证安装了最新的补丁； 完善分析变更带来的安全影响
A7-限制远程访问失败

与不安全的直接对象引用类似，不同在于该漏洞是说 系统已经对URL的访问做了限制，但这种限制却实际 并没有生效。 常见的错误是，我们在用户认证后只显示给用户认证 过的页面和菜单选项，而实际上这些仅仅是表示层的 访问控制而不能真正生效，攻击者能够很容易的就伪 造请求直接访问未被授权的页面。
4.获取权限，提升权限（root/administrator）
猜/crack root口令、缓冲区溢出、利用NT注册表、访问和利用高 权限控制台、利用启动文件、利用系统或应用Bugs
5. 插入恶意代码:
病毒、特洛伊木马（BO)、后门、恶意Applet
6
OWASP介绍
Owsap开放式Web应用程Leabharlann Baidu安全项目（OWASP， Open Web Application Security Project）是一个 非盈利组织， 主要目标是研议协助解决Web软体安全之标准、工 具与技术文件，长期 致力于协助政府或企业了解并 改善网页应用程式与网页服务的安全性。 十大Web弱点防护守则
SATAN、ISS 、Cybercop Scanner 、 ping （嗅探加 密口令,口令文件)
5
3.口令攻击: 弱口令
口令窃取：嗅探器、偷窥、社会工程（垃圾、便条、伪装查询） 口令猜测：常用字—无法获得加密的口令-强力攻击 口令Crack：字典猜测、字典攻击—可获得加密的口令（嗅探加密 口令,口令文件)

A2 跨站脚本（XSS）

Cross Site Scripting（XSS），翻译成中文即“跨 站脚本攻击”。它指的是恶意攻击者往Web页面里 插入恶意html代码，当用户浏览该页之时，嵌入其 中Web里面的html代码会被执行，从而达到恶意用 户的特殊目的。 实例

如何防范

主要看代码里对用户输入的地方有没有做长度和 对”<”,”>”,”;”,”’”等字符是否做过滤。 还有要注意的是对于标签的闭合输入 <script>alert(‘test’)</script>，代码是不会被执行 的，因为在源代码里，有其它的标签未闭合，如少了 一个</script>，这个时候，你只要闭合一个 </script>，代码就会执行，如：输入 </script><script>alert(‘test’)</script>，这样就 可以弹出一个test的框
https://www.owasp.org/index.php/SQL_Injectio n

如何防范
1. 最好的选择是使用安全的API以避免使用解释器或 者提供一个参数化的界面，对于API，譬如存储过程； 2. 如果没有参数化的API，那么我们就要仔细考虑一 些转义符或是特殊符号的检查； 3. 最好对所有正确的输入做列表，形成白名单，实 习难道太大
删除、修改、权限改变、使审计进程失效
10. 安全基础攻击：
防火墙、路由、帐户修改，文件权限修改。
3
网络攻击形式
• 按网络服务分：
E-Mail、FTP、Telnet、R服务、IIS
• 按技术途径分：
口令攻击、Dos攻击、种植木马
• 按攻击目的分：
数据窃取、伪造滥用资源、篡改数据
4
主要攻击与威胁
——十大攻击手段