教材學(xué)習(xí)內(nèi)容總結(jié)

1、WEB應(yīng)用程序安全攻防

Web應(yīng)用體系結(jié)構(gòu)及安全威脅
web應(yīng)用體系結(jié)構(gòu)
“瘦”客戶(hù)端：瀏覽器，完成數(shù)據(jù)顯示與展示內(nèi)容的渲染功能；
“胖”服務(wù)器：web服務(wù)器軟件、web應(yīng)用程序、后端數(shù)據(jù)庫(kù)。
通過(guò)經(jīng)典三層架構(gòu)：表示層、業(yè)務(wù)邏輯層和數(shù)據(jù)層來(lái)組織和構(gòu)建。

傳輸協(xié)議HTTP/HTTPS:
1）超文本傳輸協(xié)議HTTP無(wú)狀態(tài)、ASCII碼明文傳輸、運(yùn)行于眾所周知的TCP80端口。特點(diǎn)：簡(jiǎn)單、流行、易受攻擊。
2）加密傳輸?shù)腍TTPS協(xié)議，使用ssl/tls隧道技術(shù)，采用多種認(rèn)證協(xié)議實(shí)現(xiàn)對(duì)用戶(hù)身份的人認(rèn)證與控制。
web應(yīng)用安全威脅
1）針對(duì)瀏覽器和終端用戶(hù)的web瀏覽安全威脅：以瀏覽器滲透攻擊為核心的網(wǎng)頁(yè)木馬、網(wǎng)站釣魚(yú)。
2）針對(duì)傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)協(xié)議安全威脅：針對(duì)HTTP明文傳輸?shù)拿舾行畔⒈O(jiān)聽(tīng)、假冒身份攻擊、拒絕服務(wù)攻擊等。
3）系統(tǒng)層安全威脅：遠(yuǎn)程滲透攻擊和本地滲透攻擊溫威脅。
4）web服務(wù)器軟件安全威脅：利用漏洞實(shí)施滲透攻擊、獲取敏感信息。
5）web數(shù)據(jù)安全威脅：竊取、篡改、輸入不良信息。
Web應(yīng)用程序安全攻防技術(shù)概述
信息收集內(nèi)容包括：
服務(wù)器域名
ip地址和虛擬ip地址
web服務(wù)器端口與其他開(kāi)放服務(wù)
web站點(diǎn)類(lèi)型和版本
web應(yīng)用程序類(lèi)型和版本
web服務(wù)器和web應(yīng)用程序中存在的安全漏洞信息
方式包括：
手工審查web應(yīng)用程序結(jié)構(gòu)與源代碼
自動(dòng)下載與鏡像web站點(diǎn)頁(yè)面：lynx、wget、teleportpro、offline explorer等web站點(diǎn)鏡像軟件。
使用google hacking技術(shù)審查與探測(cè)web應(yīng)用程序
web應(yīng)用程序安全評(píng)估與漏洞探測(cè)：瀏覽器插件、免費(fèi)工具集、商業(yè)web應(yīng)用安全評(píng)估系統(tǒng)和漏洞掃描器。
Web服務(wù)器平臺(tái)安全漏洞：
數(shù)據(jù)驅(qū)動(dòng)的遠(yuǎn)程代碼執(zhí)行安全漏洞
服務(wù)器功能拓展模塊漏洞
樣本文件安全漏洞
源代碼泄露
資源解析攻擊
Web應(yīng)用程序安全威脅從攻擊者技術(shù)角度分為如下六類(lèi)：
針對(duì)認(rèn)證機(jī)制攻擊
授權(quán)機(jī)制攻擊
客戶(hù)端攻擊
命令執(zhí)行攻擊
信息暴露
邏輯攻擊
??最流行的的兩類(lèi)Web應(yīng)用程序安全漏洞及攻擊技術(shù)：SQL注入和XSS跨站腳本。攻擊Web數(shù)據(jù)內(nèi)容：安全敏感數(shù)據(jù)泄露、網(wǎng)站內(nèi)容遭到篡改以及不良信息內(nèi)容上傳威脅。
Web應(yīng)用安全防范措施：
1）web站點(diǎn)網(wǎng)絡(luò)傳輸安全防范措施
使用HTTPS
使用加密連接通道、對(duì)關(guān)鍵Web服務(wù)器設(shè)置靜態(tài)綁定MAC-IP映射。
??2）Web站點(diǎn)操作系統(tǒng)及服務(wù)安全設(shè)防措施
及時(shí)的補(bǔ)丁更新
進(jìn)行遠(yuǎn)程安全漏洞掃描
關(guān)閉不使用的服務(wù)
設(shè)置強(qiáng)口令字
部署防火墻
數(shù)據(jù)備份
??3）Web應(yīng)用程序安全設(shè)防措施
使用靜態(tài)HTML
使用具有良好安全聲譽(yù)及穩(wěn)定技術(shù)支持力量的Web應(yīng)用軟件包
除非必要才使用自主或者外包Web應(yīng)用程序
使用Web服務(wù)器軟件提供的日志功能。
??4）Web站點(diǎn)數(shù)據(jù)安全設(shè)防措施
提高維護(hù)人員數(shù)據(jù)安全意識(shí)
對(duì)維護(hù)網(wǎng)站數(shù)據(jù)安全實(shí)施日常監(jiān)測(cè)和防護(hù)
SQL注入
本節(jié)講了什么是SQL注入、種類(lèi)以及原理（課本舉了兩個(gè)例子進(jìn)行說(shuō)明）：
利用web應(yīng)用程序的輸入驗(yàn)證不完善漏洞，使得web應(yīng)用程序執(zhí)行由攻擊者所注入的惡意指令和代碼，造成敏感信息泄露、權(quán)限提升或?qū)ο到y(tǒng)的未授權(quán)訪問(wèn)等危害后果。

SQL注入攻擊步驟：

發(fā)現(xiàn)SQL注入點(diǎn) 判斷后臺(tái)數(shù)據(jù)庫(kù)類(lèi)型 后臺(tái)數(shù)據(jù)庫(kù)中管理員用戶(hù)口令字猜解 上傳ASP后門(mén)，得到默認(rèn)賬戶(hù)權(quán)限 本地權(quán)限提升 利用數(shù)據(jù)庫(kù)擴(kuò)展存儲(chǔ)過(guò)程執(zhí)行Shell命令

SQL注入攻擊工具：

Wposion 能在動(dòng)態(tài)web文檔中找出SQL注入漏洞 wieliekoek.pl 以網(wǎng)站鏡像工具生成的輸入為輸出，對(duì)表單頁(yè)面注入字符串修改 SPIKE Proxy 對(duì)待注入的字符串進(jìn)行定制 SPI Toolkit工具包

###對(duì)抗 SQL 注入
SQL 注入漏洞的根本原因是沒(méi)有將代碼和數(shù)據(jù)區(qū)分開(kāi)。當(dāng)組建一個(gè) SQL 語(yǔ)句時(shí)，程序 （如 PHP 程序）知道哪個(gè)部分是代碼哪個(gè)部分是數(shù)據(jù)。不幸的是當(dāng) SQL 語(yǔ)句送往數(shù)據(jù)庫(kù)執(zhí) 行時(shí)，這個(gè)邊界被打破，當(dāng)程序被注入時(shí)，SQL 解釋器看到的邊界可能和最初的邊界不一 樣。為了解決這個(gè)問(wèn)題，保持服務(wù)端程序和數(shù)據(jù)庫(kù)看到的邊界一樣就十分重要。

XSS跨站腳本攻擊

測(cè)試漏洞 很簡(jiǎn)單，請(qǐng)你登錄到論壇后發(fā)布一個(gè)帖子，帖子中包含以下內(nèi)容： 然后打開(kāi)包含有你發(fā)布的帖子的頁(yè)面——是否看到一個(gè)彈出的窗口呢？

? 在消息窗口中顯示 Cookie 現(xiàn)在我們已經(jīng)可以成功地彈出一個(gè)窗口，那么我們?cè)诖翱诶镲@示一些更有用的信息，比 如你的 Cookie。 請(qǐng)你再來(lái)發(fā)布一個(gè)帖子，包含以下內(nèi)容： Hello Everybody, Welcome to this message board. 和前面一樣瀏覽你的帖子，你將看到一個(gè)彈出的窗口。

? 獲得受害主機(jī)的 Cookie 原理我們?cè)阱e(cuò)誤！未找到引用源。節(jié)中已經(jīng)介紹的很清楚了。下面我們具體說(shuō)一下如何 實(shí)現(xiàn)： 首先，在前文中提到的可以將用戶(hù)的 HTTP 請(qǐng)求輸出在屏幕上的應(yīng)用已經(jīng)在你的機(jī)器里。 你可以在 Desktop/echoserver/中找到 echoserv 軟件，運(yùn)行方式為：
seed@seed-desktop:~/ Desktop/echoserver$ ./echoserv 4444 & 其中 4444 是端口號(hào)，要和我們?cè)诎l(fā)帖時(shí)指定的源路徑端口號(hào)一致。 然后我們發(fā)布帖子，并包含以下信息： 登出后以另一用戶(hù)重新登錄，訪問(wèn)該帖，你將會(huì)在運(yùn)行 echoserv 的終端上看到這個(gè)受 害主機(jī)的 Cookie。
利用 Cookie 仿冒受害主機(jī)在仿冒受害主機(jī)前，我們需要了解 phpBB 是怎樣發(fā)布帖子的。我們可以利用 LiveHTTPHeaders 來(lái)得到發(fā)消息時(shí)用戶(hù)向服務(wù)器所發(fā)送的具體 HTTP 請(qǐng)求信息，從而進(jìn)行分 析。LiveHTTPHeaders 已經(jīng)在 VM 鏡像中安裝好。選中一個(gè)請(qǐng)求，然后點(diǎn)擊 Replay 即可看 到詳細(xì)的信息。 我們的任務(wù)是，利用得到的用戶(hù)的 Cookie 假冒用戶(hù)進(jìn)行發(fā)帖和用戶(hù)原始消息的修改。 由于 phpBB 的限制，用戶(hù)只有當(dāng)?shù)卿洉r(shí)才可以進(jìn)行消息的更改和發(fā)布，所以我們的任務(wù)按 照如下的流程進(jìn)行： 1. 登錄到 phpBB 中，發(fā)表信息并用 LiveHTTPHeaders 得到該信息的發(fā)表請(qǐng)求。 2. 從發(fā)表請(qǐng)求中抽取用戶(hù)的 Cookie 信息和發(fā)布消息內(nèi)容，進(jìn)行修改 3. 編寫(xiě) Java 程序，實(shí)現(xiàn)向服務(wù)器發(fā)送 HTTP 請(qǐng)求。 4. 將修改好的消息和 Cookie 信息通過(guò) Java 程序發(fā)送到服務(wù)器 5. 刷新頁(yè)面，你將看到修改后的信息。 6. 嘗試仿冒用戶(hù)發(fā)布新的消息，而不是修改用戶(hù)曾經(jīng)發(fā)布的消息 其中，大家可以參考 11.4.3 節(jié) XSS 攻擊實(shí)例(4)利用 Cookie 信息假冒其他用戶(hù)發(fā)表與修改帖 子中所提供的 Java 程序。
與代碼注入攻擊不同的是，XSS跨站腳本攻擊的最終目標(biāo)不是提供服務(wù)的web應(yīng)用程序，而是使用web應(yīng)用程序的用戶(hù)。
XSS攻擊技術(shù)原理
是Web應(yīng)用程序?qū)τ脩?hù)數(shù)輸入內(nèi)容的安全驗(yàn)證與過(guò)濾不完善。
攻擊方式
繞過(guò)客戶(hù)端安全策略訪問(wèn)敏感信息，竊取或修改會(huì)話Cookie、進(jìn)行客戶(hù)端滲透攻擊獲取訪問(wèn)權(quán)。
XSS攻擊類(lèi)型
持久性XSS漏洞和非持久性XSS漏洞，利用這兩類(lèi)漏洞的攻擊也稱(chēng)為持久性XSS攻擊和非持久性XSS攻擊。
攻擊實(shí)例：測(cè)試XSS漏洞、顯示用戶(hù)的會(huì)話cookie、竊取用戶(hù)的會(huì)話cookie、利用cookie信息假冒其他用戶(hù)發(fā)表與修改帖子、編寫(xiě)實(shí)現(xiàn)XSS蠕蟲(chóng)。
XSS攻擊防范措施
服務(wù)器端：輸入驗(yàn)證、輸出凈化、消除危險(xiǎn)的輸入點(diǎn)。

轉(zhuǎn)載于:https://www.cnblogs.com/zhangyuxiang666/p/10629618.html

總結(jié)

以上是生活随笔為你收集整理的20189211 《网络攻防》第五周作业的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。