web應(yīng)用程序安全攻防

應(yīng)用程序體系結(jié)構(gòu)以及其安全威脅

1、三層架構(gòu)：表示層、業(yè)務(wù)邏輯層和數(shù)據(jù)層

2、體系結(jié)構(gòu)：瀏覽器、web服務(wù)器、web應(yīng)用程序、數(shù)據(jù)庫、傳輸協(xié)議HTTP/HTTPS

3、web應(yīng)用安全威脅：針對(duì)瀏覽器和終端用戶的web瀏覽安全、針對(duì)傳輸網(wǎng)絡(luò)協(xié)議安全威脅、系統(tǒng)安全威脅、web應(yīng)用程序安全威脅、web數(shù)據(jù)安全威脅。

web應(yīng)用的安全攻防

web應(yīng)用信息收集

1、手工審查web應(yīng)用程序結(jié)構(gòu)和源代碼：靜態(tài)和動(dòng)態(tài)生成的頁面、目錄結(jié)構(gòu)、輔助性文件、輸入表單、查詢參數(shù)字符串。

2、自動(dòng)下載和鏡像web站頁面.

3、google hacking技術(shù)審查和探測(cè)web應(yīng)用程序。

4、web應(yīng)用程序安全評(píng)估與漏洞探測(cè)————輔助分析工具：瀏覽器插件、免費(fèi)工具集、商業(yè)web應(yīng)用安全評(píng)估系統(tǒng)和漏洞掃描器。

攻擊web服務(wù)器軟件

安全漏洞：數(shù)據(jù)驅(qū)動(dòng)的遠(yuǎn)程代碼執(zhí)行安全漏洞、服務(wù)器功能擴(kuò)展模塊漏洞、樣本文件安全漏洞、源代碼泄漏、資源解析攻擊

攻擊web程序

web應(yīng)用程序安全威脅：針對(duì)認(rèn)證機(jī)制的攻擊、授權(quán)機(jī)制、客戶端攻擊、命令執(zhí)行攻擊、信息暴露、邏輯攻擊

攻擊web數(shù)據(jù)內(nèi)容

安全敏感數(shù)據(jù)泄漏、網(wǎng)站篡改、不良信息內(nèi)容上傳。

防范技術(shù)

1、web站點(diǎn)網(wǎng)絡(luò)傳輸安全設(shè)防措施：HTTPS、加密的連接通道、靜態(tài)綁定的MAC-TP映射。

2、web站點(diǎn)操作系統(tǒng)及服務(wù)安全設(shè)防措施：補(bǔ)丁更新、遠(yuǎn)程漏洞掃描、提升操作系統(tǒng)和服務(wù)安全性。

3、web應(yīng)用程序安全設(shè)防措施。

4、web站點(diǎn)數(shù)據(jù)安全設(shè)防措施。

SQL注入

1、原理：向web應(yīng)用提供的用戶接口輸入一段精心構(gòu)造的SQL查詢命令，攻擊和利用不完善的輸入機(jī)制，使得注入代碼得以執(zhí)行完成非預(yù)期的攻擊操作行為。

2、步驟：發(fā)現(xiàn)SQL注入點(diǎn)、判斷后臺(tái)數(shù)據(jù)庫類型、后臺(tái)數(shù)據(jù)庫中管理員用戶口令字猜解、上傳ASP后門、得到默認(rèn)用戶權(quán)限、利用數(shù)據(jù)庫擴(kuò)展存儲(chǔ)過程執(zhí)行shell命令

3、工具：wposion、wieliekoek.pl、SPItoolkit、HDSI等

4、防范措施：類型安全的參數(shù)編碼機(jī)制、外部用戶輸入必須進(jìn)行完備的安全檢查、將動(dòng)態(tài)SQL語句替換為存儲(chǔ)過程，預(yù)編譯SQL或ADO命令對(duì)象、加強(qiáng)SQL數(shù)據(jù)庫服務(wù)器的配置和鏈接。

XSS攻擊

1、攻擊原理

2、工具類型：持久型、非持久型

3、測(cè)試和利用XSS漏洞步驟：測(cè)試XSS漏洞、顯示用戶會(huì)話cookie、竊取用戶會(huì)話cookie、利用cookie信息假冒其他用戶發(fā)表和修改帖子、編寫實(shí)現(xiàn)XSS蠕蟲。

4、防范措施：服務(wù)器端（輸入驗(yàn)證、輸出凈化、消除危險(xiǎn)輸入點(diǎn)）、客戶端（提升瀏覽器安全設(shè)置）

web瀏覽器安全攻防

web瀏覽器戰(zhàn)爭(zhēng)及技術(shù)發(fā)展

1、目前瀏覽器能理解和支持HTML和XHTML、CSS、ECMAScript以及W3C DOM。

2、安全問題和威脅：瀏覽器軟件安全困境三要素（復(fù)雜性、可擴(kuò)展性、連通性）、瀏覽安全威脅位置(網(wǎng)絡(luò)協(xié)議、瀏覽端系統(tǒng)平臺(tái)、瀏覽器軟件以及插件程序的滲透攻擊威脅、社會(huì)工程學(xué))

網(wǎng)頁木馬

1、黑客地下經(jīng)濟(jì)鏈：病毒編寫者、網(wǎng)絡(luò)駭客、“信封”盜竊者、虛擬財(cái)產(chǎn)盜竊者、虛擬資產(chǎn)賣家、玩家。

2、網(wǎng)頁木馬:從根本上講是針對(duì)web瀏覽端軟件實(shí)施的客戶端滲透攻擊代碼。

3、網(wǎng)絡(luò)木馬機(jī)理全方位分析與理解：被動(dòng)式攻擊、復(fù)雜、需要多種類型惡意代碼和網(wǎng)絡(luò)資源。

4、網(wǎng)頁木馬特性：多樣化客戶端滲透攻擊位置和技術(shù)類型、分布式復(fù)雜的微觀鏈接結(jié)構(gòu)、靈活多變的混淆與對(duì)抗分析能力。

5、網(wǎng)絡(luò)木馬的核心————瀏覽器滲透攻擊：例MS06-014漏洞以及ANI光標(biāo)漏洞（堆內(nèi)存操作技術(shù)）

6、網(wǎng)頁掛馬機(jī)制：內(nèi)嵌HTML標(biāo)簽、惡意Script腳本、內(nèi)嵌對(duì)象鏈接、ARP欺騙掛馬。

7、混淆（免殺）機(jī)制：代碼重新排版、大小寫變換，十六進(jìn)制編碼等方式混淆、加密后解密方式、字符串運(yùn)算，數(shù)學(xué)運(yùn)算或者特殊函數(shù)混淆代碼。

8、網(wǎng)頁木馬的檢測(cè)和分析技術(shù)：基于特征碼匹配的傳統(tǒng)檢測(cè)方法、基于統(tǒng)計(jì)與機(jī)器學(xué)習(xí)的靜態(tài)分析方法、基于動(dòng)態(tài)行為結(jié)果判定的檢測(cè)方法、基于模擬瀏覽器環(huán)境的動(dòng)態(tài)分析檢測(cè)方法、網(wǎng)頁木馬檢測(cè)分析技術(shù)綜合對(duì)比。

9、防范措施：提升操作系統(tǒng)與瀏覽端平臺(tái)軟件安全性、安裝和實(shí)時(shí)更新反病毒軟件、安裝Mac OS/Linux操作系統(tǒng)并使用冷門的瀏覽器

轉(zhuǎn)載于:https://www.cnblogs.com/miaohj/p/5350878.html

總結(jié)

以上是生活随笔為你收集整理的20159320《网络攻防实践》第5周教材总结的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。