2016安全问题.pptVIP

网站安全问题 如何防范？ 背景 随着计算机技术和网络技术的发展，网络已经逐渐走入我们平常百姓家，网络也在也不是个陌生的字眼。大到企业办公，小到私人娱乐。网络正以其独特的魅力向世人昭示它的风采。但同时， 网络安全问题也随之与来 。网站安全正是其中重要的一环。 随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多。但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益. 案例 2010年5月6日，据国外媒体报道，由于有用户报告称Facebook的安全漏洞使得部分用户可以看到其他用户的聊天信息和好友申请，因此Facebook周三暂停了聊天服务。 　　 这一故障是由软件漏洞引起的。在此之前，Facebook刚刚因为隐私问题而遭到用户的抱怨。 　　 Facebook此前推出了一项功能，可以帮助用户了解自己的资料在其他用户主页上的显示方式，借此来维护隐私。但本次故障恰恰就来自这一功能。周三开始有用户报告，在查看其他用户资料时，还能够看到对方的实时聊天信息。 　　这并非Facebook用户隐私首次被泄露。今年早些时候，当Facebook对网站进行升级后，就意外地泄露了用户的电子邮件地址。 　　 Facebook在周三的声明中表示，这一故障持续的时间较短，该公司目前正在努力恢复聊天功能。该公司称：“由于存在这一漏洞，如果用户对‘预览我的资料’功能进行特定的修改，便可在有限的时间内看到好友的聊天信息和好友请求。” 其实， 真相不止这些……（此处省略n个字） 先看下图…… 常见Web攻击 一、利用Web服务器的漏洞进行攻击。如CGI缓冲区溢出，目录遍历漏洞利用等攻击； 二、利用网页自身的安全漏洞进行攻击。如SQL注入，跨站脚本攻击等。 常见针对Web的攻击（以下若看不懂请忽略） 1、缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。 2、Cookie假冒——精心修改cookie数据进行用户假冒。 3、认证逃避——攻击者利用不安全的证书和身份管理。 4、非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。 5、强制访问——访问未授权的网页。 6、隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序 。 7、拒绝服务攻击——构造大量的非法请求，使Web服务器不能响应正常用户的访问。 8、跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息。 9、SQL注入——构造SQL代码让服务器执行，获取敏感数据。 10、URL 访问限制失效——黑客可以访问非授权的资源连接强行访问一些登陆网页、历史网页。 11、被破坏的认证和 Session 管理——Session token 没有被很好的保护 在用户推出系统后，黑客能够盗窃 session。 12、DNS攻击——黑客利用DNS漏洞进行欺骗DNS服务器，从而达到使DNS解析不正常，IP地址被转向导致网站服务器无法正常打开。 攻击手段举例 SQL注入 对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，必威体育官网网址商业资料等。 跨站脚本攻击 由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和HTML标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改cookie到虚假广告在内的种种攻击行为。 随着攻击向应用层发展，传统网络安全设备不能有效的解决目 前的安全威胁，网络中的应用部署面临的安全问题必须通过一种全新设计的高性能防护应用层攻击的安全防火墙——应用防火墙来解决。应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意