BIT7信息系统安全机制-WEB应用安全.pptVIP

悟道 系统功能与结构的关系 同样的功能需求，包括安全功能需求，可以选择不同的技术路线，采用不同的结构，使用不同的部署模式 复杂的安全功能必然需要一种组合的结构 Web应用安全防护体系 传统网络安全设备 防火墙 限制地址和端口访问 验证和加固网络协议 入侵检测 基于网络层的数据包检查 问题 Web/80端口谁来保护？ 应用数据谁来保护？ 如何保证公众浏览到的信息是原始的？ Web漏洞 SQL数据库注入漏洞 脚本源代码泄露漏洞 非法执行命令/脚本 缓冲区溢出 恶意编码 跨站脚本漏洞 不安全的本地存储 网站资源盗链 Web安全全貌 防火墙 数据库服务器 Web服务器 应用服务器 IPS/IDS Web应用脚本安全 DoS攻击 端口扫描 网络层 模式攻击 已知Web 服务器漏洞 跨站脚本 注入式攻击 非法执行 网页篡改 Web应用安全防护体系 多层次立体化的架构 防火墙：支持隔离、包过滤，DDOS攻击防护 入侵检测：从网络数据流分析攻击行为 Web脚本软件的输入验证：过滤跨站攻击脚本、SQL注入攻击等恶意访问 网站备份恢复：从安全架构上改造网站，防范网站文件被篡改 * 中美黑客大战的时候，石家庄政府网站的首页被黑客篡改 * 贵州党校网站-使用了山东中创的网页防篡改系统，黑客并没有去篡改用户的脚本文件而篡改了数据库内容。 名词解释： Sql注入攻击：攻击者在表单输入或URL参数中提交SQL语句的片断，如果应用程序未对输入经适当验证、正常化或转义，则这些片断会与程序脚本一起构成一个程序设计者预料之外的SQL语句，这条语句被数据库系统执行后将达到攻击者期望的各种目的，包括：绕过身份鉴别、偷取用户资料、查看和修改数据库、生成非法文件等 * 06年底中国工商银行网站被黑。典型的跨站漏洞攻击。/news/news_detail.php?mID=8063 名词解释： 跨站漏洞：跨站脚本漏洞常常被称为XSS漏洞，它是指Web站点和应用未经适当过滤便将用户提交的信息原样显示在页面上，它允许攻击者指定的任意文字内容显示在被害者的浏览器中，甚至可以在用户浏览器上执行一个JavaScript语句，而这个JavaScript语句可以弹出窗口、获得用户信息等。通过社会工程，这种攻击还可以对网站所有者造成大规模形象破坏 * 善意的黑客，发现了网站存在sql注入漏洞，并利用此漏洞上传了一个警告页面。并指出了网站存在漏洞。 那么如果这个黑客不那么友善，直接攻击数据库呢？后果参照第三页，贵州省党校案例 * 善意的黑客，发现了网站存在sql注入漏洞，并利用此漏洞上传了一个警告页面。并指出了网站存在漏洞。 那么如果这个黑客不那么友善，直接攻击数据库呢？后果参照第三页，贵州省党校案例 * 说了那么多被黑的案例，那么到底有多少种攻击类型呢？其实针对Web的攻击方法有上百种，我们总结了最为常见的一部分 * 1.正常访问：应用系统将业务的结果以URL参数的形式返回给用户浏览器，没有作任何检查 2.跨站攻击：黑客利用这个漏洞，构造出一个URL，吸引用户点击。注意：这不是钓鱼攻击，而是真实的官方网站。事实上，除了恶作剧之外，跨站攻击还可以写上javascript脚本，并在用户端运行，造成更大危害。 3.应用防护：在应用系统的关键脚本执行前，iWall会检查这个页面的访问来源，即之前的访问页面是谁（谁链接过来的），凡是不是本机（本例中的）过来的，均视为攻击。 * 1.正常访问：应用系统将业务的结果以URL参数的形式返回给用户浏览器，没有作任何检查 2.跨站攻击：黑客利用这个漏洞，构造出一个URL，吸引用户点击。注意：这不是钓鱼攻击，而是真实的官方网站。事实上，除了恶作剧之外，跨站攻击还可以写上javascript脚本，并在用户端运行，造成更大危害。 3.应用防护：在应用系统的关键脚本执行前，iWall会检查这个页面的访问来源，即之前的访问页面是谁（谁链接过来的），凡是不是本机（本例中的）过来的，均视为攻击。 * 此页面讲解的时候，着重需要引出三个问题 1、Web端口谁来保护（防火墙并不能保护80、443端口） 2、应用数据谁来保护 3、如何保证公众浏览到的信息数原始的！！！这条最重要，网页防篡改产品都是基于文件的保护。而信息包含了文件和内容。即便文件未被篡改成功，只要内容被篡改了，老百姓依然看到了不该看的东西。说道此时可以再次将工商银行和贵州党校案例来佐证 SQL注入机理分析（续） //构建SQL 查询语句 = “SELECT name FROM tbUserInfo WHERE id=(用户输入的数据)” 用户名：wc’ or 1=1 -- 密码：xxxx SELECT name FROM tbUserInfo WHERE id= ’wc