CISP-常见应用安全web和email.pptVIP

* * CGI – Cookie的使用 很多人喜欢使用Cookie在客户端存储信息。 Cookie的特点 明文保存 用户可控制 原则 尽量不要使用Cookie保存敏感信息 设置Cookie的有效时间 CGI – 拒绝服务攻击 对于CGI程序的拒绝服务来说，通常是指利用CGI程序实现上的弱点来大量占用系统资源(CPU或内存) 例如，在数据库有哪些信誉好的足球投注网站时，使用简单的select语句对整个数据库进行有哪些信誉好的足球投注网站。当数据库比较庞大时，会占用较多的系统资源。攻击者如果发送大量有哪些信誉好的足球投注网站查询请求，系统可能瘫痪 防范原则：处理请求时，使响应时间和占用资源尽可能少。 CGI – 错误处理机制 如果没有好的错误处理机制，你的CGI程序会在出错时泄露一些有用的信息。 泄漏CGI程序所在物理路径 泄漏数据库结构信息 泄漏一些其他的有用信息，例如用户有效性 当输入错误用户名时，返回”该用户不存在”信息 原则：尽量不要泄漏任何不必要的信息 只要用户名和口令有一样不正确，都显示同样的错误信息。攻击者无法识别有效用户名。 （4）SQL注入攻击 什么叫SQL注入？ 用户构造特殊代码提交给Web服务器（带数据库应用），根据程序返回的结果，获得某些他想得知的数据，这就是SQL Injection，即SQL注入。 问题来源 许多程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。如一个正常网址http://localhost/lawjia/show.asp?ID=444，将这个网址提交到服务器后，服务器将进行类似Select * from 表名 where 字段=“ID的查询(ID即客户端提交的参数，本例是即444)，再将查询结果返回给客户端 * JSP – SQL注入攻击(1) 一段问题代码 String user = request.getAttribute(“username”); 　String pass = request.getAttribute(“password”); String query = “SELECT id FROM users WHERE 　 username=‘user’ AND password=‘pass’; 　Statement stmt = con.createStatement(query); 　ResultSet rs = con.executeQuery(query);　　if (rs.next())　　{　// 登录成功 　... }　else{ // 登录失败 ...　　} JSP – SQL注入攻击(2) 正常情况：如果用户输入的查询条件中，用户名字等于“test”，密码等于“123”，则系统执行的查询实际上是： 　　SELECT id FROM users WHERE 　　username=test AND password=123 　这个查询能够正确地对用户名字和密码进行检查。 特殊情况：但是，如果用户输入的查询条件中，名字等于“test”，密码等于“xyz) OR ‘1=1”，此时系统执行的查询变成了： 　SELECT id FROM users WHERE username=test‘ AND password=‘xyz’ OR ‘1=1 SQL注入的危害 危害大 通过SQL注入，可以获取数据库信息，甚至可以添加管理员权限的账户并进入系统 变种多 有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范 难检测 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以防火墙通常都不会对SQL注入发出警报。如果管理员没查看web日志的习惯，可能被入侵很长时间都不会发觉 * SQL注入的防范措施 减少软件漏洞 加强对用户输入的检查，包括输入长度、输入格式等 去掉特殊字符 尽量使用存储过程 部署专用检查工具 * 篡改主页 恶意用户进入Web服务器，更改主页内容或其它网页内容 危害： 对网站声誉造成极坏影响 在网页中嵌入木马，引诱用户下载木马 * （2）对Web浏览器到安全威胁 Web初期，页面采用静态方式（HTML），浏览器只是显示页面内容 活动内容影响客户端安全 活动内容指在静态页面中嵌入的对用户透明的程序 它可以完成一些动作：显示动态图像、下载和播放音乐、实现基于Web对电子表格程序 用户使用浏览器查看带有活动内容的页面时，这些程序会自动下载并在客户端运行 恶意用户可以在页面中嵌入恶意活动内容 * 两种主要的活动内容 Java Applet Java语言编写的小应用程序，由浏览器执行 Active