6.Web应用的攻击及防御技术(上).pptx
《6.Web应用的攻击及防御技术(上).pptx》由会员分享,可在线阅读,更多相关《6.Web应用的攻击及防御技术(上).pptx(38页珍藏版)》请在三一文库上搜索。
1、2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 1 Web应用安全攻防技术(上) 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 2 内容 1. Web应用程序体系结构及其安全威 胁 2. Web应用安全攻防技术概述 3. SQL注入 4. XSS跨站脚本攻击 5. 课外实践作业:SEED SQL注入攻击 实验 SEED XSS攻击实验 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 3 Web应用体系结构 o 传统C/S架构的计算B/S架
2、构 n“痩”客户端: Browser (Web客户端) n“厚”服务器: Web服务器、Web应用程序、数据库 n通讯机制: HTTP/HTTPS 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 4 HTML静态页面和动态页面 oHTML (HyperText Markup Language)历史 n起源: 1980s, Tim Berners-Lee, ENQUIRE n1991: HTML发布,互联网进入WWW时代 n1995: HTML v2.0正式称为IETF RFC 1866标准 oHTML: 静态标记语言 nTag标签: 表格等结
3、构标签, 超链接, 内嵌链接, 图片, n交互能力: 表单, 脚本支持动态生成页面 o动态页面 nCGI n脚本语言: ASP, JavaScript, PHP, o交互能力进一步扩展 nActiveX控件、Java Applet 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 5 Web客户端 浏览器 o 浏览器产品的商业竞争 n“第一次浏览器大战”: Netscape Loses to IE n“第二次浏览器大战”: IE VS. Firefox, Chrome, Safari, etc n“第二次浏览器大战”: 移动终端浏览器之争,Op
4、era, Safari, o 浏览器技术的发展 n早期:简单的静态HTML页面解析与渲染 n1995 Netscape引入Javascript,客户端脚本语言 n1996 Adobe(Macromedia)引入Flash n1999 Sun:Servlet,J2ME n2005 Ajax 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 6 Web服务器与动态编程技术 o Web服务器软件 n HTTP守护进程 n 各种Web动态编程语言支持 n 主流:MSLAMP 2014年8月31日网络攻防技术与实践课程 Copyright (c) 200
5、82009 诸葛建伟 7 Web应用程序 o Web应用程序Web Application n Web服务器端的业务逻辑 n 现代Web应用的核心 o Web应用程序的分层模型 n 最普遍应用:3层模型(3-tiers) n 表示层:接受Web客户端输入并显示结果 n 业务逻辑层:完成Web应用业务处理,核心, 实现技术CGI、ASP、PHP等动态脚本 n 数据层:数据库本地文件;数据库连接: ODBCOLEDBJDBC 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 8 传输协议: HTTP/HTTPS o HTTP nHTTP 1.0 (
6、IETF RFC 1945), HTTP 1.1 (RFC 2616), 缺省TCP 80端口 n无状态、基于ASCII码明文传递的简单协议 n请求/响应模式: 请求资源标识符(URI) n无状态性、明文性、简单性、流行性易受攻击 o 状态管理Cookies 保持连接状态 o 身份认证基础认证等多种认证协议 o HTTPS n基于SSL/TLS: 提供对传输层认证(AH)和加密(ESP) nHTTPS: HTTP over TLS, 缺省TCP 443端口 2014年8月31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 9 Web应用安全威胁 2014年8月
7、31日网络攻防技术与实践课程 Copyright (c) 20082009 诸葛建伟 10 内容 1. Web应用程序体系结构及其安全威 胁 2. Web应用安全攻防技术概述 3. SQL注入 4. XSS跨站脚本攻击 5. 课外实践作业:SEED SQL注入攻击 实验 SEED XSS攻击实验 Web应用攻击路线图 o Web应用信息收集 o 攻击Web服务器软件 o 攻击Web应用程序 o 攻击Web数据内容 o 本地攻击 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 11 2014年8月31日网络攻防技术与实践课程 Copyr
8、ight (c) 20082009 诸葛建伟 12 Web应用的信息收集 o 针对目标Web应用服务的信息收集 n服务器域名、IP地址、内网虚拟IP地址 nWeb服务器端口、其他开放服务 nWeb站点类型与版本 nWeb应用程序类型与版本 nWeb服务器Web应用程序中存在的安全漏洞 o 课程3回顾:网络信息收集技术 nWhoisDNS查询、Web搜索、端口扫描:发现目标Web 站点 n类型探查技术:识别Web站点OS、服务器类型版本 n漏洞扫描技术:Web站点与服务器软件已知漏洞 n服务查点技术:Web服务器软件的“旗标” Web应用程序的探测和漏洞发现 o 手工审查Web应用程序结构与源代
9、码 o 自动下载与镜像Web站点页面 o 使用Google Hacking技术审查与探测 Web应用程序 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 13 手工审查Web应用程序结构与源 代码 o 静态和动态生成的页面 n查看源代码 n隐藏信息:表单隐藏字段、注释隐藏信息 n动态页面:脚本编程语言,页面命名规则,以及参数名称、类 型与含义 o 目录结构 n页面存储结构 n目录文件枚举不安全配置 o 辅助性文件 nCSS级联样式表、XML样式表、Javascript文件、 include文件 n数据库字段结构、目录路径、输入参数以及
10、数据库连接字符串 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 14 手工审查Web应用程序结构与源 代码(2) o 输入表单 n提交数据方法:GET还是POST n表单处理行为:哪个脚本? n输入字段名称、最大长度限制、隐藏字段、自动完成标记、口 令字段 o 查询参数字符串 n复用以假冒其他用户、获取受限的数据、运行任意的系统命令 ,或者执行其他应用程序开发者所不希望看到的动作 n提供了Web应用程序内部工作的信息: 数据表字段名称,会 话标识符、用户名或口令字段 2014年8月31 日 网络攻防技术与实践课 程 Copyrigh
11、t (c) 2008 2009 诸葛建伟 15 通过黑客游戏提升手工分析能力 o 网页解密类黑客游戏 o NotPron解密游戏: http:/ m,共132关。 o 路路解密破解游戏(中文)- 综合类。 o 中安网培黑客游戏 (中文)- 网页过关类: http:/ o Monyer系列(黑客游戏), http:/ o sqybi 的解谜游戏 (中文)- 网页过关类: http:/ 2014年8月31 日 网络攻防技术与实践课 程 Copyright (c) 2008 2009 诸葛建伟 16 自动下载与镜像Web站点页面 o 在线手工审查 - 自动下载镜像,离线审 查 o Linux系统自动
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Web 应用 攻击 防御 技术
链接地址:https://www.31doc.com/p-3588033.html