第9章：Web攻击及防御技术.ppt

第9章：Web攻击及防御技术.ppt*网络入侵与防范讲义*。安全风险达到了前所未有的高度。Web安全可以从以下三个方面进行考虑:Web服务器的安全Web客户端的安全Web通信信道的安全*网络入侵与防范讲义*Web服务器的安全针对Web服务器的攻击可以分为两类:一是利用Web服务器的漏洞进行攻击,如IIS缓冲区溢出漏洞利用、目录遍历漏洞利用等;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。*网络入侵与防范讲义*Web服务器的安全(2)针对Web服务器具体的安全威胁主要体现在以下几个方面:服务器程序编写不当导致的缓冲区溢出(BufferOverflow)并由此导致远程代码执行。针对服务器系统的拒绝服务攻击(DenialofService)。脚本程序编写不当、过滤不严格造成的数据库查询语句注入(SQLInjection),可能引起信息泄漏、文件越权下载、验证绕过、远程代码执行等。乐观相信用户输入、过滤不严导致跨站脚本攻击(CrossSiteScript),在欺骗管理员的前提下,通过精心设计的脚本获得服务端Shell。*网络入侵与防范讲义*Web客户端的安全Web应用的普及,客户端交互能力获得了极为充分的发挥,客户端的安全也成为Web安全的焦点问题。JavaApplet、ActiveX、Cookie等技术大量被使用,当用户使用浏览器查看、编辑网络内容时,采用了这些技术的应用程序会自动下载并在客户机上运行,如果这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。*网络入侵与防范讲义*Web客户端的安全(2)浏览网页所使用的浏览器存在众多已知或者未知的漏洞,攻击者可以写一个利用某个漏洞的网页,并挂上木马,当用户访问了这个网页之后,就中了木马。这就是网页木马,简称网马。跨站脚本攻击(XSS)对于客户端的安全威胁同样无法忽视,利用XSS的Web蠕虫已经在网络中肆虐过。*网络入侵与防范讲义*应用一样,Web信道同样面临着网络嗅探和以拥塞信道、耗费资源为目的的拒绝服务攻击的威胁。*网络入侵与防范讲义*,对Web应用危害较大的安全问题分别是:未验证参数访问控制缺陷账户及会话管理缺陷跨站脚本攻击缓冲区溢出命令注入错误处理远程管理Web服务器及应用服务器配置不当*网络入侵与防范讲义**网络入侵与防范讲义*