ASP程序设计及应用(第二版)课件第11章Web安全.ppt

上传人:m****u 文档编号:14506628 上传时间:2024-08-01 格式:PPT 页数:23 大小:182.50KB
下载 相关 举报
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第1页
第1页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第2页
第2页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第3页
第3页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第4页
第4页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第5页
第5页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第6页
第6页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第7页
第7页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第8页
第8页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第9页
第9页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第10页
第10页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第11页
第11页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第12页
第12页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第13页
第13页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第14页
第14页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第15页
第15页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第16页
第16页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第17页
第17页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第18页
第18页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第19页
第19页 / 共23页
ASP程序设计及应用(第二版)课件第11章Web安全.ppt_第20页
第20页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、第11章 Web安全n11.1 Web服务器安全 n11.2 网页木马 n11.3 SQL注入攻击与防范 n11.4 跨站脚本攻击11.1 Web服务器安全n在Web服务器安全漏洞可以从两个方面考虑,首先,Web服务器是一个通用的服务器,无论是Windows,还是Linux/Unix,都不能避免自身的漏洞,通过这些漏洞入侵,可以获得服务器的高级权限,这样对服务器上运行的Web服务就可以随意控制。n其次,除了操作系统的漏洞外,还有Web服务软件的漏洞,如:IIS等。11.1 Web服务器安全需要从以下方面做好安全防范措施:n1及时更新操作系统补丁程序。及时安装系统最新的一些安全补丁程序,特别是要

2、安装一些高危漏洞的补丁程序,很多网页就是利用这些漏洞来执行木马程序。n2安装并及时更新服务软件,并且进行合理的配置和关掉暂时不用的服务。n3安装杀毒软件,并及时更新病毒库。及时更新杀毒软件的病毒库可以有效的查杀病毒和木马程序。n4设置端口保护和防火墙。服务器的端口屏蔽可以通过防火墙来设置,把服务器上要用到的服务器端口选中,例如:对于Web服务器来说,需要提供Web服务(80端口)、FTP服务(21)端口等,则只需开放对应端口即可。n5对不必要的服务和不安全的组件同样也需要禁止或删除。11.1 Web服务器安全11.1.2 操作系统的安全配置1文件系统的选择文件系统的选择n应该选择NTFS(Ne

3、w Technology File System)文件系统2关闭默认共享n在安装windows操作系统的时候,会把系统安装分区进行共享,虽然只有具有超级用户权限才能访问,但这是一个潜在的安全隐患。11.1 Web服务器安全11.1.2 Web服务器软件IIS的安全配置1IIS安装问题安装问题n可以通过将IIS安装到其他分区的方式,避免入侵者访问系统分区。2删除危险的IIS组件nIIS的有些组件可能会造成安全威胁。如Internet服务管理器、SMTP Service和NNTP Service、样本页面和脚本,Wscript.Shell和shell.application组件 11.1 Web服

4、务器安全3IIS文件分类设置权限n一般情况下,不能同时对文件夹设置写和执行权限,这样会给入侵者留有向站点上传并执行恶意代码的机会。n对于IIS中的文件按照类型进行分类,分别建立目录:n(1)将所有静态文件(HTML)放到一个文件夹,给予允许读取,拒绝写的权限。n(2)将所有的脚本文件,如:ASP、CGI等,给予允许执行,拒绝写和读取的权限。n(3)将所有的可执行文件给予允许执行,拒绝读取和写的权限。11.1 Web服务器安全4删除不必要的应用程序映射n默认情况下,IIS中存在很多应用程序映射,如.asp、.aspx、.ascx、.cs、.cer等,IIS通过这些映射来调用不同的动态链接库解析相

5、应的文件。5保护日志安全n日志记录对于服务器至关重要,日志可以记录所有用户的请求。11.2 网页木马n木马又称特洛伊木马,它是具有隐藏性、自发性和可被用来进行恶意攻击行为的程序,是一种通过各种方法直接或间接与远程计算机之间建立链接,从而能够通过网络控制远程计算机的程序。n木马的传播途径有很多种,比如:通过电子邮件传播、通过MSN、QQ等即时通信软件传播、利用网页木马嵌入恶意代码来传播等等。在ASP程序设计开发过程中,主要关心的安全问题就是网页木马的植入。11.2 网页木马n网页木马实质上是一个Web页,利用漏洞获得权限自动下载程序和运行程序。以下是几种常用的挂马方法:1框架挂马n在网页中插入一

6、个隐藏的框架:n 2JS文件挂马n将嵌入网页木马的代码写成一个JS文件,然后用引入 11.2 网页木马3URL伪装挂马n在网页中加入一个链接的代码为:n欢迎访问百度 4body挂马n挂马者可以利用body的onload事件进行加载网页木马,如:n 5CSS中挂马中挂马攻击者可以将网页木马嵌入到CSS中,来达到隐藏的目的。11.3 SQL注入攻击与防范注入攻击与防范11.3.1 SQL注入攻击简介nSQL注入攻击(SQL Injection,简称注入攻击)是目前网络攻击的主要手段之一,它是从正常的Web端口访问,对数据库进行攻击的一种攻击方式。nSQL注入攻击就其本质而言利用的就是SQL的语法,

7、这就使得攻击具有广泛性。11.3 SQL注入攻击与防范注入攻击与防范11.3.2 SQL注入攻击特点注入攻击特点1广泛性广泛性 2技术难度不高技术难度不高3危害性大危害性大11.3 SQL注入攻击与防范注入攻击与防范11.3.3 SQL注入攻击实现过程注入攻击实现过程1寻找寻找SQL注入点注入点 2获取和验证获取和验证SQL注入点注入点 3获取信息获取信息 4实施控制实施控制 11.3 SQL注入攻击与防范注入攻击与防范11.3.4 寻找寻找SQL注入点注入点n用以下步骤就可测试出页面是否存在SQL注入漏洞:1附加一个单引号附加一个单引号2附加附加and 1=13附加附加and 1=2 11.

8、3 SQL注入攻击与防范注入攻击与防范11.3.5 获取信息和实施攻击获取信息和实施攻击n在找到SQL注入攻击点之后,便可以进行各种有意图的试验,获取相应信息或进行破坏攻击等操作。q1判断数据库类型判断数据库类型q2猜解表名和字段猜解表名和字段q3删除数据库信息删除数据库信息 11.3 SQL注入攻击与防范注入攻击与防范11.3.6 SQL注入攻击检测注入攻击检测n用以下方法检测Web站点是否遭受过SQL注入攻击。q1数据库检查数据库检查q2IIS日志检查日志检查q3其它相关信息判断其它相关信息判断 11.3 SQL注入攻击与防范注入攻击与防范11.3.7 SQL注入攻击的防范注入攻击的防范

9、n防范SQL注入攻击的方法主要有:q1对提交数据的合法性进行检查对提交数据的合法性进行检查q2屏蔽出错信息屏蔽出错信息q3.使用使用SQL变量变量 q4.权限设置权限设置 11.4 跨站脚本攻击跨站脚本攻击n跨站脚本攻击(Cross-Site Scripting,简称XSS)指的是恶意攻击者向Web页面里插入恶意html代码,当用户浏览该页面时,嵌入其中Web页面的html代码会被执行,从而达到恶意用户的特殊目的。nXSS攻击的核心思想就是在html页面中注入恶意代码。在XSS攻击中,分为攻击者、目标服务器和受害者。11.4 跨站脚本攻击跨站脚本攻击11.4.2 XSS攻击的危害攻击的危害n1

10、盗取各类用户帐户,如机器登录帐户、用户网银帐户、各类管理员帐户。n2控制服务器数据,包括读取、篡改、添加、删除服务器上的数据。n3引导钓鱼,利用XSS的注入脚本,可以很方便地注入钓鱼页面的代码,从而引导钓鱼攻击。n4注入恶意软件,攻击者可以很方便地在脚本中引入一些恶意软件,比如病毒、木马、蠕虫等等。n5控制受害者机器向其它网站发起攻击。11.4 跨站脚本攻击跨站脚本攻击11.4.3 XSS攻击分类n根据XSS脚本注入方式的不同,将XSS攻击分为如下三类。1基于基于DOM的跨站脚本攻击的跨站脚本攻击2反射型跨站脚本攻击反射型跨站脚本攻击3持久型跨站脚本攻击持久型跨站脚本攻击 11.4 跨站脚本攻

11、击跨站脚本攻击11.4.4 XSS攻击的防范nXSS攻击是一种隐蔽性很高,危害性很大的网络应用安全漏洞。下面介绍几种常用的XSS预防措施。1持有一切输入都是有害的,不要信任任何输入的态度,进行严格的输入检测。对用户所有输入数据进行检查,过滤或替换其中的危险字符,比如:&,,,/,?,;,:,%等,另外也要考虑到用户可能绕开ASCII码,使用十六进行编码如“%3c”(“”)等来输入脚本。11.4 跨站脚本攻击跨站脚本攻击2替换输出编码。由于XSS攻击是因为Web应用程序将用户的输入直接嵌入到某个页面中,作为此页面的一部分进行执行。因此,可以在Web应用程序输出用户数据时,用htmlEncoder等工具先对数据进行编码,然后再输出到目标页面。这样,Web应用程序就会把用户输入的危险字符当成普通字符进行数据,而不会作为html代码的一部分去执行。11.4 跨站脚本攻击跨站脚本攻击3在一些必须使用html标签的地方,比如论坛,可以使用其他格式的标识代替,比如BBCode。4对于一些确实需要用户输入特定html的地方,可以使用正则表达式进行匹配。5严格限制URL访问。在页面的脚本代码执行过程中,严格限制其访问的URL,比如只允许脚本代码访问本网站的URL等方式,可以避免脚本的执行链接到其它可能是攻击者指定的页面上。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 教育教学/培训 > 电大函授

copyright@ 2008-2021 八斗文库网站版权所有

经营许可证编号:湘ICP备2022012878号