1、WEB安全培訓 更多軟件測試資料盡在road軟件測試論壇/bbs/第1頁，共31頁。知己知彼，百戰(zhàn)不殆第2頁，共31頁。Contents用戶輸入1WEB程序安全問題2WEB服務器端安全問題3WEB應用掃描器4第3頁，共31頁。用戶的輸入所有用戶輸入都是非法的，除非被證明不是一半以上的程序安全問題源于缺乏對用戶可控數(shù)據(jù)的處理程序員如果本著人之初性本善的想法，那么寫的程序難免出問題第4頁，共31頁。用戶輸入直接輸入 GETPOSTCookieHTTP頭環(huán)境變量間接輸入 數(shù)據(jù)庫取出的數(shù)據(jù)編碼的用戶數(shù)據(jù)第5頁，共31頁。WEB程序安全問題SQL注入跨站腳本Url Redirect跳轉Access Co

2、ntrol 越權訪問第6頁，共31頁。SQL注入SQL注入簡介 拼接的SQL字符串改變了設計者原來的意圖，執(zhí)行了如泄露、改變數(shù)據(jù)等操作，甚至控制數(shù)據(jù)庫服務器拼接SQL字符串靈活方便，但是容易導致安全問題第7頁，共31頁。SQL注入SQL注入原理http:/victim/news.php?id=3721select * from news where id=$idselect * from news where id=3721第8頁，共31頁。SQL注入利用利用示例 http:/victim/news.php?id=0 union select name,pw from usersselect

3、* from news where id=$idselect * from news where id=0 union select name,pw from users第9頁，共31頁。SQL注入的危害泄露敏感信息 攻擊者可以獲取后臺數(shù)據(jù)庫的種類、版本，操作系統(tǒng)信息，數(shù)據(jù)庫名、表名、字段名以及數(shù)據(jù)庫中的數(shù)據(jù)信息泄露敏感信息 無需知道口令就能以用戶身份登陸應用系統(tǒng)篡改敏感數(shù)據(jù) 對數(shù)據(jù)庫進行增加、刪除、篡改的操作執(zhí)行任意系統(tǒng)命令 利用數(shù)據(jù)庫支持的特定功能，執(zhí)行任意命令第10頁，共31頁。SQL注入的危害不同的數(shù)據(jù)庫，不同的數(shù)據(jù)庫配置，危害程度不一樣 SQL Server默認配置并且使用sa帳號M

4、ySQL版本、數(shù)據(jù)庫root帳號、系統(tǒng)root用戶啟動服務第11頁，共31頁。SQL注入避免SQL注入過濾拼接字符串中的用戶數(shù)據(jù)，尤其不能忽視間接輸入數(shù)據(jù)的SQL語句拼接如果可能，使用其他方法代替SQL語句拼接使用WEB應用掃描器檢測程序相對比較明顯的SQL注入問題第12頁，共31頁?？缯灸_本跨站腳本簡介跨站腳本(Cross-Site Scripting)是指遠程WEB頁面的html代碼可以插入具有惡意目的的數(shù)據(jù)，當瀏覽器下載該頁面，嵌入其中的惡意腳本將被解釋執(zhí)行，從而對客戶端用戶造成傷害。簡稱CSS或XSS不影響服務端程序，但影響客戶端第13頁，共31頁?？缯灸_本請求：/?name=aler

5、t(/XSS/)展現(xiàn)：Hello alert(/XSS/)第14頁，共31頁?？缯灸_本危害竊取Cookiedocument.cookie頁面內容被篡改Js代碼改寫/跳轉頁面蠕蟲Myspace新浪微博惡意代碼第15頁，共31頁。跨站腳本防御顯示用戶數(shù)據(jù)時對 “&”等HTML符號進行編碼轉換htmlspecialchars過濾必要的XHTML屬性及各種編碼，尤其在WEB提供樣式功能的時候設計時要考慮到關鍵內容不能由用戶的直接數(shù)據(jù)顯示，要有轉換或后臺間接審核的過程用WEB應用掃描器對程序進行檢測第16頁，共31頁。Url Redirect跳轉Url Redirect釣魚攻擊原理redirect.ht

6、m?target=第17頁，共31頁。URL跳轉攻擊QQQQ用戶第18頁，共31頁。URL跳轉攻擊Url Redirect策略目標地址應限制跳轉到當前域內如果需要跳轉到外部鏈接需要有url的白名單第19頁，共31頁。Access ControlAccess Control攻擊例子(前臺代碼) 第20頁，共31頁。Access ControlAccess Control攻擊例子(后臺代碼)public boolean canManageMssage() if (isAdmin() return true; 檢查了角色但是短消息屬于用戶，不屬于角色第21頁，共31頁。Access ControlA

7、ccess Control安全策略權限框架SQL語句條件第22頁，共31頁。Cookie的安全簡介Cookie是Netscape的一個重大發(fā)明，當用戶訪問網站時，它能夠在訪問者的機器保存一段信息，可以用來標識各種屬性。當用戶再次訪問這個網站的時候，它又能夠讀出這些信息，這樣WEB程序就能知道該用戶上次的操作Cookie大大提高了用戶體驗，被廣泛使用第23頁，共31頁。Cookie的安全Cookie的欺騙Cookie是純客戶端數(shù)據(jù)，非常容易偽造文件型的Cookie可以直接改瀏覽器的Cookie文件通過curl或firefox的LiveHTTPHeaders插件可以輕松偽造各種類型的Cookie數(shù)

8、據(jù)第24頁，共31頁。Cookie的安全使用Cookie時應注意的問題盡量不要用Cookie明文存儲敏感信息數(shù)據(jù)加密后保存到客戶端的Cookie為Cookie設置適當?shù)挠行r間第25頁，共31頁。WEB服務器端安全問題合理的文件權限設置取消WEB用戶對apache日志的讀權限nobody有寫權限的WEB目錄取消解析權限第26頁，共31頁。WEB服務器端安全問題信息泄露服務器版本信息泄露運行環(huán)境遺留測試文件phpinfo.phpconn.asp.bak程序出錯泄露物理路徑程序查詢出錯返回SQL語句過于詳細的用戶驗證返回信息第27頁，共31頁。WEB應用掃描器AppScan非常專業(yè)的商業(yè)WEB應用掃描器功能強大，準確率高，尤其是跨站腳本和SQL注入的檢測掃描速度較慢第28頁，共31頁。WEB應用掃描器WebInspect相比AppSc