web应用安全的研究
目录
第一章绪论 (3)
1.1研究背景 (3)
1.1.1 HTTP协议模型 (3)
1.1.2 Web安全问题 (5)
1.2研究现状 (5)
1.3本论文的研究工作 (5)
第二章 Web应用安全问题 (6)
2.1 Web应用常见的几个安全问题 (6)
2.2 Web应用安全的现状及其重要性 (7)
2.3 Web应用安全攻击方式 (9)
第三章 Web应用安全漏洞研究 (11)
3.1 漏洞级别 (12)
3.2 Web应用程序漏洞分类 (12)
3.3 Web应用安全测试技术 (13)
3.3.1 基于主机的漏洞扫描器 (13)
3.3.2 Web应用安全测试 (14)
第四章网络防火墙 (15)
4.1 防火墙的功能和策略 (15)
4.2 防火墙的分类 (15)
4.2.1. 包过滤防火墙 (15)
4.2.2 代理防火墙 (16)
4.3 防火墙的体系结构 (16)
4.4 WEB应用防火墙技术 (18)
第五章安全对策 (18)
5.1配置及各种对策 (18)
5.2攻击及对策 (19)
结束语 (19)
致谢 (19)
参考文献 (20)
Web应用安全的研究
电子信息工程专业
120352009024 张丽萍指导老师:陈冠楠
【摘要】web应用的安全日益突出的问题,主要由Web的易用性、开放性和Web的开发性引起。因此Web应用成为了攻击者攻击的主要对象,命令的插入、缓冲区溢出、表单篡改、跨站点脚本等各种Web 安全的漏洞不断出现,使Web应用成为当今网络最大的安全盲点之一。传统的网络防火墙无法保护基于web的应用程序,对Web应用的保护还不够充分。因此,对Web应用的安全性进行科学、准确、高效地测试评估是十分必要的。在应用过程中加强web应用安全性的防范和设计主要是针对攻击者可能采取的系统漏洞和攻击方法。本论文对Web应用安全扫描技术和Web应用程序漏洞进行了较为全面的研究,在此基础上提出了一系列Web应用所需的安全对策。
【关键字】Web应用安全,漏洞,网络防火墙,网络攻击,安全对策
【Abstract】The openness of the Web usability and Web applications easier to development ,to make Web application security problem increasingly prominent .Web sites become the main objects of network attacks, form to tamper with the cross-site scripting ,commands the insert ,buffer overflow and other ,Web security vulnerabilities appear constantly. Web applications are becoming the biggest security blind spot .Of traditional network firewall to protect the Web application is insufficient,can't protect web-based applications.Therefore, scientific ,efficient and accurate testing Web applications for security assessment is necessary ,From the perspective of the attacker, understand an attacker might take system vulnerabilities and attack methods, in the process of application design and enhance the safety of prevention in this paper .In this paper, the Web application characteristics and Web application security vulnerability scanning technology has carried on more comprehensive research, puts forward a model of Web application security scanning system based on host.
【Key words】Web application security vulnerabilities, network firewall, network attack and security countermeasures.
第一章绪论
1.1研究背景
随着Internet的普及,网络对人类起着越来越重要的作用,因为Internet的开放性、以及对系统的安全性和信息的保密考虑的不够周到,造成网络的攻击与破坏事件层出不穷,对人们日常生活和经济社会造成了很大的麻烦。自2000年以来,网络攻击事件也越来越多地出现在网络应用上。Web应用已经成为网络上最常使用的服务,因此Web应用的安全问题也成为人们关注的重大问题。电子商务、银行、政务等在线服务在我国使用的频率不断增加。如今每年Web站点应用于各个领域的数量急速增多。
表1-1 1997—2007年Web站点数量指标
图1-1 2009年网络安全工作报告
根据网络安全工作报告,可知Web应用正成为最大的安全盲点。因此Web应用安全问题也成为人们关注的网络安全核心问题之一。
1.1.1 HTTP协议模型
Web服务是基于客户机,服务器模式的。主要用来存放Web的文档,用户通过客户机进
行浏览所需要的站点,服务器通过其端口与客户机进行连接。建立连接后,客户机与服务器通过HTTP协议进行请求与应答。
如图1-1 Web应用工作模型:
图1-2web应用工作模型
HTTP(Hypertext Transfer Protoco1)是一个通用的、无状态的、基于对象的超文本传输协议,通过HTTP客户程序和HTTP服务程序之间建立端对端的连接,实现互联网上超文本文件的传输。
HTTP是应用级协议,其主要特点有
1.HTTP工作在应用层:基于TCP/IP的连接方式,但是不提供可靠性或重传机制。
2.请求/响应消息:一旦建立了传输会话,一端必须向响应的另一端发送HTTP(超文本传输协议)请求,响应的一端则返回HTTP消息作为应答内容。
3.无状态性:服务器不保留以前的请求或会话的历史记录,因为每个HTTP请求都是自包含的,这样大大减轻了服务器记忆负担,从而保持较快的响应速度。
4.双向传输:浏览器请求Web网页时,服务器把网页地址传输给浏览器,而且HTTP也允许浏览器向服务器传输数据。
5.面向对象:HTTP通过长度来标识和数据类型所传送的数据内容和大小,允许传送任意类型的数据对象,并且对数据进行压缩传送。
6.协商能力:HTTP允许浏览器和服务器协商一些细节,如在传输中使用字符集;发送方和接受方的传输能力;HTTP消息首部所使用的文档表示和编码等。
7.支持代理:HTTP允许在浏览器到服务器之间路径上作为代理服务器,将web页面放入高速缓存并从中响应浏览器的请求。
8.支持高速缓存:HTTP允许服务器控制是否能高速缓存页面、如何高速缓存页面以及页面的生命期,也允许浏览器页面强制请求绕过高速缓存,从拥有该页面的服务器上得到新的副本。
图1-3HTTP消息的传输模型
在HTML文档中用户定义了一个超文本链接后,浏览器通过TCP/IP(即传输控制协议/互联网络协议)协议与指定的服务器建立连接。若客户在TCP端口(HTTP端口默认80)上打开一个套接字,一旦服务器在这个端口上监听连接,该连接就会建立起来。其次客户通过该连接发送一个包含请求方法的请求块。根据客户请求服务器将完成相应的操作,并返回给客户,最后关闭连接。
1.1.2 Web安全问题
Web安全主要包括Web应用服务器安全、Web应用程序安全、应用客户端安全和数据传输安全。然而,通常意义上的Internet的安全问题更为复杂。Web安全主要分为以下三个方面:
1.保护Web服务器及其数据的安全
必须保证服务器能够持续运行;保证只有经过授权才能修改服务器上的信息;保证能够把数据发送给指定的接收者。
2.保护Web服务器和用户之间传递的信息的安全
必须确保用户提供给Web服务器的信息不被第三方阅读、修改和破坏。同时必须保护由Web服务器端发送给用户的信息。用户与服务器之间的链路也要进行保护,使攻击者不能轻易地破坏该链路。
3.保护Web应用客户端及其环境安全
用户使用Web浏览器时,必须保证不会被被恶意程序破坏或病毒感染。用户无论是在自己的计算机上,或是使用在线服务时都应该保护好自己的个人隐私及私人信息,确保还是在使用中不会遭到破坏
1.2研究现状
Web应用安全研究主要有以下两类:
(1)对Web应用进行运行监控,记录并分析运行的状态和结果;
(2)通过在各种情况下web所出现的高危漏洞中研究并开发出Web应用的安全对策。
1.3本论文的研究工作
目前,已有的网络扫描器大部分是针对普遍使用的操作系统、大型系统软件本身的安全问题设计的。较少专门面向Web应用进行有针对性的扫描,所以从需求出发,研究满足需求和设计要求的关键技术,使其能够适应当前的Web应用需求,对Web网站进行快速精确的安全测试扫描能力,将是一项重大的研究工作。
1.研究意义
本论文主要针对web应用安全的各种攻击方式及多种漏洞进行一系列的研究,并给予相应的安全对策。该研究对提高Web应用系统的安全性具有重要意义,为web应用提高了安全的可靠性,同时也为用户解决了一大安全问题。
2.研究目标及内容
建立一个web应用安全的可靠系统,为Web应用的信息提供安全的保障。避免各种病毒对此系统的的破坏或攻击者进行一系列有意的入侵。
本论文的研究内容主要包括三个方面:
(1)Web应用中存在的安全问题;
(2)如何划分和提取Web应用缺陷信息;
(3)Web应用安全扫描系统的设计和实现。
第二章 Web应用安全问题
2.1 Web应用常见的几个安全问题
1、未验证参数
若提供给Web应用程序使用的请求信息没有经过有效性验证,攻击者就可能利用这一缺陷恶意构造请求中包含某个字段。如攻击者可使用请求字符串,URL(统一资源定位符),表单项,Cookie 头部,隐含参数传递代码进行攻击操作。
2、访问控制缺陷
非法用户可以操作信息,主要在于用户身份认证策略没有被执行。攻击者利用此漏洞得可到其他用户的帐号、执行未授权访问、对私人文件的浏览、删减并更改用户所保存的内容,最为严重的是取得网站管理员的权限,对此进行破坏。
一些特定的访问控制问题有:
(1)不安全的Web网站通常使用一定形式的关键字或者索引来代表用户、对象角色、内容、或功能,指定相应的机制确保提供的值是授权给正在使用用户。
(2)在正常情况下任何用户都不能直接访问无权限访问的文件,只允许该路径通过URL提交或其他方式最终访问一个文件。
(3)不允许用户绕过带有安全检查的页面直接访URL。
(4)服务器上不可被共享的本地文件主要是指Web服务器和应用程序提供访问的控制列表。(其中本地文件包括脚本文件、缺省文件以及配置文件)
3、会话及账户管理缺陷
攻击者可以得到口令密码、会话Cookie和其他标记,并获得用户权限限制,主要是由于会话和账户标记未被有效保护。
4、远程管理漏洞
远程管理:大部分 Web 应用允许管理者通过 Web 接口来对其站点实施远程管理。倘若这些管理机制没有对访问者实施合理的身份认证。那么攻击者就可以通过该接口拥有站点的相关权限。
5、跨站脚本漏洞
跨站脚本:在远程 Web 页面的HTML(超文本标记语言)代码中插入含有恶意目的的代码片段,用户误认为该页面是可使用的。因此当浏览器下载该页面时,嵌入其中的脚本将会被解释执行。
6、命令注入漏洞
命令注入:Web 应用程序在与外部系统或本地操作系统交互时,需要传递参数。如果攻击者在传递参数中嵌入了恶意代码,外部系统可能会执行这些指令。如SQL注入攻击,就是
攻击者将SQL命令插入到 Web表单的输入域或页面请求的查询字符串。
7、Web 服务器及应用服务器配置不当
对 Web 应用来说,服务器的健康状态是至关重要的。服务器的配置复杂,比如 Apache 服务器的配置文件完全由命令和注释组成,若干参数组成一个命令。如果配置不当对安全性影响很大。
8、缓冲区溢出
导致数据溢出的原因是Web 应用组件没有正确检验输入数据的有效性。攻击者可以利用这一缺陷执行一段精心构造的代码,获得程序的控制权。可能被利用的组件包括库文件、驱动文件、CGI、和Web 服务器。
9、错误处理问题
在正常操作没有被有效处理的情况下,会产生错误提示或服务器不可用、网络超时、内存不足、系统调用失败等。因 Web 应用不能处理,所以攻击者可某些提示中获得系统的相关信息。例如,当我们要判断一个文件是否存在于远程主机上,可通过其返回的信息判断。“访问被拒绝”则为文件存在但无访问权限,“文件未找到”则表示无此文件。
表2-1与异常处理相关的漏洞、威胁和对策
2.2 Web应用安全的现状及其重要性
当今世界,Internet已成为一个非常重要的基础平台。众多企业都将应用架设在该平台上,为客户提供更方便,更快捷的服务支持。这些应用在功能和性能上,都在不断的提高和完善。然而在安全性上,却没有足够的重视。网络技术日趋成熟,黑客们也逐渐将注意力从转移到对web应用的攻击上。
web应用的三层架构模型:如下图可知第一层是客户端,第二层中间层,第三层数据库。
图2-2 web应用的三层结构模型
在企业web应用的各个层面,会使用不同的技术来确保安全性。
1.为保护客户端机器的安全,用户会安装防病毒软件;
2.为保证用户数据到企业web服务器的传输安全,通信层通常会使用s安全套接层技术加
密数据。
图2-3 2000-2006年美国CERT/CC漏洞数量统计图
图2-4 2001-2005年Symantec Corporation漏洞数量统计图只要访问顺利通过企业的防火墙,web应用就毫无保留地呈现在用户面前。只有加强web 应用自身的安全,才能真正的解决web应用安全带来的各种隐患。
2.3 Web应用安全攻击方式
为了寻找网络中存在的漏洞并加以利用以达到自己的目的,攻击者使用了各式各样的网络攻击。因此为了实现周密的安全防范,必须分析攻击者入侵网络的各种方式。攻击者攻击网络的方式有本地攻击、远程攻击和伪远程攻击。攻击者的目的主要有:能够非法访问目标系统获取不应有的访问权限、获取所需资料以及篡改有关的数据。例如修改重要的资料可利用有关资源,如分布式攻击、占用存储空间、发布虚假信息等。攻击者对Web攻击的过程是:第一找出该Web系统中已存在的漏洞,然后根据漏洞的类型采取有效的攻击手段,最后获取
想要的权限或信息。
图2-5 Web应用的多种攻击方式
目前常见的攻击手段,主要有以下几种00
1.口令入侵
这种方式有三种方法:一是缺省的登录界面攻击法,即在被攻击主机上默认启动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息(用户名、密码等)后,程序将用户输入的信息传送到攻击者主机,然后关闭界面,给出提示信息“系统故障”,要求用户重新登录,而后给出真正的登录界面。二是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大。三是在知道用户的账号后(如电子邮件“@”前面的部分),利用一些专门软件强行破解用户口令,例如,如果应用程序没有对用户输入进行过滤或验证,也没有为用户提供正确的访问控制,攻击者可以通过一个特殊的黑客字典中的单词或一些特殊的参数来进行试探,从而实施有效的注入式攻击,获取系统或数据库的非法权限和内容。
2.电子邮件攻击
这种方式一般是采用电子邮件炸弹(E-mail Bomb),是攻击者常用的一种攻击手段。它利用了应用程序中的拒绝服务的漏洞,通过用伪造的职地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件耗尽邮件服务器提供给用户的有限的存储资源,使得某个用户的正常接收邮件操作被拒绝,甚至危害电子邮件服务器操作系统,导致其瘫痪,造成所有的邮件服务请求被拒绝。
3.特洛伊木马攻击
特洛伊木马程序”技术通过在系统中隐藏一个会在Windows启动时运行的程序。采用服务器/客户机的运行方式,从而达到在上网时控制目标主机的目的。攻击者可利用它窃取口令、浏览驱动器、修改文件、登录注册表等,如比较流行的冰河木马。现在流行的很多病毒也都带有木马性质,如影响面极广的“Nimda”,“求职信”、“红色代码”及“红色代码Ⅱ”等。攻击者可以假冒系统管理员,将代码或程序通过电子邮件的方式发送到目的地,如某些单位的网络管理员会定期给用户免费发送防火墙升级程序,这些程序多为可执行程序,
这就为攻击者提供了可乘之机,使很多用户无意中遗失重要信息。对于这样的攻击方式,管理员可以考虑加强系统的安全配置管理,对于非法的可执行程序进行阻止,加强对重要信息如注册表的管理和访问控制,禁止对重要信息的随意修改。
4.Sn城监听
在网络上窃取数据就叫做嗅探(Sniffing)。监听器(Sniffer)截获网络上传输的信息,并把它们用在以太网或其它共享传输介质的网络上。利用监听器可截获口令和专有的秘密信息。
5.诱入法
攻击者将一些看起来“合法”的程序,上传到某些FTP站点或是提供给某些个人主页,用户下载。当一个用户下载软件时,攻击者的软件被一起下载到用户的机器上,该软件会跟踪用户的操作,记录用户输入的每个口令,然后把获取的信息发送给攻击者指定的邮箱。例如,攻击者发送电子邮件给用户,提出进行某种合理的调查,并给出一些诱惑用户执行的条件,实际上该程序是在搜集用户的口令,并把它们发送给攻击者。
6.寻找安全漏洞
许多系统都存在各种安全漏洞,有些是操作系统或应用软件本身具有的不安全的配置管理漏洞,如Send mail漏洞,Windows98中的共享目录密码验证漏洞和IES漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御攻击者的破坏i有些是在程序设计过程中人为造成的漏洞,比如开发者采用模块化的程序设计思想完成功能复杂的应用时,为了测试、更改和增强模块功能的需要,为每个应用模块留有“后门”。若在开发完成后,没有及时消除“后门”,它们就会成为攻击者实施攻击的“入口”,获取应用的非法权限和内容。
图2-6Web应用攻击原理分析
第三章 Web应用安全漏洞研究
根据对Web应用程序漏洞的认知和处理角度的不同,人们对Web应用程序漏洞进行分类。
图3-1传统安全防范的漏洞
3.1 漏洞级别
1. D级漏洞
该漏洞允许远程用户获取主机上的一些信息,并不会对系统造成任何危害。攻击者用于在攻击的初始阶段获取目标网络或主机的脆弱性信息,比如机器是否启动、运行FTP服务的端口号、操作系统类别及软件版本等。
2. C级漏洞
属于等级较低的漏洞,用户不能对程序和文件进行访问,攻击者无法取得系统中的任何访问权。存在于任何在Internet上运行的TCP/IP操作系统的网络服务系统中。
3. B级漏洞
指允许本地用户获得增加的和非授权的访阔。如读取,写或执行系统上的非root用户的文件、写或执行系统上的root用户的文件。此漏洞出现在多种应用程序中,利用这一漏洞,可获取局域网的信息。
4. A级漏洞
能够使恶意入侵者获得有限的访问权限或root权限,从而控制整个系统。对系统中的数据进行非法访问,篡改和破坏,此漏洞威胁性最大。
3.2 Web应用程序漏洞分类
1.信息泄露漏洞
信息泄露漏洞是由于Web服务器或应用程序的一些特殊请求没有正确处理,导致Web服务器的信息泄露,造成信息泄露主要有以下三种原因:
(1)Web服务器本身存在漏洞,输入一些特殊的字符时,可以访问未授权的文件。
(2)Web服务器的配置存在问题,一些配置文件直接暴露在互联网中。
(3)Web程序的编写存在问题,对用户的请求没有进行过滤,直接使用提交上来的数据。
2.目录遍历漏洞
目录遍历漏洞的定义是攻击者向Web服务器发送请求,通过特殊意义的目录或URL符号,
使攻击者能够访问在Web服务器的根目录,以及未授权的目录执行命令。
3. 命令执行漏洞
指通过URL(统一资源定位符)发起请求,在服务器端执行未授权的命令。如获取系统信息、篡改系统配置、控制整个系统等。
命令执行漏洞主要有两种情况:
(1)通过目录遍历漏洞,访问系统,执行系统的命令;
(2)攻击者提交的命令,Web程序没有进行检测,就将请求作为指令进行操作,导致命令任意执行。
4.文件包含漏洞
攻击者向Web服务器发送请求时添加了非法参数,由于Web服务器端程序过滤不严,导致非法的文件名作为参数处理。此文件名可能是服务器本地的某一个文件,同时也可能是远端的某一个恶意文件。
5.跨站脚本漏洞
因为Web应用程序没有对用户提交的SQL语句和PHP变量进行过滤或限制,攻击者通过Web 页面的输入区域向SQL或HTML的页面提交恶意代码,当用户打开恶意代码的页面时,攻击者通过恶意代码自动访问Web浏览器,达到攻击目的。跨站脚本漏洞的危害性很大,尤其是被广泛使用的网络银行及一些在线服务。通过此漏洞,攻击者可以冒充某一用户访问其重要账户,盗取企业的重要信息。
6.SQL注入漏洞
SQL注入漏洞是Web应用程序没有对用户输入的数据进行合法性的判断,使得攻击者可以获得用户者的私密信息。数据库注入攻击在Web攻击中非常盛行,攻击者利用SQL注入漏洞获得管理员的相应权限,在网页上添加各种恶意程序和木马,盗取企业和用户的私密信息。
图3-2 黑客攻击流程及危害性
以上的六个漏洞,经多家漏洞研究机构的调查表明,其中跨站脚本漏洞和SQL注入漏洞造成的危害更为巨大。
3.3 Web应用安全测试技术
3.3.1 基于主机的漏洞扫描器
1.基本结构和工作原理0 0
基于主机的漏洞扫描器通常采用基于主机的客户端/服务器3层体系结构;漏洞扫描器控
制台、漏洞扫描器管理器和漏洞扫描器代理。
图3-3 漏洞扫描系统模型的系统结构图
其工作原理为:漏洞扫描器控制台安装在一台计算机中,漏洞扫描器管理器安装在企业网络中,所有的目标系统都需要安装漏洞扫描器代理。漏洞扫描器代理安装后,需要向漏洞扫描器管理器注册。当漏洞扫描器代理收到漏洞扫描器管理器发来的扫描指令时,漏洞扫描器代理单独完成本目标系统的漏洞扫描任务。扫描结束后,漏洞扫描器代理将结果传给漏洞扫描器管理器,最终用户可以通过漏洞扫描器控制台浏览扫描报告。
2.扫描器优缺点
(1)基于主机的漏洞扫描器主要优点:
①扫描的漏洞数量多。
②集中化管理:基于主机的漏洞扫描器通常由集中的服务器作为扫描服务器,控制所有扫描的指令,服务器下载到最新的代理程序后,分发给各个代理。
③网络流量负载小:由于漏洞扫描器管理器与漏洞扫描器代理之间只有通讯的数据包,漏洞扫描部分都由漏洞扫描器代理单独完成,这就大大减少了网络的流量负载。当扫描结束后,漏洞扫描器代理再次与漏洞扫描器管理器进行通讯,传送扫描结果给漏洞扫描器管理器。
④通讯过程中的加密机制:所有的通讯过程中的数据包都经过加密。
(2)基于主机的漏洞扫描器同时存在以下不足之处:
①价格较高:基于主机的漏洞扫描器的价格,通常由一个管理器的许可证价格加上目标系统的数量来决定,当一个企业网络中的目标主机较多时,扫描工具的价格就非常高。
②基于主机的漏洞扫描器,需要在目标主m_L安装代理或服务,从管理员的角度出发,在重要的机器上安装不确定的软件是不被允许的。
③随着所要扫描的网络范围的扩大,在设计基于主机的漏洞扫描工具的代理软件的时候,需要与每个目标系统的用户打交道,必然延长了首次设计扫描器的工作周期。
3.3.2 Web应用安全测试
一般传统曲扫描器有两个特点:
1.目标服务器返回的响应消息,其中最关键的内容就是HTTP响应包的状态代码,Web扫描器将直接根据状态代码来判断是否测试成功。
2.保存漏洞特征的漏洞库,传统的漏洞库中只包含己知漏洞,即已经公布的操作系统,服务器软件,硬件平台、网络协议的漏洞。
传统的扫描工具目前最大的不足之处是对具体的Web应用难以进行有效评估。因为漏洞
库中没有Web应用程序的漏洞特征。传统的Web扫描工具测试存在一定的盲目性,测试通常是在Web系统的接口处实施,无论是否存在漏洞,都提交测试参数,造成很多不必要的测试,浪费了系统的资源。
根据传统Web漏洞扫描器的不足,针对性的提出以下几点进行改善:
(1)如何发现和描述现有的、潜在的Web应用漏洞特征。
(2)如何提高Web测试的针对性和有效性,降低盲目性。
(3)如何完善漏洞库的优化。
(4)如何提高漏洞库的拓展性和兼容性问题。
(5)采用什么样的方式定位Web应用中存在的漏洞。
第四章网络防火墙
4.1 防火墙的功能和策略
1.功能
防火墙的基本功能:
(1)控制不安全的服务:只有授权的服务才能通过防火墙,控制不安全的服务,提高了网络的的安全度。
(2)站点访问控制:防火墙提供了一些对站点的防问控制。防火墙不允许访问不需要访问的主机和服务,在网络边界设置了一到关口。防火墙是用户保护的最好选择。
(3)集中安全保护:若一个子网需要改动的软件能放在防火墙的系统中,防火墙的保护就相对集中。尤其对于身份认证软件和其他密码口令系统等。
(4)强化私有权:防止通过DNS域名服务以及finger等造成泄密。防火墙能封锁域名服务信息。
(5)网络连接的日志记录及使用统计:当防火墙系统被设置连接都需要经过安全的系统,防火墙能够对其访问做出日志记录。
(6)其他安全控制:根据要求配置防火墙系统,实现其他的安全控制。
2.策略:
防火墙的基本策略:
(1)一切未被禁止的就是允许的:其准则防火墙需转发信息流,屏蔽有害服务。弊端:网络服务多样性,受保护范围大,难提供安全可靠的服务。
(2)一切未被允许的就是禁止的:其准则防火墙需封锁信息流,进行开放服务。弊端:用户的方便性受约束,使用范围也有严格的限制。
4.2 防火墙的分类
4.2.1. 包过滤防火墙
优点:
(1)逻辑简单,价格便宜,有较强的透明性;
(2)与应用层无关,抑郁安装和使用。
缺点:
(1)需要对IP、ICMP、TCP和UDP等各种协议有深入的了解否则配置不当容易出现问题;(2)只有网络层和传输层进行了过滤判别,难以得到充分的满足;
(3)不能防止外部客户与内部主机直接连接,无法提供用户鉴别机制。
如下图所示
图4-1 包过滤防火墙
1.静态包过滤防火墙工作在TCP/IP协议模型的IP层或OSI模型的网络层。
2.状态包过滤防火墙采用了一个网络安全策略的软件引擎。用于提取相关的状态和通信信息,并在动态链接进行信息的存储和更新。
4.2.2 代理防火墙
1.应用级网关防火墙工作于TCP/IP或OSI模型的应用层。
优点:
(1)易于配置,界面友好;
(2)可以给单位用户授权,并且可以与授权、认证等安全手段便于集成;
(3)可以为用户提供透明的加密机制,而且可以隐藏内部的IP地址;
(4)不允许内外主机的直接连接。
缺点
(1)代理速度比包过滤慢;
(2)代理对用户不透明。
2.电路级网关防火墙工作于TCP/IP协议模型的TCP层或OSI互联模型的会话层。
4.3 防火墙的体系结构
双宿/多宿主机模式如下图:
图4-2 1.屏蔽主机模式如下图:
图4-3 2.屏蔽子网模式结构示意图:
图4-4
4.4 WEB应用防火墙技术
在网络中的防火墙,入侵防御系统(IPS),入侵检测系统(IDS)等设备,已经不能适用web 应用了,原因在于传统的网络安全设备对攻击防范作用有限。防火墙工作在网络层,通过对网络层数据的过滤,实现访问控制的功能。所有的应用都在网络层处理,因此攻击在网络层次上是无法检测出来的。IPS、IDS用于检查应用层流量,实现对应用层攻击的防护。Web应用防火墙实现了对将来才会出现的攻击的保护,有IPS和IDS进行有效防护。应用防火墙通过执行应用会话请求处理应用层,保护所有相关的应用资源。
Web应用防火墙的特点
Web应用防火墙:为Web应用提供实时的防护。与传统防火墙差异性体现在:
(1)对HTTP有本质的理解:能够完整地解析HTTP(超文本传输协议),包括报文头部、载荷及参数。支持各种HTTP编码,提供的HTTP协议验证和HTML(超文本标记语言)限制,支持各类字符集编码,具备响应(Response)过滤的能力。
(2)提供应用层规则:传统的防火墙针对已知漏洞的处理不够有效。WAF(网站应用级入侵防御系统)提供应用层规则,能够检测变形攻击。
(3)提供会话防护机制:HTTP协议的最大弊端就是缺乏一个可靠的会话管理机制。WAF系统可进行有效补充,防护基于会话的攻击类型。
(4)提供正向安全模型:为提高安全性的可靠程度提供了一个外部输入的验证机制。
第五章安全对策
5.1配置及各种对策
根据WEB应用程序的需要,应选择更为安全的身份验证机制。如
1.WEB应用程序的配置安全及对策
WEB应用程序支持配置界面和系统功能,允许操作员更改系统参数和更新网站内容,执行常规维护。常见的配置威胁:对界面的未授权访问、对配置存储区的未授权访问和越权的应用程序。
2.对界面的末授权访问及安全对策
管理界面是通过附加的网页或单独的Web应用程序提供,该网页或Web应用程序允许管理
员、操作员和内部开发人员管理网站内容和参数配置,仅限于经过授权的用户使用。访问恶意用户可能会破坏网站和数据库,并破坏配置数据。防止对管理界面的未授权访问的对策有:使管理界面的数量最小化;使用强身份验证,如使用证书;使用加密通道(如带有VPN技术或SSL);使用IPS策略来将远程管理限制在内部网络中的计算机。
3.对配置存储区的未授权访问
配置在存储区中的数据应具有很强的保密性。需对存储区的安全性给予确保,配置存储区的保护对策有:在配置文件Machine.con.fig和Web.Con.fig中配置受限制的ACL:在Web 空间外保存自定义配置存储区,避免用户下载Web服务器配置文件并利用其漏洞的可能性:限制对配置存储区的游同舴为一种重要防御机制,应该对敏感数据(如密码和连接字符串)加密,以防止外部攻击者获取敏感的配置数据和访问其他系统韵数据库连接字符串和帐户凭证。
4.越权的应用程序和服务帐户
如果向WEB应用程序和服务帐户授予访问权以更改系统中的配置信息。则攻击者可能操纵它们来执行此操作。安全对策有:通过使用最低特权的服务和应用程序帐户;除非设计明确要求,否则不要允许帐户修改其配置信息。
5.2攻击及对策
1.网络偷听及安全对策
以文本形式从客户端向服务器传递身份验证,攻击者就会利用同一网络的其它主机捕捉并获得该用户名和密码。相应的对策:不通过网络传输用户密码的验证机制。如果必须通过网络传输密码,用户应该将密码进行加密,或者使用已加密的通讯设备,如SSL(安全套接层)。
2.字典攻击及安全对策
在字典攻击中,攻击者使用程序可计算每个词的哈希值,将数据存储区的值与生成的哈希进行比较。若密码较强如,被破解的可能性就更小,可使用Hashed算法存储用户密码。若攻击者取得了密码哈希列表,便可脱机执行字典攻击,且不需要与应用程序交互。防止字典攻击的对策:可使用强密码,就是要复杂点,例如密码可混用大小写字母和特殊字符,不能只是单一的数字或字母。
3. Cookie重播攻击及安全对策
攻击者使用监测软件获得用户的身份验证Cookie(小型文本文件)值,将其给应用程序,通过使用虚假身份获取各种访问权。防止Cookie重播的对策:在传输身份验证Cookie时,应使用系统提供的SSL(安全套接层)加密通道,并将Cookie设置为一个较小的值,在经过短时间间隔后进行身份验证。
4.凭证偷窃及安全对策
因为缓存中存储用户登录信息和浏览器历史记录,如果用户以外的人使用了这个终端并且点击了相同的页面,则之前保存的登录信息和浏览的历史记录便被泄露。防止凭证偷窃的对策:必须强制使用强密码。
结束语
本论文主要是针对web应用安全进行研究。首先对web应用安全的背景、现状进行了描述;其次进一步阐明了web应用常见的安全问题以及web应用安全的攻击方式;接着研究web应用安全的漏洞讲述了漏洞的分类、web应用安全的测试;然后叙述了防火墙的功能、策略,其中重点说明了防火墙的体系结构和web应用防火墙的技术;最后给出各种配置及其安全的对策和各类攻击的安全对策。
致谢
四年的大学生涯即将结束,在段时光里我受益良多,在此要由衷地感谢那些帮助和关心我的同学、老师。因为中有你们的陪伴与鼓励,我的人生才会如此的多姿多彩。
首先要感谢我的辅导员,四年来为我们所做的工作,教会了我们如何学会做人,告诉我们要懂得生活,要有勇敢面对挫折的心,不畏惧,不退缩。其次要感谢我的指导老师,给予我的指导,使我对所写的论文有了进一步的了解,明白论文大致的一些要求。最后要特别的感谢我的父母对我支持和鼓励。他们的关心与认可让我有了克服困难的信心与勇气,是我成长与前进的精神支柱!
参考文献
丁妮.web应用安全研究[D].中国优秀硕士学位论文全文数据库,2007—5:19-23.尹虹.WEB应用程序漏洞主动扫描器的研究与实现.国防科技大学硕士研究生论文,2005 徐亮.基于网络的WEB应用程序漏洞检测系统研究与实现.国防科技大学硕士研究生论文,2005
李涛.网络安全概论.电子工业出版社,2004年,第1版,295-303.
孙知信,徐红霞.一种新型网络安全评估系统研究.南京邮电大学学报(自然科学版),第26卷第3期,27-32
赵振国,蔡皖东.网络漏洞扫描器的设计与实现.微电子学与计算机,2005年第22卷第4期。122-125
杨波,朱秋萍.Web安全技术综述.计算机应用研究,2002年第10期,1-4
孟宪虎,张延军.开发Web信息处理的可靠和安全性探讨.计算机工程与应用,2001,v01.37,No.14,74-75
张世永.信息安全审计技术的发展和应用.电信科学,2003年12期,29·32
张敏波,网络安全实战详解[M].北京:电子工业出版社,2008—5:365—369
李承,王伟钊,程立,汪为农,李家滨.基于防火墙日志的网络安全审计系统研究与实现.计算机工程,第28卷第6期,2002年6月,17·19
镲冰,李启炎,朱茜.XML解析器应用分析.计算机系统应用,2002年0l期,30.32 周洪吴,张剡,柏文阳.安全审计系统的设计与实现.计算机应用研究,2004年07期,105—107
王伟钊,李承,李家滨.网络安全审计系统的实现方法.计算机应用与软件,2002年11期,24-27
最受欢迎的十大WEB应用安全评估系统教学教材
最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明: 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。 游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。 2.HP WebInspect
目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能: ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具(HP Security Toolkit)执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner
最新Web应用安全测试方案
精品文档 1 Web安全测试技术方案 1.1 测试的目标更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件更好的为今 后系统建设提供指导和有价值的意见及建议 1.2 测试的范围 本期测试服务范围包含如下各个系统: Web系统: 1.3 测试的内容 1.3.1 WEB^ 用 针对网站及WEB系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 XSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证 逻辑错误 Google Hacking 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP 方法(如:PUT、DELETE) 1.4 测试的流程 方案制定部分: 精品文档 获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:
这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS burpsuite、Nmap等)进行收集。 测试实施部分: 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出: 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图: 精品文档 1.5 测试的手段 根据安全测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了自动化测试过程中的误报问题。
Web应用安全项目解决方案
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。 然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
web应用安全发展的挑战和趋势
中国海洋大学OCEAN UNIVERSITY OF CHINA 课程论文 论文题目:web应用安全发展的挑战和趋势 授课教师:曲海鹏 学生姓名:甘言海 学生学号:020********* 专业班级:计算机信息保密2010级 2013年12月28日
web应用安全发展的挑战和趋势 由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。 当今世界,Internet已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。 Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。尽管不同的企业会有不同的Web 环境搭建方式,一个典型的Web 应用通常是标准的三层架构模型。在这种最常见的模型中,客户端是第一层;使用动态Web 内容技术的部分属于中间层;数据库是第三层。用户通过Web 浏览器发送请求给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。 当讨论起Web应用安全,我们经常会听到这样的回答:“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了SSL 技术”、“我们每个季度都会进行渗透测试”……所以,“我们的应用是安全的”。现实真是如此吗? 在企业Web 应用的各个层面,都会使用不同的技术来确保安全性。为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到企业Web 服务器的传输安全,通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问,不必要暴露的端口和非法的访问,在这里都会被阻止;即使有防火墙,企业依然会使用身份认证机制授权用户访问Web 应用。 但是,即便有防病毒保护、防火墙和IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟Web 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web 应用必须的80 和443 端口,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。这里需要注意的是,Web 应用是由软件构成的,那么,它一定会包含缺陷,这些缺陷就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web 应用中的重要信息。网络脆弱性扫描工具,由于它仅仅用来分析网络层面的漏洞,不了解应用本身,所以不能彻底提高Web应用安全性;防火墙可以阻止对重要端口的访问,但是80 和443 端口始终要开放,我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;SSL 可以加密数据,但是它仅仅保护了在传输过程中数据的安全性,并没有保护Web应用本身;每个季度的渗透测试,无法满足处于不断变更之中的应用。 只要访问可以顺利通过企业的防火墙,Web应用就毫无保留的呈现在用户
WEB应用防护
WEB应用防护 1. WEB应用防护(WAF)工作原理 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用层面上。 即便很多客户在WEB服务器前端部署了防火墙和IDS/IPS产品,但仍然不得不允许一部分的通讯经过防火墙,毕竟Web 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web应用必须的80和443端口,是一定要开放的。端口可以顺利通过的这部分通讯,这些数据通讯可能是善意的,也可能是恶意的,很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web 应用中的重要信息。 Web应用系统有着其固有的开发特点:经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致Web应用出现了很多的漏洞。另外,管理员对Web服务器的配置不当也会造成很多漏洞。 目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种,常见的攻击手段包括:注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括:非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。 如上图所示:WAF主要提供对WEB应用层数据的解析,对不同的编码方式做强制的多重转换还原成攻击明文,把变形后的字符组合后再进行分析,成而达到较好地抵御来自WEB 层的组合攻击。其主要的算法为基于上下文的语义分析。 通过WAF的部署可以从事前、事中、事后三个方面实现对WEB系统的全方位保护。 (1)事前 WAF提供Web应用漏洞扫描功能,检测Web应用程序是否存在SQL注入、跨站脚本漏洞。 (2)事中 WAF能对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。 (3)事后 针对当前的安全热点问题如:网页篡改及网页挂马等级攻击,WAF能提供诊断功能,降低安全风险,维护网站的公信度。 2. WAF策略规划 * 网页篡改在线防护 按照网页篡改事件发生的时序,WAF提供事中防护以及事后补偿的在线防护解决方案。事中,实时过滤HTTP请求中混杂的网页篡改攻击流量(如SQL注入、XSS等)。事后,自动监控网站所有需保护页面的完整性,检测到网页被篡改,第一时间对管理员进行短信告警,对外仍显示篡改前的正常页面,用户可正常访问网站。
web应用安全基线
Web应用安全配置基线 https://www.360docs.net/doc/f02976818.html, 2009年 1月
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 第2章身份与访问控制 (6) 2.1账户锁定策略 (6) 2.2登录用图片验证码 (6) 2.3口令传输 (6) 2.4保存登录功能 (7) 2.5纵向访问控制 (7) 2.6横向访问控制 (7) 2.7敏感资源的访问 (8) 第3章会话管理 (9) 3.1会话超时 (9) 3.2会话终止 (9) 3.3会话标识 (9) 3.4会话标识复用 (10) 第4章代码质量 (11) 4.1防范跨站脚本攻击 (11) 4.2防范SQL注入攻击 (11) 4.3防止路径遍历攻击 (11) 4.4防止命令注入攻击 (12) 4.5防止其他常见的注入攻击 (12) 4.6防止下载敏感资源文件 (13) 4.7防止上传后门脚本 (13) 4.8保证多线程安全 (13) 4.9保证释放资源 (14) 第5章内容管理 (15) 5.1加密存储敏感信息 (15) 5.2避免泄露敏感技术细节 (15) 第6章防钓鱼与防垃圾邮件 (16) 6.1防钓鱼 (16) 6.2防垃圾邮件 (16) 第7章密码算法 (17) 7.1安全算法 (17) 7.2密钥管理 (17)
第1章概述 1.1 目的 本文档规定了所有IT基础设施范围内所有Web应用应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。 本配置标准适用的范围包括:支持所有业务正常运营的Web应用系统。 1.3 适用版本 基于B/S架构的Web应用 1.4 实施 本标准的解释权和修改权属于https://www.360docs.net/doc/f02976818.html,,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
web安全渗透测试培训安全测试总结
web安全渗透测试培训安全测试总结 跨站点脚本攻击(Xss) Burpsuite探测反射型xss问题请求的值没有做处理就在响应中返回 越权访问定义:不同权限账户之间的功能及数据存在越权访问。 测试方法: 1.抓取A用户功能链接,然后登录B用户对此链接进行访问。 2.抓取用户A的uesrid,用用户B登录时替换为用户A的userid。 3.抓取用户A的cookie,用用户B登录时替换用户A的cookie。 文上传漏洞定义:没有对上传文扩展名进行限制或者限制可以被绕过。 测试方法:找到系统中可以上传文的地方,抓取功能链接,修改文扩展名,看响应包的状态。 关键会话重放攻击定义:可以抓取包固定账号破解密码、固定密码破解账号和重放提交投票数据包。 测试方法:
使用抓包工具抓取系统登录请求,获得用户和密码参数,使用用户或密码字典替代登录请求会话中对应的用户或密码参数,暴力破解。 中间weblogic命令执行漏洞定义:weblogic反序列化漏洞,可以执行系统命令。 测试方法: 使用CVE-20XX-2628漏洞检测工具,对目标主机进行检测。在url.txt中填入目标主机的“ip:port”,这里填入 192.168.2.103:7001。在windows主机打开命令行运行CVE-20XX-2628-MultiThreading.py开始检测。 敏感信息泄露定义:系统暴露系统内部信息,包括网站绝对路径泄露、SQL语句泄露、中间泄露、程序异常回显。 测试方法: 1.使用抓包工具对系统中的参数进行篡改,加入特殊符号“’、--、&;”,查看返回数据包。 2.查看系统前端js代码。 SQL语句泄露中间版本泄露程序异常回显程序异常回显后台泄露漏洞中间后台泄露定义:weblogic后台地址过于简单,攻击者很容易猜测和破解到后台地址。 测试方法: 1.不允许使用默认地址 2.不允许只修改控制台访问地址的端口号
Web应用安全解决方案(20200603073540)
目录 一. 项目背景及必要性 (2) 1.1 项目背景 (2) 二. 中国铁建Web应用安全风险分析 (5) 2.1 应用层安全风险分析 (5) 2.1.1 身份认证漏洞 (5) 2.1.2 www服务漏洞 (5) 2.1.3 Web网站应用漏洞 (6) 2.2 管理层安全风险分析 (6) 三. 中国铁建Web网站安全防护方案 (8) 3.1 产品介绍 (9) 3.1.1 WebGuard网页防篡改保护系统解决方案 (9) 3.1.2 WebGuard-WAF综合应用安全网关 (13) 21 3.2 系统部署.................................................................................................................................. 3.2.1 详细部署 (21) 3.2.2 部署后的效果 (22) 23 四. 系统报价...........................................................................................................................................
一. 项目背景及必要性 1.1 项目背景 近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化, 随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。 近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络 安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代 价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方 面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理” 的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间 放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客 提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安 全隐患发生任何一次对整个网络都将是致命性的。 随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在 扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府 及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫 问题;因此,解决网络安全问题刻不容缓。 当前企业、金融证券和政府业务系统大都居于B/S架构,使用Web应用来运行核心业务,
Web应用安全解决方案(完整资料).doc
【最新整理,下载后即可编辑】 目录 一. 项目背景及必要性 (3) 1.1 项目背景 (3) 二. 中国铁建Web应用安全风险分析 (6) 2.1 应用层安全风险分析 (6) 2.1.1 身份认证漏洞 (6) 2.1.2 www服务漏洞 (6) 2.1.3 Web网站应用漏洞 (6) 2.2 管理层安全风险分析 (7) 三. 中国铁建Web网站安全防护方案 (8) 3.1 产品介绍 (9) 3.1.1 WebGuard网页防篡改保护系统解决方案 (9) 3.1.2 WebGuard-WAF综合应用安全网关 (12) 3.2 系统部署 (18) 3.2.1 详细部署 (18) 3.2.2 部署后的效果 (19) 四. 系统报价 (20)
一. 项目背景及必要性 1.1 项目背景 近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。 近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,
Web应用安全解决方案(0001)
Web应用安全解决方案
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。
然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公
司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 2.Web安全防范 在Web应用的各个层面,都会使用不同的
Web开发中常见的安全缺陷及解决办法
提纲: 一、不能盲目相信用户输入 二、五种常见的https://www.360docs.net/doc/f02976818.html,安全缺陷 2.1 篡改参数 2.2 篡改参数之二 2.3 信息泄漏 2.4 SQL注入式攻击 2.5 跨站脚本执行 三、使用自动安全测试工具 正文: 保证应用程序的安全应当从编写第一行代码的时候开始做起,原因很简单,随着应用规模的发展,修补安全漏洞所需的代价也随之快速增长。根据IBM的系统科学协会(Systems Sciences Institute)的研究,如果等到软件部署之后再来修补缺陷,其代价相当于开发期间检测和消除缺陷的15倍。 为了用最小的代价保障应用程序的安全,在代码本身的安全性、抗御攻击的能力等方面,开发者应当担负更多的责任。然而,要从开发的最初阶段保障程序的安全性,必须具有相应的技能和工具,而真正掌握这些技能和工具的开发者并不是很多。虽然学写安全的代码是一个复杂的过程,最好在大学、内部培训会、行业会议上完成,但只要掌握了下面五种常见的https://www.360docs.net/doc/f02976818.html,应用安全缺陷以及推荐的修正方案,就能够领先一步,将不可或缺的安全因素融入到应用的出生之时。 一、不能盲目相信用户输入 在Web 应用开发中,开发者最大的失误往往是无条件地信任用户输入,假定用户(即使是恶意用户)总是受到浏览器的限制,总是通过浏览器和服务器交互,从而打开了攻击Web应用的大门。实际上,黑客们攻击和操作Web网站的工具很多,根本不必局限于浏览器,从最低级的字符模式的原始界面(例如telnet),到CGI脚本扫描器、Web代理、Web应用扫描器,恶意用户可能采用的攻击模式和手段很多。 因此,只有严密地验证用户输入的合法性,才能有效地抵抗黑客的攻击。应用程序可以用多种方法(甚至是验证范围重叠的方法)执行验证,例如,在认可用户输入之前执行验证,确保用户输入只包含合法的字符,而且所有输入域的内容长度都没有超过范围(以防范可能出现的缓冲区溢出攻击),在此基础上再执行其他验证,确保用户输入的数据不仅合法,而且合理。必要时不仅可以采取强制性的长度限制策略,而且还可以对输入内容按照明确定义的特征集执行验证。下面几点建议将帮助你正确验证用户输入数据: ⑴始终对所有的用户输入执行验证,且验证必须在一个可靠的平台上进行,应当在应用的多个层上进行。
web应用的安全防范
Web数据安全 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. SQL注入成因: 我们对表单数据处理时(特别是文本框)、以及Url传递参数是经常会产生例如userName=xxx;id=xxx的语句,这一类语句经常被我们传入到后台的一句SQL语句进行编译 如select * from USER u where https://www.360docs.net/doc/f02976818.html,ername = ‘aaa’ and u.password =xxx 的语句 当我们用参数拼接的方式构造此类SQL语句时。一旦黑客们在前台文本框或URL填上 Aaa’ or 1=1 一旦这个参数传入后代中这一句SQL 就会成立在假设该人了解们系统的表结构或某些表的名称。甚至可以在后面加入删除表或数据的语句。后果不堪设想 SQL注入的防范: 1、永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等 2、尽量不要使用拼装SQL的方式进行数据库操作。Java可以采用预编译的方式也可有效的防止SQL注入,或者使用一些持久层框架。 3、没有必要不要使用管理员权限连接数据库 4、对于异常信息不要暴漏给用户。防止不法分子利用异常测试表结构 XSS跨站攻击 XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 XSS攻击原理以及频发区域:
华为Web应用安全开发规范
DKBA 华为技术有限公司内部技术规范 DKBA 1606-XXXX.X Web应用安全开发规范V1.5 2013年XX月XX日发布2013年XX月XX日实施华为技术有限公司 Huawei Technologies Co., Ltd. 版权所有侵权必究 All rights reserved 修订声明Revision declaration 本规范拟制与解释部门: 网络安全能力中心&电信软件与核心网网络安全工程部 本规范的相关系列规范或文件: 《C&C++语言安全编程规范》《Java语言安全编程规范》相关国际规范或文件一致性: 无 替代或作废的其它规范或文件: 无 相关规范或文件的相互关系:
《产品网络安全红线》和《电信软件与核心网业务部安全能力基线》中的Web安全要求引用了本规范的内容,如果存在冲突,以本规范为准。 规范号主要起草部门专家主要评审部门专家修订情况 DKBA 1606-2007.4 安全解决方案:赵武42873,杨光磊57125,万振华55108 软件公司设计管理部:刘茂征11000,刘高峰63564,何伟祥33428 安全解决方案:刘海军12014,吴宇翔18167,吴海翔57182 接入网:彭东红27279 无线:胡涛46634 核心网:吴桂彬41508,甘嘉栋33229,马进32897,谢秀洪33194,张毅27651,张永锋40582 业软:包宜强56737,丁小龙63583,董鹏越60793,傅鉴杏36918,傅用成30333,龚连阳18753,胡海,胡海华52463,李诚37517,李大锋54630,李战杰21615,刘创文65632,刘飞46266,刘剑51690,栾阳62227,罗仁钧65560,罗湘武06277,马亮,孟咏喜22499,潘海涛27360,孙林46580,王福40317,王锦亮36430,王美玲,王谟磊65558,王玉龙24387,杨娟,张锋43381,张健,张轶57143,邹韬51591 V1.0 何伟祥33428 刘高峰63564,龚连阳00129383,许汝波62966,吴宇翔00120395,王欢00104062,吕晓雨56987 V1.2 增加了Web Service、Ajax和上传和下载相关的安全规范。 何伟祥V1.3 增加了防止会话固定和防止跨站请求伪造的安全规范。 何伟祥V1.4 增加了"规则 3.4.1"的实施指导;删除了"建议 3.4.1";修改了"6 配套CBB介绍"的内容和获取方式。增加了"3.9 DWR" 何伟祥00162822 吴淑荣00197720 魏建雄00222906 谢和坤00197709 李田00042091 孙波00175839 朱双红00051429 王伟00207440 陈伟00141500 V1.5 增加"规则3.3.9、规则 3.6.5、规则 4.7.1、建议 4.7.2、4.8 PHP" 增加"3.8 RESTful Web Service" 修改"规则3.2.2.8、规则 3.2.2.3、规则 3.4.1、规则 4.6.1" 删除"3.2.1口令策略"和"规则3.1.3、规则 3.2.3.8、规则 4.7.1" 附件文档作为对象直接插入主文档 目录Table of Contents 1 概述7 1.1 背景简介7 1.2 技术框架7 1.3 使用对象8
浅谈WEB应用安全问题及防范
浅谈WEB应用安全问题及防范 摘要:随着web应用技术的发展,越来越多的企业或学校使用web 应用来进行企业或学校信息开放性管理,使机构管理信息暴露在越来越多的威胁中。由于web应用具有一定的运行特点,传统防火墙对于其存在的安全问题缺少针对性和有效性,新的防护工具——web应用防火墙应运而生。 关键词:web应用开放性安全问题 web防火墙 随着信息资源逐渐向数据高度集中的模式,web成为一种普适平台,web应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。web应用提供了丰富的开放资源和高效率的新工作方式,但它的开放性、易用性和易开发性同样也使web应用的安全问题日益突出,已成为了网络安全核心问题之一。 1 web应用的工作原理和特点 web应用程序首先是“应用程序”,和用标准的程序语言,如c、c++等编写出来的程序没有什么本质上的不同。然而web应用程序又有自己独特的地方,就是它是基于web的,而不是采用传统方法运行的。 目前广泛使用的web应用程序一般是b/s模式,使用标准的三层架构模型:第一层是客户端;使用动态web内容技术的部分属于中间层;数据库是第三层。在b/s模式中,客户端运行浏览器软件。浏览器以超文本形式向web服务器提出访问数据库的要求,web服务器接受客户端请求后,将这个请求转化为sql 语法,并交给数据
库服务器,数据库服务器得到请求后,验证其合法性,并进行数据处理,然后将处理后的结果返回给web服务器,web服务器再一次将得到的所有结果进行转化,变成html文档形式,转发给客户端浏览器以友好的web页面形式显示出来。 因此,web应用具有以下特点: 1.1 易用性 web应用所基于的web浏览器的界面都很相似,对于无用户交互功能的页面,用户接触的界面都是一致的,因此web应用的操作简单易上手。 1.2 开放性 在web应用的b/s模式下,除了内部人员可以访问,外部的用户亦可通过通用的浏览器进行访问,并且不受浏览器的限制。 1.3 易扩展性 由于web的平台无关性,b/s模式结构可以任意扩展,可以从一台服务器、几个用户的工作组级扩展成为拥有成千上万用户的大型系统。 2 web应用主要安全问题 由于web应用的特点,其受到的网络安全问题也与日俱增,根据统计,主要的安全问题有以下几种: 2.1 web平台软件的不安全性 web平台软件包括web应用使用的操作系统、http底层服务器软件和第三方应用程序等,这些软件配置中往往存在很多安全问题,
Web应用安全测试方案
1Web安全测试技术方案 1.1测试的目标 ●更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件 ●更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围 本期测试服务范围包含如下各个系统: ●Web系统: 1.3测试的内容 1.3.1WEB应用 针对网站及WEB系统的安全测试,我们将进行以下方面的测试: ?Web 服务器安全漏洞 ?Web 服务器错误配置 ?SQL 注入 ?XSS(跨站脚本) ?CRLF 注入 ?目录遍历 ?文件包含 ?输入验证 ?认证 ?逻辑错误 ?Google Hacking ?密码保护区域猜测 ?字典攻击 ?特定的错误页面检测 ?脆弱权限的目录 ?危险的 HTTP 方法(如:PUT、DELETE) 1.4测试的流程 方案制定部分:
获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分: 这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS、burpsuite、Nmap等)进行收集。 测试实施部分: 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出: 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图:
WEB应用系统安全规范
W E B应用系统安全规范 Document number:BGCG-0857-BTDO-0089-2022
WEB应用系统安全规范 目录
1概述 1.1目的 为规范我司Java Web应用编码和部署的安全控制和管理,特制定本规范,并作为安全检查及考核的参考依据。
1.2适用范围 本规范适用于我司所有在线Java业务系统、测试系统的WEB应用。 本规范可作为其他非WEB应用的编码和部署安全办法参考。 2范围 本规范中列出的是常见安全措施和高风险的漏洞,在系统开发与系统部署的过程中,对本规范未能尽述的必要安全措施,仍应予以采用。 本规范每年复审一次,其它时候也可以根据需要进行修订并发布。本规范的解释权和修改权归属信息技术部。 3名词解释 验证:通讯实体(例如,客户端和服务器)彼此验证,以经过访问授权的特定标识为依据。 资源的访问控制:资源的交互仅限于某些用户或程序的集合,其目的是对完整性,保密性或可用性实施强制约束。 数据完整性:检验信息是否被第三方(非信息源的其它实体)修改。例如,处于开放网络环境中的数据接收方必须能够检测并丢弃那些在传递过程中被修改过的消息。 机密性或数据隐私:确保信息仅对经过访问授权的用户可用。 不可否认:对用户进行检验,让他无法否认自己进行过的活动。
审核:捕获一个安全相关事件的防篡改记录,目的是评估安全策略和机制的有效性。 4Web开发安全规范 4.1Web应用程序体系结构和安全 HTTP 是无国界的,这意味着跟踪每位用户的会话状态将成为应用程序的责任。应用程序必须能够通过某种形式的身份验证来识别用户。由于所有后续授权决策都要基于用户的标识,因此,身份验证过程必须是安全的,同样必须很好地保护用于跟踪已验证用户的会话处理机制。设计安全的身份验证和会话管理机制仅仅是Web 应用程序设计人员和开发人员所面临的众多问题中的两个方面。由于输入和输出数据要在公共网络上进行传输,因此还会存在其他挑战。防止参数操作和敏感数据泄漏也是另外一些重要问题。
网络安全培训考试题库(附答案)
网络安全培训考试题 一、单选题 1、当访问web网站的某个页面资源不存在时,将会出现的HTTP状态码是___D___ A、200 B、302 C、401 D、404 状态码:是用以表示网页服务器HTTP响应状态的3位数 302:请求的资源现在临时从不同的 URI 响应请求。 401:Bad Request 语义有误,当前请求无法被服务器理解。除非进行修改,否则客户端不应该重复提交这个请求。 404:Not Found请求失败,请求所希望得到的资源未被在服务器上发现。 2、下列哪些不属于黑客地下产业链类型?___C___ A、真实资产盗窃地下产业链 B、互联网资源与服务滥用地下产业链 C、移动互联网金融产业链 D、网络虚拟资产盗窃地下产业链 无地下产业链关键词 3、许多黑客攻击都是利用软件实现中的缓冲区溢出的漏洞,对此最可靠的解决方案是什么?___C___ (A)安装防火墙 (B)安装入侵检测系统 (C)给系统安装最新的补丁 (D)安装防病毒软件 4、下列哪类工具是日常用来扫描web漏洞的工具?___A___ A、IBM APPSCAN B、Nessus目前全世界最多人使用的系统漏洞扫描与分析软件 C、NMAP Network Mapper是Linux下的网络扫描和嗅探工具包 D、X-SCAN国内安全焦点出品,多线程方式对指定IP地址段(或单机)进行安全漏洞检测 5、下列哪一项不是黑客在入侵踩点(信息搜集)阶段使用到的技术?___D___ A、公开信息的合理利用及分析 B、IP及域名信息收集 C、主机及系统信息收集 D、使用sqlmap验证SQL注入漏洞是否存在 6、常规端口扫描和半开式扫描的区别是?___B___ A、没什么区别 B、没有完成三次握手,缺少ACK过程 C、半开式采用UDP方式扫描 D、扫描准确性不一样 7、下列哪一个选项不属于XSS跨站脚本漏洞危害:___C___ A、钓鱼欺骗 B、身份盗用 C、SQL数据泄露
WEB应用系统安全规范
WEB应用系统安全规范 目录 WEB应用系统安全规范 (1) 1概述 (2) 1.1目的 (2) 1.2适用范围 (3) 2范围 (3) 3名词解释 (3) 4WEB开发安全规范 (4) 4.1W EB应用程序体系结构和安全 (4) 4.2W EB安全编码规范 (6) 4.2.1区分公共区域和受限区域 (6) 4.2.2对身份验证cookie 的内容进行加密 (6) 4.2.3限制会话寿命 (6) 4.2.4使用SSL 保护会话身份验证Cookie (6) 4.2.5确保用户没有绕过检查 (6) 4.2.6验证从客户端发送的所有数据 (7) 4.2.7不要向客户端泄漏信息 (7) 4.2.8记录详细的错误信息 (7) 4.2.9捕捉异常 (7) 4.2.10不要信任HTTP 头信息 (7) 4.2.11不要使用HTTP-GET 协议传递敏感数据 (7) 4.2.12不要在永久性cookie 中存储敏感数据 (7) 4.2.13对数据进行加密或确保通信通道的安全 (8) 4.2.14SQL 语句的参数应以变量形式传入 (8) 4.2.15页面中的非源代码内容应经过URI 编码 (8) 4.2.16页面中拼装的脚本应校验元素来源的合法性 (8) 4.2.17页面请求处理应校验参数的最大长度 (8) 4.2.18登录失败信息错误提示应一致 (9) 4.2.19避免页面上传任意扩展名的文件 (9) 4.2.20避免接受页面中的主机磁盘路径信息 (9) 4.2.21第三方产品的合法性 (9) 5系统部署安全规范 (9) 5.1部署架构和安全 (9) 5.1.1网络基础结构组件 (10)
Web应用安全基线要点
Web应用安全配置基线
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章身份与访问控制 (6) 2.1账户锁定策略 (6) 2.2登录用图片验证码 (6) 2.3口令传输 (6) 2.4保存登录功能 (7) 2.5纵向访问控制 (7) 2.6横向访问控制 (7) 2.7敏感资源的访问 (8) 第3章会话管理 (9) 3.1会话超时 (9) 3.2会话终止 (9) 3.3会话标识 (9) 3.4会话标识复用 (10) 第4章代码质量 (11) 4.1防范跨站脚本攻击 (11) 4.2防范SQL注入攻击 (11) 4.3防止路径遍历攻击 (11) 4.4防止命令注入攻击 (12) 4.5防止其他常见的注入攻击 (12) 4.6防止下载敏感资源文件 (13) 4.7防止上传后门脚本 (13) 4.8保证多线程安全 (13) 4.9保证释放资源 (14) 第5章内容管理 (15) 5.1加密存储敏感信息 (15) 5.2避免泄露敏感技术细节 (15) 第6章防钓鱼与防垃圾邮件 (16) 6.1防钓鱼 (16) 6.2防垃圾邮件 (16) 第7章密码算法 (17) 7.1安全算法 (17)
7.2密钥管理 (17) 第8章评审与修订 (18)
第1章概述 1.1 目的 本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。 1.3 适用版本 基于B/S架构的Web应用 1.4 实施 1.5 例外条款