ImageVerifierCode 换一换
格式:PPT , 页数:50 ,大小:973KB ,
资源ID:10299016      下载积分:14 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/10299016.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(Web应用渗透技术.ppt)为本站上传会员【精****】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

Web应用渗透技术.ppt

1、单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,*,Web应用渗透技术,Outline,Web,应用渗透技术基础,Web,应用漏洞扫描探测,Web,应用程序渗透测试,总结,2,Web,应用渗透技术基础,什么是渗透测试,Web,应用渗透测试,OWASP Web,漏洞,TOP 10,近期,Web,应用攻击典型案例,渗透测试工具简介,3,什么是渗透测试,A,penetration test(pentest),is a method of evaluating computer

2、 and network security by,simulating an attack,on a computer system or network from external and internal threats*.,4,什么是渗透测试,Penetration tests are valuable for several reasons,*,:,Identifying higher-risk vulnerabilities that result from a,combination of lower-risk vulnerabilities,exploited in a part

3、icular sequence,Identifying vulnerabilities that may be,difficult or impossible to detect,with automated network or application vulnerability scanning software,Assessing the magnitude of,potential business and operational impacts,of successful attacks,Testing the ability of network defenders to,succ

4、essfully detect and respond,to the attacks,5,Web,应用渗透技术基础,什么是渗透测试,Web,应用渗透测试,OWASP Web,漏洞,TOP 10,近期,Web,应用攻击典型案例,渗透测试工具简介,6,典型的网络组织方式,Web is everywhere.,一个组织或公司提供对外的门户网站,7,Web,应用程序体系结构,8,Web,应用渗透技术基础,什么是渗透测试,Web,应用渗透测试,OWASP Web,漏洞,TOP 10,近期,Web,应用攻击典型案例,渗透测试工具简介,9,OWASP Web,漏洞,TOP 10,The Open Web A

5、pplication Security Project,(OWASP)is a worldwide not-for-profit charitable organization focused on improving the security of software.,OWASP Top Ten,:The goal of the Top 10 project is to raise awareness about application security by identifying some of the most critical risks facing organizations.,

6、10,OWASP Top Ten,SQL,注入攻击(,SQL Injection,SQLi,),:指发生在,Web,应用对后台数据库查询语句处理存在的安全漏洞。简单地说,就是在输入字符串中嵌入,SQL,指令,在设计程序中忽略了对特殊字符串的检查,嵌入的指令便会被误认为正常的,SQL,指令。,跨站脚本(,Cross-Site Scripting,XSS,),:恶意使用者将程序代码(恶意脚本)注入到网页上,其他使用者在浏览网页时就会受到不同程度的影响。,跨站伪造请求(,Cross-Site Request Forgery,CSRF,),:,属于,XSS,的衍生。攻击者利用,XSS,的注入方式注入一

7、段脚本,当受害者点击浏览器运行该脚本时,脚本伪造受害者发送了一个合法请求。,11,OWASP Top Ten,会话认证管理缺陷(,Broken Authentication and Session Management,BASM,),:,首次传送,Cookie,后,便不对,Cookie,中的内容进行检查,攻击者便可修改,Cookie,中的重要信息,用来提升权限,或是冒用他人账号获取私密资料。,安全误配置(,Security Misconfiguration,),:存在于,Web,应用的各层次,譬如,Web,平台、,Web,服务器、应用服务器、程序代码等。,不安全的密码存储(,Insecure

8、Cryptographic Storage,),不安全的对象参考(,Insecure Direct Object References,),:利用,Web,系统本身的文档读取功能,任意存取系统文档或资料。,12,补充知识:,cookie,HTTP,协议是无状态的。网站为了辨别用户身份而储存在用户本地终端(,Client Side,)上的数据(通常经过简单加密)。,应用范围:保存购物信息、登录凭据等。,Cookie,总是保存在客户端中,按在客户端中的存储位置,可分为内存,Cookie,和硬盘,Cookie,。,13,OWASP Top Ten,限制,URL,访问失败(,Failure to Re

9、strict URL Access,),:,例如内部员工使用的未公开,URL,泄露。,缺乏传输层保护(,Insufficient Transport Layer Protection,):,没有对传输层使用,SSL/TLS,等保护机制。过期或不正确的证书;后台数据库通信业存在类似问题。,未验证的重定向(,Unvalidated Redirects and Forwards,),:攻击者一般会通过未验证重定向页面诱使受害者点击,从而获取密码或其他敏感数据。,例如:,Top 10 2013,A1 Injection,A2 Broken Authentication and Session Mana

10、gement,A3 Cross-Site Scripting(XSS),A4 Insecure Direct Object References,A5 Security Misconfiguration,A6 Sensitive Data Exposure,A7 Missing Function Level Access Control,A8 Cross-Site Request Forgery(CSRF),A9 Using Components with Known Vulnerabilities,A10 Unvalidated Redirects and Forwards,15,Web,应

11、用渗透技术基础,什么是渗透测试,Web,应用渗透测试,OWASP Web,漏洞,TOP 10,近期,Web,应用攻击典型案例,渗透测试工具简介,16,SONY,黑客攻击案,2011,年,4,月,17-4,月,19,日,,sony,旗下著名游戏机,PS3,网络(,Playstation Network,,,PSN,)遭到攻击。,7,千万,PSN,和,Qriocity,音乐服务的用户个人信息被盗走。,消息发布后,,SONY,在线娱乐系统的服务器也被攻击。,2460,万用户信息,包括,12700,张非美国本土信用卡号、到账日期、支付记录。,此次对,PSN,网络机器相关服务的攻击泄露了从过,1,亿用户

12、数据,,一千多万张信用卡信息,,迫使索尼关闭,PSN,等网络,聘请了数家计算机安全公司调查攻击,重建安全系统,进行游戏用户赔偿等,造成损失达到,几亿美圆,,更不必说股价下跌、信用丧失等隐性损失。,17,SONY,黑客攻击案,LulzSec,组织不但宣称对某些攻击负责,而且公布了攻击过程、数据库信息甚至网站源码。声称利用,SQL,注入攻击,获得了,、,sonybmg.nl,和,sonybmg.be,的数据库信息。含,100,万索尼美国、荷兰和比利时客户个人信息,包括明文存储的密码、电子邮件、家庭地址等。,Anonymous,组织和,LulzSec,组织在此次攻击中使用了,SQL,注入、本地文件包

13、含漏洞利用,以及利用僵尸网络发动,DDoS,攻击。,原因可能是由于,PSN,所用的,RedHat,系统中的,Apache,服务器,没有及时升级安全补丁,是黑客成功入侵到内网。另外用户口令以明文或简单的,Hash,存储。,18,CSDN,数据泄露门,2011,年年底,国内各大网站爆出“口令泄露门”。最先公布的是著名技术网站,CSDN 600,万账户和口令泄露事件,网站由于存在,SQL,注入漏洞被攻击者利用并下载用户数据库。,网站对用户的口令竟然是,明文存储,,由于用户习惯使用同一用户名和口令注册各种网站,导致用户口令一旦泄露,所有账户被“,一网打尽,”。,此后不久,多玩网、世纪佳缘、人人等网站相

14、机爆发类似“拖库”事件,后来直接导致京东、当当等电商发生了“撞库”事件,攻击者利用先前网站泄露的数据编写程序进行大量匹配,查找有余额的账户进行消费,直接导致当当网迅速关闭买礼品卡充值账户功能。,19,Web,应用渗透技术基础,什么是渗透测试,Web,应用渗透测试,OWASP Web,漏洞,TOP 10,近期,Web,应用攻击典型案例,Web,渗透测试工具简介,20,Web,渗透测试工具简介,OWAS BWA(Broken Web Application),靶机,Metasploit,项目,由著名的黑客,HD Moore,于,2003,年开始开发,最早作为一个渗透攻击代码的继承软件包而发布。现在

15、的,Metasploit,框架,中集成了数千个针对主流操作系统平台上,不同网络服务与应用软件安全漏洞的渗透攻击模块,可以由用户在渗透攻击场合中根据漏洞扫描结果进行选择,并且能够自由装配该平台上适用的具有指定功能的攻击载荷,对目标系统实施远程攻击并获取系统的访问控制权。,Backtrack,和,Kali Linux,:,BackTrack,是一个基于,UbuntuGNU/Linux,的发行版本,主要用做数字取证和入侵测试。,BackTrack,给用户,集成,了大量功能强大但简单易用的安全工具软件。,Kali Linux 1.0,于,2013,年,3,月发布,是,Backtrack,的下一代版本。

16、21,Outline,Web,应用渗透技术基础,Web,应用漏洞扫描探测,Web,应用程序渗透测试,总结,22,Web,应用漏洞扫描探测,OpenVAS,(,Open Vulnerability Assessment System,),:,a open-source framework of several services and tools offering a vulnerability scanning and vulnerability management solution.,简介对滇西开发网,web server,的扫描结果,W3af,:,an open-source web

17、application security scanner.The project provides a vulnerability scanner and exploitation tool for Web applications.,简介对滇西开发网,web server,的扫描结果,23,Outline,Web,应用渗透技术基础,Web,应用漏洞扫描探测,Web,应用程序渗透测试,总结,24,Web,应用程序渗透测试,SQL,注入实例分析,XSS,跨站脚本攻击实例分析,跨站点请求伪造,命令注入实例分析,25,SQL,注入攻击,“,SQL,注入”指的是向某个,Web,应用程序输入一个精心构造

18、的,SQL,查询命令以执行某种非正常操作。,SQL,查询命令的语义很容易改变,只要在关键位置增加或者减少一个字符,就足以让原本无害的查询命令产生相当有害的行为。在“,SQL,注入”攻击活动中,用来构造恶意输入内容的常见字符包括反引号(,)、双连字符(,-,)和分号(,;,)等,它们在,SQL,语言里都有着特殊含义。,对于入门级黑客,这种攻击往往能让他们在未经授权的情况下访问到某些敏感的数据;而精通此道的高级黑客甚至能在绕过身份验证机制之后完全掌握,Web,服务器或后端,SQL,系统的控制权。,26,“,SQL,注入”攻击示例,27,SQL,注入攻击演示,访问网站,OR 1,,,Password

19、字段注入:,test OR 1,后台验证,SQL,变为:,SELECT*FROM users WHERE username=admin OR 1 AND password=test OR 1,使用,OWASP BWA,靶机的,DVWA,应用程序演示如何获取后台数据库更多的信息。,输入文件“,XSS&SQLi.txt,”中的脚本。,28,假设后台的查询语句是这样设置的:,Select,列,from,表,where ID=?,因此如果输入,or 1=1,,数据表的每一列都将显示出来。,查询,INFORMATION_SCHEMA,系统表:,UNION SELECT 1,table_name fro

20、m INFORMATION_SCHEMA.tables-,,发现,users,表。,列出,user,表的内容:,UNION SELECT 1,column_name from INFORMATION_SCHEMA.columns where table_name=users-,,发现,password,列。,取得口令的,MD5,值:,UNION SELECT NULL,password from users-,SQL,注入攻击演示,29,使用,concat(),函数将所有的信息都列出来:,UNION SELECT password,concat(first_name,last_name,use

21、r)from users-,使用,sqlmap,获取口令明文。,MD5 Hash,值也可以在线查询:,例如上面我们通过,SQL,注入攻击拿到了,admin,账户口令的,MD5 Hash,值为“,21232f297a57a5a743894a0e4a801fc3,”,,我们通过上网查询,可以得到对应的口名明文。,SQL,注入攻击演示,30,防范对策,使用绑定变量(参数化查询),:只是用绑定变量来传递不同的参数到语句中。,对来自客户端的所有输入都要执行严格的输入验证,:编程箴言“限制、拒绝和净化”,实施默认的错误处理,:为所有错误使用一个通用的错误消息。,锁定,ODBC,:禁止给客户端发送消息。,锁

22、定数据库服务器配置,:指定用户、角色和权限。,使用纲领性框架,:诸如,Hibernate,或,LINQ,之类的工具鼓励你去使用绑定变量,31,Web,应用程序渗透测试,SQL,注入实例分析,XSS,跨站脚本攻击实例分析,跨站点请求伪造,命令注入实例分析,32,跨站,脚本,(,XSS,)攻击,XSS,攻击通常也发生在,Web,应用程序对输入输出检查不充分的时候。但与其他攻击手段不同的是,,XSS,攻击的目标通常不是,Web,应用程序本身,而是,使用,这个带漏洞的,Web,应用程序的另一名用户。,恶意,用户,A,把一条包含着恶意代码的消息发布到了,Web,应用程序,guestbook,里,当用户,

23、B,去查看这条消息时,用户,B,的浏览器将试图解释并执行那段恶意代码,,使得,A,具有了能够完全控制,B,系统的可能,。,XSS,攻击可导致帐户,/,会话被盗用、,cookie,被盗、企业的品牌形象被误导或诋毁等。利用,XSS,漏洞最常见的攻击是窃取一般情况下无法为外人所得的用户的会话,cookie,。但是最近的攻击已经变得更加恶意,比如通过社交网路传播蠕虫,更严重的是,会利用恶意软件感染受害者电脑。,33,常见的,XSS,恶意输入,34,XSS,攻击分类,反射式,XSS,攻击,存储式,XSS,攻击,35,反射式,XSS,攻击,Alice,经常浏览某个网站,此网站为,Bob,所拥有。在,Bob

24、的网站上,,Alice,使用用户名,/,密码进行登录,并存储敏感信息,(,比如银行帐户信息,),。,Charlie,发现,Bob,的站点包含反射性的,XSS,漏洞。,Charlie,编写一个利用漏洞的,URL,,并将其冒充为来自,Bob,的邮件发送给,Alice,。,Alice,在登录到,Bob,的站点之后,浏览,Charlie,提供的,URL,。,嵌入到,URL,中的恶意脚本在,Alice,的浏览器中执行,就像它直接来自,Bob,的服务器一样。此脚本盗窃敏感信息,(,授权、信用卡、帐号信息等,),,然后在,Alice,完全不知情的情况下将这些信息发送给,Charlie,。,36,访问,OW

25、ASP BWA,靶机来演示,OWASP Broken Web Applications Project,OWASP BWA,靶机虚拟镜像*,Vulnerable Web Application,),XSS reflected,输入,(,1,),alert(Have funs),(,2,),alert(document.cookie),37,存储式,XSS,攻击,该类型是应用最为广泛而且有可能影响到,Web,服务器自身安全的漏洞,骇客将攻击脚本上传到,Web,服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了,Web,服务器的管理员。,Bob,拥有一个,Web,站点,该站点允许

26、用户发布信息,/,浏览已发布的信息。,Charlie,注意到,Bob,的站点具有存储式,XSS,漏洞。,Charlie,发布一个热点信息,吸引其它用户纷纷阅读。,Bob,或者是任何的其他人如,Alice,浏览该信息,其会话,cookies,或者其它信息将被,Charlie,盗走。,38,使用,OWASP BWA,的,Multillidae,应用程序演示,访问,Mutillidae,的,Cross Site Scripting(XSS),输入:,xss.js,的内容如下:,document.write(This is remote text via xss.js located at ha.ck

27、ers.org +document.cookie);,alert(This is remote text via xss.js located at ha.ckers.org +document.cookie);,访问,OWASP BWA,靶机来演示,39,防范对策,过滤输入参数中的特殊字符:禁止,让,Web,应用程序的接受输入数据里包含以下字符:,()#&,。,对输出进行,HTML,编码,如果你的应用程序设置了,cookie,,使用微软的,HTTPOnly cookie,。,定期,分析你的,Web,应用程序,40,Web,应用程序渗透测试,SQL,注入实例分析,XSS,跨站脚本攻击实例分析,

28、跨站点请求伪造,命令注入实例分析,41,跨站点请求伪造,CSRF,(,Cross-Site Request Forgery,):网页应用程序为用户提供持久的认证会话(例如:,Cookie,),因此,它们不需要每请求一个页面便进行一次验证。但是如果攻击者能诱使用户向网站提交一个请求,他便可以利用持久的会话来假冒受害者执行各种操作。,不良后果:用户账户口令会被更改、资金会被转移、商品会被订购等。,42,CSRF,攻击示例,攻击者嵌入一个图像标签到一个网页中。并把网页上传到一个在线论坛。,图像标签如下:,当受害者加载该网页时,其浏览器提交,GET,请求以后去获取“图像”,但却是在目标网站上执行恶意操

29、作。,43,防范措施,阻止,CSRF,漏洞的关键在于如何将进入的请求绑定到经认证的会话上。,Web,应用程序应该插入随机值,绑定到指定用户的会话,每一次用户要执行一个非常危险的操作时,都要求其进行重新认证。,44,Web,应用程序渗透测试,SQL,注入实例分析,XSS,跨站脚本攻击实例分析,跨站点请求伪造,命令注入实例分析,45,命令注入实例分析,能够使攻击者执行原,Web,应用不能够执行的命令,当然命令执行的权限和被注入的,Web,服务进程的权限相同。,DVSS,网站的安全论坛尽管使用了一个很新的,Wordpress,系统版本,但它安装了,zingiri-web-shop,这个含有命令注入漏

30、洞的插件。,演示,46,防范措施,跟,SQL,注入类似,由于,Web,应用缺乏对输入数据的验证和过滤。,47,Outline,Web,应用渗透技术基础,Web,应用漏洞扫描探测,Web,应用程序渗透测试,总结,48,总 结,随着在线世界已经融入到我们的生活中,,Web,攻击对于全球经济的威胁也变得越来越明显和越来越大。,遵守一些简单的原则就可以化解这种风险。,及时打好补丁并采用最安全的配置。,对所有的用户输入和输出进行检查,。,一定要定期对自行开发的,Web,应用程序进行审计。,自行开发的软件代码要靠自己来维护,没有软件商会为它们提供升级和补丁!,49,推荐书籍,黑客大曝光(第七版),,Stuart McClure,、,Joel Scambray,George Kurtz,著,赵军、张云春、陈红松等译,清华大学出版社。,Metasploit,渗透测试指南,,David Kennedy,,,Jimmy OGorman,等著,诸葛建伟等译,电子工业出版社。,Metasploit,渗透测试魔鬼训练营,诸葛建伟、陈力波等著。,50,

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服