注册渗透测试工程师认证CISP-PTE培训-.WEB安全简介.pptx

1、1.WEB安全简介 目录 应用安全现状分析 基础术语 渗透测试定义 渗透测试过程环节 OWASP TOP 10 应用安全现状分析 应用安全现状分析 Web已经在企业信息化、电子商务、电子政务中等得到广泛的应用，Web 的迅速发展同时，也带来了众多的安全威胁。 网络攻击重心已转向应用层， Web已成为黑客首选攻击目标， 针对Web的 攻击和破坏不断增长，据高盛统计数据表明，75%的攻击是针对Web应用的。 然而，对于Web应用安全是领域，很多企业还没有充分的认识、没有做好 准备；许多开发人员也没有相应的经验，这给了黑客可乘之机。 CNCERT数据统计 CNCERT数据统计 CNCERT数据统计

2、应用安全现状分析 12月21日:CSDN 640W用户帐户，密码，邮箱遭到黑客泄露 12月22日:中国各大知名网站全面沦陷涉及范围甚广,泄露信息涉及用户相关业务甚多 一场席卷全中国的密码安全问题爆发了 12月23日:经过确认 CSDN 、多玩 泄露 梦幻西游帐户通过木马泄露 人人网部分泄露 12月23日:网友爆料 天涯沦陷.7K7K包中包含天涯帐户密码!互联网安全何在? 12月24日:178沦陷 UUU9沦陷 事态蔓延.(已通知厂商.) 12月24日 15:30:天涯全面沦陷 泄露多达900W帐户信息. 12月24日 17:00:网易土木在线也沦陷，数据量惊人. 12月25日:百度疑因帐号开放

3、平台泄露帐户信息. 12月25日:北京麒麟网信息科技有限公司疑泄露百度与PPLive帐户与密码.并且自身帐户信 息全部泄露.(已通知厂商.) 12月25日:UUU9.COM被黑客两次拖库(已通知厂商.) 12月25日:网络流传腾讯数据库泄露! 12月25日:事态升级天涯疑泄露4000W用户资料 12月25日:178第二次被拖库泄露数据110W条 12月25日:木蚂蚁被爆加密密文用户数据,约13W数据(已通知厂商,厂商已做修复中.) 12月25日 23:32:知名婚恋网站5261302条帐户信息证实.(已通知厂商,厂商已做技术屏蔽.) 2011年12月开始各大平台论坛信息泄露 应用安全现状分析

4、应用安全现状分析 包含的用户个人信息被大量滥用,甚至公 开售卖,也 是个人信息泄露的重要原因之一。传统社会中的 姓 名、身份证号、电话等信息的真实性极高,被黑客广 泛用来实 施欺诈和社会工程学攻击,给现有社会信任 机制带来严重挑战。 保险订单 航班订单 网购订单 快递物流单据 应用安全现状分析 应用安全现状分析 2013.7.17爆出Java Web框架 Struts 2的 远程命令执行漏洞 利用这个漏洞可以上传后门，黑掉一个网站 或者是盗取用户数据。因为使用Struts 2开 发的网站非常多，包括很多大网站，所以这 个漏洞影响面非常广。Struts已经不是第一 次出这种漏洞了，但维护者的安全

5、意识非常 薄弱，经常漠视或者不正确的处理安全问 题。 当天下午整个中国的黑客圈像疯了一样开始 利用这个漏洞黑网站，下面这几张图是部分 白帽子检测了一些大网站后提交到乌云平台 的报告，大家可以感受一下。 应用安全现状分析 常见Web攻击动机 恶作剧； 关闭Web站点，拒绝正常服务； 篡改Web网页，损害企业名誉； 免费浏览收费内容； 盗窃用户隐私信息，例如Email； 以用户身份登录执行非法操作，从而获取暴利； 以此为跳板攻击企业内网其他系统； 网页挂木马，攻击访问网页的特定用户群； 仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文 件，要求用户汇款等； 应用安全现状分析 入侵企业

6、 服务器 出售 收费传播流 氓软件 获取 金钱 拒绝服务攻 击 发送垃圾邮 件 盗取网上银行账户 组建僵尸网络 主动攻击勒 索网站 受雇攻击收 取佣金 批量入侵 门户网站 盗取虚拟财产 窃取机密信息( 图纸、财务报表 等） 盗取个人信息 盗取证券交易账户 出售 洗钱 基础术语 基础术语 后门 webshell 0day exploit 提权 跳板 拖库 社会工程学 apt攻击 主流的攻击手段 主流攻击手段：基于应用层 弱口令攻 击 配置缺陷 应用漏洞 SQL注入 /XSS/CS RF/等等 主流的攻击手段 Ddos攻 击 远程溢出 攻击 ARP欺骗 攻击 木马及蠕 虫病毒 主流攻的击手段：基于

7、网络层和主机层 渗透测试定义 渗透测试的分类 什么是渗透测试？ 渗透测试的分类 渗透测试的三大类： 黑盒测试（Black-box Testing） 白盒测试（White-box Testing） 灰盒测试（Grey-box Testing） 渗透测试过程环节 渗透测试过程环节 PTES渗透测试执行标准 由安全业界多家领军企业技术专家公共发起，为企业组织与安全服务提供商设计并制定用 来实施渗透测试的通用描述准则。 核心理念是通过建立起进行渗透测试所要求的基本准则基线，来定义一次真正的渗透测试 过程，并得到安全业界的广泛认同。 渗透测试过程环节（七大步） 前期交互阶段 情报收集阶段 威胁建模阶段

8、漏洞分析阶段 渗透攻击阶段 后渗透攻击阶段POST 报告阶段 OWASP TOP 10 OWASP Top Ten OWASP十大WEB应用安全威胁项目 开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有 成本效益的信息。 针对目前最普遍的web应用层，为安全测试人员和开发者提供了如何识别与避免 这些安全威胁的指南。 OWASP Top Ten 注入攻击漏洞，例如SQL，OS 以及LDAP注入。这些攻击发生在当不可信的数据作为命令 或者查询语句的一部分，被发送给解释器

9、的时候。攻击者发送的恶意数据可以欺骗解释器， 以执行计划外的命令或者在未被恰当授权时访问数据。 A1-注入 与身份认证和会话管理相关的应用程序功能往往得不到正确的实现，这就导致了攻击者破坏 密码、密匙、会话令牌或攻击其他的漏洞去冒充其他用户的身份。 A2-失效的身份认证和会话管理 当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给 一个网页浏览器，这就会产生跨站脚本攻击（简称XSS）。XS允许攻击者在受害者的浏览器 上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。 A3-跨站脚本（XSS） 当开发人员暴露一个对内部实现对象的引用时，例如，一个文件

10、、目录或者数据库密匙，就 会产生一个不安全的直接对象引用。在没有访问控制检测或其他保护时，攻击者会操控这些 引用去访问未授权数据。 A4-不安全的直接对象引用 OWASP Top Ten 好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义 和执行安全配置。由于许多设置的默认值并不是安全的，因此，必须定义、实施和维护这些 设置。这包含了对所有的软件保持及时地更新，包括所有应用程序的库文件。 A5-安全配置错误 许多Web应用程序没有正确保护敏感数据，如信用卡，税务ID和身份验证凭据。攻击者可 能会窃取或篡改这些弱保护的数据以进行信用卡诈骗、身份窃取，或其他犯罪。敏

11、感数据值 需额外的保护，比如在存放或在传输过程中的加密，以及在与浏览器交换时进行特殊的预防 措施。 A6-敏感信息泄露 大多数Web应用程序在功能在UI中可见以前，验证功能级别的访问权限。但是，应用程序需 要在每个功能被访问时在服务器端执行相同的访问控制检查。如果请求没有被验证，攻击者 能够伪造请求以在未经适当授权时访问功能。 A7-功能级访问控制缺失 一个跨站请求伪造攻击迫使登录用户的浏览器将伪造的HTTP请求，包括该用户的会话 cookie和其他认证信息，发送到一个存在漏洞的web应用程序。这就允许了攻击者迫使用户 浏览器向存在漏洞的应用程序发送请求，而这些请求会被应用程序认为是用户的合法请求。 A8-跨站请求伪造（CSRF） OWASP Top Ten 组件，比如：库文件、框架和其它软件模块，几乎总是以全部的权限运行。如果一个带有漏 洞的组件被利用，这种攻击可以造成更为严重的数据丢失或服务器接管。应用程序使用带有 已知漏洞的组件会破坏应用程序防御系统，并使一系列可能的攻击和影响成为可能。 A9-使用含有已知漏洞的组件 Web应用程序经常将用户重定向和转发到其他网页和网站，并且利用不可信的数据去判定目 的页面。如果没有得到适当验证，攻击者可以重定向受害用户到钓鱼软件或恶意网站，或者 使用转发去访问未授权的页面。 A10-未验证的重定向和转发