Web的攻击与防御技术分析.ppt

第七章 WEB 攻击与防御 1 目录?Web 安全的兴起?Web 安全风险的表现?为什么会产什么 web 安全风险?常见的 web 安全攻击技术?web 安全防御技术 2 Web 安全的兴起在早期的互联网中, web 并非主流的互联网应用,相对来说,基于 SMTP 、POP3 、FTP 、IRC 等协议的用户拥有绝大多数用户,因此黑客们攻击的主要目标是网络、操作系统以及软件等领域, web 安全领域的攻击预防与技术均处于非常原始的阶段。随着时代的发展,运营商和防火墙对网络的封锁使得暴漏在网络上的非 web 服务越来越少,且 web 技术的成熟使得 web 应用的功能越来越强大,最终成为互联网的主流,而黑客的目光也逐渐转移到 web 上,随之而来的就是 web 安全的问题。 3 Web 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限 4 Web 安全的兴起伴随着, 的兴起, XSS 、CSRF (跨站点请求伪造)等攻击已经变得更为强大, web 攻击的思路也从服务器端转向了客户端,转向了浏览器和用户。“魔高一尺道高一丈”,互联网发展到今天对 web 安全的要求也是越来越高,越来越复杂。 5 Web 安全的兴起 SQL 注入的出现是 web 安全史上的一个重要里程碑,黑客们发现通过 SQL 注入攻击,可以获取更多的重要敏感数据,甚至能够通过数据库获取系统访问权限,这种效果并不比直接攻击系统软件差。 XSS (跨站脚本攻击)的出现则是 web 安全史上的另外一个里程碑,实际上 XSS 出现时和 SQL 注入差不多,真正引起人们重视则是在 03年以后,在经历了 MySpace 的XSS 蠕虫事件后, XSS 的重视程度提高了很多。 6 Web 安全的定义黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。 7 什么是 web 安全风险呢? 8某银行网站篡改 9 敏感数据泄密泄密 10