Web与数据库安全管理
中国信息安全测评中心
一.Web应用安全基础
1.Web应用介绍
2.HTTP协议
3.Web应用主要安全
威胁二.数据库安全
1.数据库相关介绍
2.数据库安全标准
3.数据库面临哪些安全威胁
4.如何保护数据库安全
1.web应用介绍
2.HTTP协议
3.Web应用主要安全威胁
什么是web应用程序
A web application or web service is a software application that is accessible using a web browser or HTTP(s) user agent.
Web应用程序或web服务是一个通过浏览器或HTTP agent来访问的软件程序
Web应用程序
典型web应用
电子商务
?网上银行
?网上商户
?网上支付
电子政务
?信息门户,办公OA,政府采购,电子公文,网上审批,决策支持,协同办公,十二金
典型Web 应用系统架构Web 服务器数据库
数据库
Web 应用
Web 应用Web 应用Web 应用HTTP 请求
(明文或
SSL )
HTTP 响应
(HTML 、
JavaScript ,
VBScript 等)插件:?Perl ?C/C++?JSP 等数据库连接:?ADO,?ODBC 等
SQL 数据库?Apache ?IIS
?Netscape
等防火墙
Web
客户端
Web应用组成 客户端
?浏览器
?HTTP agent
HTTP协议
Web服务器
中间件服务器
数据库服务器
HTML
Javascript
浏览器扩展(activex)
目录
1.web应用介绍
2.HTTP协议
3.Web应用主要安全威胁
HTTP协议
目录
1.web应用介绍
2.HTTP协议
3.Web应用主要安全威胁
web应用安全威胁
神话:“我们的网站是安全的”
“我们使用了网络扫描工具”
?网络扫描工具不懂应用,不能彻底提高web应用安全性
“我们已经使用了防火墙”
?为了保证正常访问,80和443商品始终要开放
“我们使用了SSL加密数据”
?仅仅保护了交互数据,并没有保护web应用本身 “我们每个季度都进行渗透测试”
?应用在不断的变更之中
web应用安全在哪?(WASC)
OWASP top 10十大安全威胁
1.跨站脚本攻击(XSS)
2.注入缺陷
a)SQL注入, XPATH注入…
3.恶意文件执行(远程文件包含)
4.不安全的直接对象引用(Parameter tampering)
5.跨站请求伪造(CSRF)
6.信息泄露和错误处理不当
7.身份验证和会话管理缺陷
8.不安全的加密存储
9.通信安全
10.验证绕过
跨站脚本攻击
“XSS flaws occur whenever an application takes user supplied data and sends it to a web browser without first
validating or encoding that content. XSS allows attackers to execute script in the victim's browser which can hijack user sessions, deface web sites, possibly introduce worms, etc.”
Web应用把用户输入的未经过滤或编码的数据直接发送给浏览器。XSS会导致攻击者在受害者的浏览器中执行脚本程序,这些脚本程序可以劫持用户的会话、修改网页甚至传播蠕虫。
JavaScript, VBScript, ActiveX, HTML, or Flash都可以注入到存在漏洞的web应用
?网页挂马
?钓鱼攻击