××Web应用安全解决方案
一、应用安全需求
1.针对Web的攻击
现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开W eb应用。W eb应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。
网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,W eb 安全性已经提高一个空前的高度。
然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对W eb 应用的攻击上,他们针对W eb网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在W eb应用而非网络层面上。同时,数据也显示,三分之二的W eb站点都相当脆弱,易受攻击。
另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用W eb应用系统、网页臵换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的W eb端口都必须处于开放状态。”
目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换W eb网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
2.Web安全防范
在W eb应用的各个层面,都会使用不同的技术来确保安全性,如图示1所示。为了保证用户数据传输到企业W eb服务器的传输安全,通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问,所有不必要暴露的端口和非法的访问,在这里都会被阻止。
图示 1 Web应用的安全防护
但是,即便有防火墙和IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟W eb 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是W eb应用必须的80 和443端口,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏W eb 应用中的重要信息。
然而我们看到的现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证W eb 应用本身的安全,给黑客以可乘之机。如图示3所示,在目前安全投资中,只有10%花在了如何防护应用安全漏洞,而这却是75%的攻击来源。正是这种投资的错位也是造成当前W eb
站点频频被攻陷的一个重要因素。
图示 2 安全风险和投资
3.Web漏洞
Web应用系统有着其固有的开发特点:经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致W eb应用出现了很多的漏洞。另外,管理员对W eb服务器的配臵不当也会造成很多漏洞。
目前常用的针对W eb服务器和W eb应用漏洞的攻击已经多达几百种,常见的攻击手段包括:注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括:非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等。
二、产品概况
1.iGuard网页防篡改系统
iGuard网页防篡改系统采用先进的W eb服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于W eb服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于W eb的攻击和篡改,彻底解决网页防篡改问题。
iGuard的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改,即进行自动恢复,保证非法网页内容不被公众浏览。同时,iGuard 的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断。
iGuard以国家863项目技术为基础,全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全,完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用W eb方式对后台数据库的篡改。
iGuard支持所有主流的操作系统,包括:Windows、Linux、FreeBSD、Unix (Solaris、HP-UX、AIX);支持常用的W eb服务器软件,包括:IIS、Apache、SunONE、W eblogic、W ebSphere等;保护所有常用的数据库系统,包括:SQL Server、Oracle、MySQL、Access等。
2.iWall应用防火墙
iW all应用防火墙(Web应用防护系统)是一款保护W eb站点和应用免受来自于应用层攻击的W eb防护系统。
iW all应用防火墙实现了对W eb站点特别是Web应用的保护。它内臵于W eb
服务器软件中,通过分析应用层的用户请求数据(如URL、参数、链接、Cookie 等),区分正常用户访问W eb和攻击者的恶意行为,对攻击行为进行实时阻断和报警。
这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命令攻击等,黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全的目的。
iW all应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL 访问限制失效等攻击手段都着有效的防护效果。
iW all应用防火墙为软件实现,适用于所有的操作系统和W eb服务器软件,并且完全对W eb应用系统透明。
应用防火墙是现代网络安全架构的一个重要组成部分,它着重进行应用层的内容检查和安全防御,与传统安全设备共同构成全面和有效的安全防护体系。3.产品特性
1)篡改检测和恢复
iGuard支持以下篡改检测和恢复功能:
?支持安全散列检测方法;
?可检测静态页面/动态脚本/二进制实体;
?支持对注入式攻击的防护;
?网页发布同时自动更新水印值;
?网页发送时比较网页和水印值;
?支持断线/连线状态下篡改检测;
?支持连线状态下网页恢复;
?网页篡改时多种方式报警;
?网页篡改时可执行外部程序或命令;
?可以按不同容器选择待检测的网页;
?支持增强型事件触发检测技术;
?加密存放水印值数据库;
?支持各种私钥的硬件存储;
?支持使用外接安全密码算法。
2)自动发布和同步
iGuard支持以下自动发布和同步功能:
?自动检测发布服务器上文件系统任何变化;
?文件变化自动同步到多个W eb服务器;
?支持文件/目录的增加/删除/修改/更名;
?支持任何内容管理系统;
?支持虚拟目录/虚拟主机;
?支持页面包含文件;
?支持双机方式的冗余部署;
?断线后自动重联;
?上传失败后自动重试;
?使用SSL安全协议进行通信;
?保证通信过程不被篡改和不被窃听;
?通信实体使用数字证书进行身份鉴别;
?所有过程有详细的审计。
3)应用安全防护特性
1.请求特性限制
iW all可以对HTTP请求的特性进行以下过滤和限制:
?请求头检查:对HTTP报文中请求头的名字和长度进行检查。
?请求方法过滤:限制对指定HTTP请求方法的访问。
?请求地址过滤:限制对指定HTTP请求地址的访问。
?请求开始路径过滤:限制HTTP请求中的对指定开始路径地址的访
问。
?请求文件过滤:限制HTTP请求中的对指定文件的访问。
?请求文件类型过滤:限制HTTP请求中的对指定文件类型的访问。
?请求版本过滤:限制对指定HTTP版本的访问及完整性检查。
?请求客户端过滤:限制对指定HTTP客户端的访问及完整性检查。
?请求链接过滤:限制链接字段中含有的字符及完整性检查。
?鉴别类型过滤:限制对指定HTTP鉴别类型的访问。
?鉴别帐号过滤:限制对指定HTTP鉴别帐号的访问。
?内容长度过滤:限制对指定HTTP请求内容长度的访问。
?内容类型过滤:限制对指定HTTP请求内容类型的访问。
这些规则需要可以根据W eb系统的实际情况进行配臵和分站点应用。
2.请求内容限制
iW all可以对HTTP请求的内容进行以下过滤和限制:
?URL过滤:对提交的URL请求中的字符进行限制。
?请求参数过滤:对GET方法提交的参数进行检查(包括注入式攻击
和代码攻击)。
?请求数据过滤:对POST方法提交的数据进行检查(包括注入式攻击
和代码攻击)。
?Cookie过滤:对Cookie内容进行检查。
?盗链检查:对指定的文件类型进行参考域的检查。
?跨站脚本攻击检查:对指定的文件类型进行参考开始路径的检查。这些规则需要可以根据W eb系统的实际情况进行配臵和分站点应用。
3.指定站点规则
iW all可以分别为一台服务器上不同的站点制定不同的规则,站点区分的方法包括:
?不同的端口。
?不同的IP地址。
?不同的主机头名(即域名)。
4.可防范的攻击
iW all组合以上限制特性,可针对以下应用攻击进行有效防御:
?SQL数据库注入式攻击。
?脚本源代码泄露。
?非法执行系统命令。
?非法执行脚本。
?上传假冒文件。
?跨站脚本漏洞。
?不安全的本地存储。
?网站资源盗链。
?应用层拒绝服务攻击。
对这些攻击更详细的描述见本文档第6章:常见应用层攻击简介。4.iGuard标准部署
1)两台服务器
部署iGuard至少需要两台服务器:
?发布服务器:位于内网中,本身处在相对安全的环境中,其上部署
iGuard的发布服务器软件。
?Web服务器:位于公网/DMZ中,本身处在不安全的环境中,其上部
署iGuard的W eb服务器端软件。
它们之间的关系如图示1所示。
Interne
2)发布服务器
发布服务器上运行iGuard的“发布服务器软件”(Staging Server)。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。发布服务器上具有与Web服务器上的网页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化都会自动和立即地反映到W eb服务器的相应位臵上,文件/目录变更的方法可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,“发布服务器软件”将其同步到W eb服务器上。
发布服务器是部署iGuard时新增添的机器,原则需要一台独立的服务器;对于网页更新不太频繁的网站,也可以用普通PC机或者与担任其他工作的服务器共用。
发布服务器为PC服务器,其本身的硬件配臵无特定要求,操作系统可选择Windows(一般网站)或Linux(大型网站,需选加Linux企业发布模块)。3)Web服务器
Web服务器上除了原本运行的W eb服务器软件(如IIS、Apache、SunONE、
Weblogic、W ebsphere等)外,还运行有iGuard的“W eb服务器端软件”,“W eb服务器端软件”由“同步服务器”(SyncServer)和“防篡改模块”(AntiTamper)组成。
“iGuard同步服务器”负责与iGuard发布服务器通信,将发布服务器上的所有网页文件变更同步到W eb服务器本地;“iGuard防篡改模块”作为W eb 服务器软件的一个插件运行,负责对W eb请求进行检查和对网页进行完整性检查,需要对W eb服务器软件作适当配臵,以使其生效。
Web服务器是用户网站原有的机器,iGuard可适应于任何硬件和操作系统。4)内容管理系统
目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。在网站的网络拓扑中,发布服务器部署在原有的内容管理系统和Web服务器之间,图示2表明了三者之间的关系。
图示 2 标准部署图
为一个已有的W eb站点部署iGuard时,Web服务器和内容管理系统都沿用原来的机器,而需要在其间增加一台发布服务器。iGuard的自动同步机制完全与内容管理系统无关的,适合与所有的内容管理系统协同工作,而内容管理系统本身无须作任何变动。
发布服务器上具有与Web服务器上的网站文件完全相同的目录结构,任何文件/目录的变化都会自动映射到W eb服务器的相应位臵上。
网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行,变更的手段可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,发布服务器将其同步到Web服务器上。无论什么情况下,不允许直接变更W eb服务器上的页面文件。
iGuard一般情况下与内容管理系统分开部署,当然它也可以与内容管理系统部署在一台机器上,在这种情形下,iGuard还可以提供接口,与内容管理系统进行互相的功能调用,以实现整合性更强的功能。
5)集群和冗余部署
Web站点运行的稳定性是最关键的。iGuard支持所有部件的多机工作和热备:可以有多台安装了iGuard防篡改模块和同步服务软件的W eb服务器,也可以有两台安装了iGuard发布服务软件的发布服务器,如图示4所示。它实现了2Xn的同步机制(2为发布服务器,n为Web服务器),当2或n的单点失效完全不影响系统的正常运行,且在修复后自动工作。
图示 3 集群和双机部署示意图
6)Web服务器多机和集群
iGuard发布服务器支持1对多达64台W eb服务器的内容同步,这些W eb 服务器的操作系统、Web服务器系统软件、应用脚本及网页内容既可以相同也可以不同。iGuard实现了异种系统架构下对不同内容的统一管理。
当多台W eb服务器作镜像集群时,iGuard对于能够严格保证多台W eb服务器内容相同。当单台Web服务器失效时,由于W eb服务器集群前端通常有负载均衡设备,因此,它并不影响公众访问网站。同时,它的失效也不影响iGuard发布服务器向其他正常工作的W eb服务器提供内容同步。在失效期间,iGuard发布服务器会尝试连接这台W eb服务器,一旦它修复后重新工作,即可自动进行连接,并自动进行内容同步。
因此,W eb服务器的单点失效不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。
7)发布服务器双机
iGuard支持发布服务器双机协同工作,即一台主发布服务器和一台热备发布服务器。在这种部署情形下,内容管理系统(CMS)需要将内容同时发布到两台iGuard服务器上。在正常状态下,iGuard主发布服务器工作,由它对所有W eb服务器进行内容同步。显然,热备发布服务器失效不影响系统运作,一旦在它修复后可以从主发布服务器恢复数据,进入正常热备状态。主发布服务器如果失效(即不发心跳信号),热备发布服务器会接管工作,由它对所有W eb服务器进行内容同步。当主发布服务器修复后,两机同时工作,经过一段时间的数据交接时间,热备发布服务器重新进入热备状态。
因此,iGuard发布服务器的单点失效也不影响系统的完整性,并且在系统恢复时不需要对其余机器作任何手工操作。
5.iWall标准部署
iW all由以下两个模块组成:
?应用防护模块。iW all的核心防护模块,内嵌于W eb系统(W eb服务
器软件)中,与W eb服务器一起运行。
?配臵管理模块。iW all的配臵生成程序,在独立管理员机器上运行,
仅在系统管理员需要改变iW all配臵时才使用。
两者之间没有通信连接。仅通过一个配臵文件交换数据,即:配臵管理模块生成一个配臵文件,将它复制到W eb服务器上供应用防护模块使用。
它们的关系如图示5-1所示。
采取这种配臵方式的优点在于:
?避免直接在W eb服务器上修改配臵,不给黑客可乘之机。
?避免在W eb上新开管理网络端口,不增加新的安全隐患。
?在多个W eb服务器镜像时,可以快速生成统一配臵。三、“上海××”Web应用安全部署方案
1.系统现状
1)拓扑图
“上海××”网站目前的网络拓扑图如图示4所示。
图示 5 系统现状拓扑图
2)要点
?Web网站内容既有全静态站点,也有动态应用站点;
?Web服务器的操作系统为Sun Salaris;
3)安全隐患
目前这个系统在网页内容方面存在如下安全隐患:
?网页篡改:没有部署网页防篡改系统,静态网页一旦被黑客篡改,没
有检查、报警和恢复机制。
?应用防护:没有应用防护机制,容易遭受各类web攻击,例如注入
式、跨站、上传假冒文件、不安全本地存储、非法执行脚本、非法执
行系统命令、资源盗链、源代码泄漏、URL访问限制失效等。2.部署实施
1)拓扑图
“上海××”网站部署W eb应用安全产品的网络拓扑图如图示5所示。
图示6部署拓扑图
2)要点
?增加:新增一台PC服务器(iGuard发布服务器),其上部署iGuard
发布服务器软件以及iWall配臵管理模块。
?增加:在W eb服务器上部署iGuard同步服务器和防篡改模块以及
iW all应用防护模块,并开放指定端口。
?变更:CMS内容管理系统的目标发布地址由各W eb服务器改为
iGuard发布服务器。
?双机部署(可选):为避免单点失效,两台iGuard发布服务器可以
作双机部署。
3)发布流程
1) C MS内容管理系统将网页文件发布到iGuard发布服务器上。
2) i Guard发布服务器检测到文件变化,生成数字水印,将这些文件和
数字水印发布到W eb服务器上。
3) W eb服务器接收到这些文件,并将水印存放在安全数据库中。
4)防篡改流程
1) 公众浏览网页。
2) 如果是动态应用网站,防篡改模块对提交内容进行检查,如果是注入
攻击,则请求不交给Web应用处理,直接返回错误。
3) W eb服务器取得网页内容后,交给防篡改模块进行检测。
4) 防篡改模块计算出这个网页的数字水印,并与安全数据库中的数字水
印相比对。
5) 如果水印比对失败即表明当前网页已被篡改,系统通知发布服务器重
新发布网页到W eb服务器(自动恢复),同时向监管者报警。
5)安全增强
?网页防篡改:任何对Web服务器上的非法网页篡改将在网页浏览时
被检测出来,并得到实时报警和恢复。
?应用防护:各类常见针对web应用的攻击都将被即时阻止。
3.软件清单
1)基本产品
2)企业发布模块(可选)
最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明: 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。 游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。 2.HP WebInspect
目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能: ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具(HP Security Toolkit)执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner
Web安全测试——手工安全测试方法及修改建议 发表于:2017-7-17 11:47 ?作者:liqingxin ? 来源:51Testing软件测试网采编 字体:???|??|??|??|?|?推荐标签:??? 常见问题 (CrossSite Script)跨站脚本攻击 (CrossSite Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。 方法:? 在数据输入界面,添加输入:,添加成功如果弹出对话框,表明此处存在一个XSS?。 或把url请求中参数改为,如果页面弹出对话框,表明此处存在一个XSS 漏洞 修改建议: 过滤掉用户输入中的危险字符。对输入数据进行客户端和程序级的校验(如通过正则表达式等)。 Eg:对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤 与跨站脚本(XSS) CSRF与跨站脚本(XSS),是指请求迫使某个登录的向易受攻击的Web应用发送一个请求,然后以受害者的名义,为入侵者的利益进行所选择的行动。 测试方法: 同个浏览器打开两个页面,一个页面权限失效后,另一个页面是否可操作成功使用工具发送请求,在http请求头中不加入referer字段,检验返回消息的应答,应该重新定位到错误界面或者登陆界面。 修改建议: 在不同的会话中两次发送同一请求并且收到相同的响应。这显示没有任何参数是动态的(会话标识仅在cookie 中发送),因此应用程序易受到此问题攻击。因此解决的方法为 Hashing(所有表单都包含同一个伪随机值): 2. ?验证码 ‐Time Tokens(不同的表单包含一个不同的伪随机值)客户端保护措施:应用防止CSRF攻击的工具或插件。 3.注入测试
1 系统架构演化历程 -- 初始阶段架构 初始阶段的小型系统,其特征表现为应用程序、数据库、文件等所有的资源都部署在一台服务器上,我们通俗称为LAMP架构。 特征: 应用程序、数据库、文件等所有的资源都在一台服务器上。 描述: 通常服务器操作系统使用Linux,应用程序使用PHP开发,然后部署在Apache上,数据库使用MySQL,汇集各种免费开源软件以及一台廉价服务器就可以开始系统的发展之路了。 2 系统架构演化历程 -- 应用服务和数据服务分离
好景不长,发现随着系统访问量的增加,Web应用服务器器的压力在高峰期会上升到比较高,这个时候开始考虑增加一台Web应用服务器提供系统的访问效率。 特征: 应用程序、数据库、文件分别部署在独立的资源上。 描述: 数据量增加,单台服务器性能及存储空间不足,需要将应用和数据分离,并发处理能力和数据存储空间得到了很大改善。 3 系统架构演化历程 -- 使用缓存改善性能标题
特征: 数据库中访问较集中的一小部分数据存储在缓存服务器中,减少数据库的访问次数,降低数据库的访问压力。 描述: 1. 系统访问特点遵循二八定律,即80%的业务访问集中在20%的数据上; 2. 缓存分为本地缓存和远程分布式缓存,本地缓存访问速度更快但缓存数据量有限,同时存在与应用程序争用内存的情况。 4 系统架构演化历程 -- 使用应用服务器集群
在对应用系统做完分库分表工作后,数据库上的压力已经降到比较低了,又开始过着每天看着访问量暴增的幸福生活了,突然有一天,发现系统的访问又开始有变慢的趋势了,这个时候首先查看数据库,压力一切正常,之后查看Web Server,发现Apache阻塞了很多的请求,而应用服务器对每个请求也是比较快的,发现问题是由于请求数太高导致需要排队等待,响应速度变慢。 特征: 多台服务器通过负载均衡同时向外部提供服务,解决单台服务器处理能力和存储空间上限的问题。 描述: 1. 使用集群是系统解决高并发、海量数据问题的常用手段。 2. 通过向集群中追加资源,提升系统的并发处理能力,使得服务器的负载压力不再成为整个系统的瓶颈。 5 系统架构演化历程 -- 数据库读写分离
《WEB开发技术》期末考卷(A) 一、选择题(30题、每题2分、总计60分) 1、是用于创建Web应用程序的平台,此应用程序可使用IIS和.NET Framework在Windows 服务器上运行。 # 2、文件由Visual 创建,用于定义Web应用程序的配置。 A. 3、打开SQL Connection 时返回的SQL Server 错误号为4 060,该错误表示: 。 A. 连接字符串指定的服务器名称无效 B. 连接字符串指定的数据库名称无效 C. 连接超时 D. 连接字符串指定的用户名或密码错误 4、在DataSet中,若修改某一DataRow 对象的任何一列的值,该行的DataRowState 属性的值将变为。 A. B. C. D. 5、关于网页中的图像,下列说法正确的是。 A.图像由标签开始,由结束 B.图像标签的href属性用于指定图像链接的URL 属性的值是所要显示图像的URL D.以上全都是错的 6、如果希望单击超链接打开新的HTML页面,则需将target属性设为。 7、为创建在SQL Server 2000 中执行Select 语句的Command 对象,可先建立到SQL Server 2000 数据库的连接,然后使用连接对象的方法创建SqlCommand 对象。 A. CreateObject B. OpenSQL C. CreateCommand D. CreateSQL 8、为了在程序中使用ODBC .NET 数据提供程序,应在源程序工程中添加对程序集______ 的引用。 A. B. C. . D. 9、DataAdapter 对象的DeleteCommand 的属性值为null,将造成: A. 程序编译错误 B. DataAdapter 在处理DataSet 中被删除的行时,将引发异常 C. DataAdapter 在处理DataSet 中被删除的行时,这些行将被跳过不处理 D. DataAdapter 在处理DataSet 中被删除的行时,将出现对话框询问用户如何处理该行 10、下列语句的值是。 String str=”中华人民共和国”; (“人”); B.2 11、应用程序中所有页面均可以访问变量。 12、指令用于定义页面解析器和编译器所使用的特定的页面的属性。 A. @Page B. @Control C. @Import D. Register
《WEB应用程序设计与开发实训》课程标准 1.课程定位 本课程是高等职业院校计算机网络技术专业的一门专业核心课程。是学习了C语言程序设计、办公自动化应用、计算机网络基础、WEB应用程序设计与开发等课程的后续课程,其功能在于培养学生从事网站开发的职业能力,并为其就业作前期准备。 2.课程设计理念 该课程是依据计算机网络技术专业的工作任务与职业能力的程序设计工作项目设置的。其总体设计思路是,打破以知识传授为主要特征的传统学科课程模式,转变为以工作任务为中心组织课程内容,并让学生在完成具体项目的过程中学会完成相应工作任务,并构建相关理论知识,发展职业能力。课程内容突出对学生的技能训练。项目设计以学生网站设计与开发能力的培养为线索来进行。教学效果评价采取过程性评价与结果性评价相结合,重点评价学生的职业能力。 3.课程目标 通过本课程的教学,掌握WEB应用程序设计与开发的基础知识和基本技能,培养严谨务实的分析问题与解决问题能力。能胜任综合商业网站的开发工作,为就业和以后的发展奠定基础,并培养诚实、守信、坚忍不拔,善于沟通和合作的品质,为提高职业能力奠定良好的基础。 3.1知识目标 ●掌握添加文本和设置文本格式的方法 ●掌握图像和媒体在网页中的应用 ●掌握超级链接的设置方法 ●掌握表格、框架、Div对网页进行布局的方法 ●掌握CSS样式控制网页外观的方法 ●掌握使用时间轴制作动画的方法 ●掌握使用库和模板制作网页的方法
●掌握应用和修改行为的方法 ●掌握创建表单网页的方法 ●掌握用JavaScript编写脚本的方法 ●理解安装https://www.doczj.com/doc/831390412.html,应用程序运行环境; ●掌握https://www.doczj.com/doc/831390412.html,应用程序开发环境的应用; ●理解WEB窗体的概念; ●掌握WEB窗体的的代码分离技术; ●理解WEB窗体的事件驱动编程 ●了解WEB窗体的处理过程和事件; ●了解WEB窗体的文件组成; ●理解服务器控件的基本知识; ●了解服务器控件的事件模型; ●掌握在WEB窗体中添加服务器控件的方法; ●掌握标准服务器控件的语法格式、事件编程; ●理解使用用户控件的优势; ●掌握用户控件的创建和添加方法 ●了解主题的技术特点; ●掌握创建和应用主题的方法; ●了解https://www.doczj.com/doc/831390412.html,访问数据库的技术特点; ●掌握https://www.doczj.com/doc/831390412.html,中数据访问控件的使用方法 ●了解https://www.doczj.com/doc/831390412.html,应用程序用户状态; ●掌握管理https://www.doczj.com/doc/831390412.html,应用程序用户状态的方法。 3.2能力目标 ●能熟练创建本地站点并能对网页进行各种超链接 ●能对网页进行具有创意的美化 ●能对网页进行合理布局 ●能使用编程技术实现动态效果 ●能掌握网页设计与制作的相关技巧 ●能运用https://www.doczj.com/doc/831390412.html,开发工具设计、调试动态网页; ●能熟练运用WEB窗体的代码分离技术编写后台代码; ●能熟练运用WEB窗体的事件驱动编程技术开发WEB应用程序; ●能用标准WEB服务器控件制作WEB用户界面; ●能熟练运用WEB服务器控件验证用户输入的数据; ●会用https://www.doczj.com/doc/831390412.html,主题统一定制网站页面的显示格式; ●会用https://www.doczj.com/doc/831390412.html,访问数据库; ●会用https://www.doczj.com/doc/831390412.html,应用程序用户状态管理技术管理用户状态。 ●能测试和发布web应用程序。 ●能跟踪和学习并应用网页设计与制作的新知识和新技术 3.3素质目标 ●具有勤奋学习的态度,严谨求实、创新的工作作风; ●具有良好的心理素质和职业道德素质; ●具有高度责任心和良好的团队合作精神;
1.范围 本规范从应用开发安全管理要求出发,给出了WEB编码安全的具体要求。供浙江公司IT系统内部和厂商使用,适用于省市公司IT系统项目建设WEB工作。 本规范明确定义了JA V A、PHP应用开发中和WEB编码安全相关的技术细节。 与JA V A编码安全相关的内容包括:跨站脚本攻击及解决方法、SQL注入及解决方法、恶意文件执行及解决方法、不安全的直接对象引用及解决方法、跨站请求伪造及解决方法、信息泄露和错误处理不当及解决方法、残缺的认证和会话管理及解决方法、不安全的加密存储及解决方法、不安全的通信及解决方法、限制URL 访问实效解决方法。 与PHP编码安全相关的内容包括:变量滥用及解决方法、文件打开漏洞及解决方法、文件包含漏洞及解决方法、文件上传漏洞及解决方法、命令执行漏洞及解决方法、变量类型缺陷及解决方法、警告及错误信息处理解决方法、PHP与MYSQL 组合的SQL注入解决方法、跨站脚本解决方法。 2.1.规范概述 Web应用程序为结构设计人员、设计人员和开发人员提出一系列复杂的安全问题。最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。 在设计初始阶段,应该使用可靠的体系结构和设计方法,同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础结构上部署应用程序时,要不可避免地危及安全性。 本规范提供一系列安全的体系结构和设计指南,并按照常见的应用程序漏洞类别进行组织。这些指南是Web应用程序安全的重要方面,并且是经常发生错误的领域。
2.实现目标 使用本规范可以实现: 1.确定安全Web应用程序的重要体系结构和设计问题。 2.设计时考虑重要部署问题。 3.制定能增强Web应用程序输入验证的策略。 4.设计安全的身份验证和会话管理机制。 5.选择适当的授权模型。 6.实现有效的帐户管理方法,并保护用户会话。 7.对隐私、认可、防止篡改和身份验证信息进行加密。 8.防止参数操作。 9.设计审核和记录策略。 3.安全编码原则 1.程序只实现你指定的功能 2.永不要信任用户输入,对用户输入数据做有效性检查 3.必须考虑意外情况并进行处理 4.不要试图在发现错误之后继续执行 5.尽可能使用安全函数进行编程 6.小心、认真、细致地编程 4.安全背景知识 本规范主要提供设计应用程序时应该遵循的一些指南和原则。为充分理解本规范内容,请:了解应用程序将会受到的威胁,以确保通过程序设计解决这些问题。解需要考虑的威胁。在程序设计阶段应该考虑到这些威胁。 在应用程序易受攻击的重要环节应用系统的方法。将重点放在程序部署、输入验证、身份验证和授权、加密及数据敏感度、配臵、会话、异常管理以及适当的审核和记录策略上,以确保应用程序具有责任性。
Web安全之网页木马的检测与防御随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。在Web安全的攻击种类中,网页木马一直是一个不容忽视的问题。黑客把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行,从而获取用户的隐私信息。随着网页木马破坏性的增大,人们对网页木马的重视程度也在逐渐增加。 1网页木马简介 1.1网页木马的定义 网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码.类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击.网页木马一般通过HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”. 目前,学术界对网页木马尚无一个明确的、统一的定义.Wiki 将它定义为一种用户不知情的下载,发生的场景可以是用户阅览邮件、访问网站页面以及点击一个欺诈性的弹出框时,等等,该定义属于字面解释,包括的内容比较宽泛,如利用社会工程学手段欺骗用户下载也属于其涵盖范围.此外,Wiki 还用Drive-by-Install 这一术语来表示下载并安装恶意程序的过程;Google 的Provos 等人将网页木马限定为客户端在访问页面时受到攻击并导致恶意可执行文件的自动下载、执行,该定义指出了“访问页面时受到攻击”和“自动下载、自动执行恶意可执行文件”两个关键点;UCSB 的Cova 等人进一步指出,网页木马是以一段JavaScript 代码作为攻击向量的一种客户端攻击方式,而实际上,还存在一些通过CSS 元素、VBScript 脚本发起攻击的网页木马。 综上所述,网页木马定义为:一种以JavaScript,VBScript,CSS 等页面元素作为攻击向量,利用浏览器及插件中的漏洞,在客户端隐蔽地下载并执行恶意程序的基于Web 的客户端攻击。 1.2网页木马的攻击流程 网页木马采用一种被动攻击模式(即pull-based 模式):攻击者针对浏览器及插件的某个特定漏洞构造、部署好攻击页面之后,并不像发送垃圾邮件那样主动将内容推送给受害用户(即push-based 模式),而是被动地等待客户端发起的页面访问请求.其典型攻击流程如图 1 所示:1. 客户端访问攻击页面;2. 服务器做出响应,将页面内容返回给客户端;3. 页面被浏览器加载、渲染,页面中包含的攻击向量在浏览器中被执行并尝试进行漏洞利用;4,5. 存在该漏洞的客户端被攻破,进而下载、安装、执行恶意程序。
Web开发技术及其应用学习心得 从大学开始接触Web应用开发技术,但是大学里概念性的东西过强,导致学完后对于如何实际应用开发并不是很有条理。 一、何为Web应用程序 我刚开始学习的是java和C++应用程序,这些程序只能在本机上运行,接触了Web应用程序开发,才知道原来自己一直在接触使用Web应用程序,像在学校使用的教务管理系统还有经常用上的人人网,都是Web应用程序,Web应用程序首先是“应用程序”,和用标准的程序语言,如C、C++、C#等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方,就是它是基于Web的,而不是采用传统方法运行的。换句话说,它是典型的浏览器/服务器架构的产物。也就是说我们开发的程序是运行在服务器端,客户使用浏览器就可以使用程序提供的服务。 二、Web应用程序开发常用语言 Web应用程序开发常用语言有JSP、ASP、PHP、https://www.doczj.com/doc/831390412.html,等,自己在网上对这些语言进行的一些了解,这些语言各有各的优势和缺点,编程者可以根据各自的情况选择编程语言,我起初学习Web编程的时候是学的JSP,它的底层语言是JAVA,由于有过Java和网页设计的基础学习起来也不是很麻烦,上手还是比较快的,但是随着系统的复杂度的提高我发现开发越来越麻烦,每个表单和控件都要自己定义引用,后来通过同学的推荐,开始着手学习https://www.doczj.com/doc/831390412.html,,它是微软公司继ASP后推出的又一门服务器端脚本语言,https://www.doczj.com/doc/831390412.html,一般分为两种开发语言,https://www.doczj.com/doc/831390412.html,和C#,C#相对比较常用,因为是.NET独有的语言,https://www.doczj.com/doc/831390412.html,则为以前VB 程序设计,适合于以前VB程序员,如果新接触.NET,没有其他开发语言经验,建议直接学习C#。 三、如何学好https://www.doczj.com/doc/831390412.html, 学习https://www.doczj.com/doc/831390412.html,我个人觉得首先应该对HTML标签有所了解,因为开发动态网页还是要跟HTML标签打交道,多了解一些你在编程的时候更容易上手,还有HTML 提供的一些表单,最好能熟悉,在https://www.doczj.com/doc/831390412.html,中也提供了各类控件,这些控件的学习都比较简单,所见即所得,可以直接向页面中拖各种控件,后台代码写在.cs 文件中。关于学习方法,个人心得总结如下: 学习的过程最好能结合各自情况,像我自身只是一般的初学者,所以我从先看一些https://www.doczj.com/doc/831390412.html,的视频教程,尽快熟悉它的用法和规范,因为这样接受比较快,但是不能一味的只看视频,必须要学着去实践,开始可以跟着视频上的例子照葫芦画瓢作一些试试,可以自己尝试着去修改例子,将它变成自己的东西。另外又找了两本.net方面的书,最佳组合是一本基础的书和一本实例书,这样可以巩固前面的学习,如果有不清楚的地方可以直接查书,加深记忆,看实例的书,并且最好能照着书上实现一遍,提高自己的水平,前万不要眼高手低,要不到到头来前功尽弃,前面学的都忘了。 此次授课的老师实践经验非常丰富,他把学员建立在现实开发的基础上,深入浅出,引用实例,授课一点也不枯燥,我们在接受了他们大量的信息的同时,很自然地消化处理,没有任何被动。Java语言程序设计、数据库技术基础、Servlet和JSP编程基础到轻量级J2EE体系架构程序开发,老师们贴切的例子
DKBA DKBA 2355-2009.7 .2cto.红黑联盟收集整理 Web应用安全测试规V1.2 2009年7月5日发布2009年7月5日实施 所有侵权必究 All rights reserved
修订声明Revision declaration 本规拟制与解释部门: 安全解决方案部电信网络与业务安全实验室、软件公司安全TMG、软件公司测试业务管理部 本规的相关系列规或文件: 《Web应用安全开发规》 相关国际规或文件一致性: 《OWASP Testing Guide v3》 《信息安全技术信息安全风险评估指南》 《Information technology Security techniques Management of information and communications technology security》-ISO 13335 替代或作废的其它规或文件: 无 相关规或文件的相互关系: 本规以《Web应用安全开发规》为基础、结合Web应用的特点而制定。
目录Table of Contents 1概述 (7) 1.1背景简介 (7) 1.2适用读者 (7) 1.3适用围 (7) 1.4安全测试在IPD流程中所处的位置 (8) 1.5安全测试与安全风险评估的关系说明 (8) 1.6注意事项 (9) 1.7测试用例级别说明 (9) 2测试过程示意图 (10) 3WEB安全测试规 (11) 3.1自动化W EB漏洞扫描工具测试 (11) 3.1.1AppScan application扫描测试 (12) 3.1.2AppScan Web Service 扫描测试 (13) 3.2服务器信息收集 (13) 3.2.1运行权限测试 (13) 3.2.2Web服务器端口扫描 (14) 3.2.3HTTP方法测试 (14) 3.2.4HTTP PUT方法测试 (15) 3.2.5HTTP DELETE方法测试 (16) 3.2.6HTTP TRACE方法测试 (17) 3.2.7HTTP MOVE方法测试 (17) 3.2.8HTTP COPY方法测试 (18) 3.2.9Web服务器版本信息收集 (18) 3.3文件、目录测试 (20) 3.3.1工具方式的敏感接口遍历 (20) 3.3.2Robots方式的敏感接口查找 (21)
精品文档 1 Web安全测试技术方案 1.1 测试的目标更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件更好的为今 后系统建设提供指导和有价值的意见及建议 1.2 测试的范围 本期测试服务范围包含如下各个系统: Web系统: 1.3 测试的内容 1.3.1 WEB^ 用 针对网站及WEB系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 XSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证 逻辑错误 Google Hacking 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP 方法(如:PUT、DELETE) 1.4 测试的流程 方案制定部分: 精品文档 获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:
这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS burpsuite、Nmap等)进行收集。 测试实施部分: 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。此过程将循环进行,直到测试完成。最后由安全测试人员清除中间数据。 分析报告输出: 安全测试人员根据测试的过程结果编写直观的安全测试服务报告。内容包括:具体的操作步骤描述;响应分析以及最后的安全修复建议。 下图是更为详细的步骤拆分示意图: 精品文档 1.5 测试的手段 根据安全测试的实际需求,采取自动化测试与人工检测与审核相结合的方式,大大的减少了自动化测试过程中的误报问题。
第一章 1.下列动态网页和静态网页的根本区别描述错误的是(D) A、静态网页服务器端返回的HTML文件是事先存储好的; B、动态网页服务器端返回的HTML文件是程序生成的; C、静态网页文件里只有HTML标记,没有程序代码; D、动态网页中只有程序,不能有HTML代码; 真棒,答对了! 2.下面哪一项不是网页制作工具(D) A、FrontPage; B、Dreamweaver; C、Visual Studio; D、PhotoShop; 3.目前的物联网、大数据和云计算的智能生活时代属于下列哪个web发展阶段(C) A、; B、; C、; D、; 题目解析:一般认为11或者12年开始进入Web 时代,属于大互联时代。典型特点是多对多交互,不仅包括人与人,还包括人机交互以及多个终端的交互。智能手机促进了移动互联网的发展。现在是大互联时代的初期,真正的时代一定是基于物联网、大数据和云计算的智能生活时代,实现了“每个个体、时刻联网、各取所需、实时互动”的状态,也是一个“以人为本”的互联网思维指引下的新商业文明时代。 4.关于webservice,下列说法错误的是(D) A、webservice可以通过手机端访问; B、Web应用程序中无需下载安装Web服务可直接调用网上的Web服务提供的方法来实现某个功能;
C、webservice服务可实现分布式应用; D、webservice不能通过局域网访问; 题目解析:局域网可以访问在本局域网内部的webservice服务,能不能访问webservice取决于web服务的服务所在网络位置。 5.域名系统DNS的含义是(A) A、Domain Name Service; B、Direct Network System; C、Dynamic Network System; D、Distributed Network Service; 6.下列有关浏览器到服务器到脚本到程序表述正确的是(D) A、一个URL指向一个CGI脚本. 一个CGI脚本的URL能如普通的URL一样在任何地方出现; B、服务器接收请求, 按照那个URL指向的脚本文件(注意文件的位置和扩展名),执行脚本; C、脚本执行基于输入数据的操作,包括查询数据库、计算数值或调用系统中其他程序; D、脚本不能产生某种Web服务器能理解的输出结果; 7.关于“服务端/客户端技术”的描述,不正确的是(D) A、“服务器端/客户端技术”描述的是一种工作方式; B、我们用来浏览网页的计算机属于客户端; C、web服务器既属于服务器端,也可属于客户端; D、web服务器只能属于服务器端; 8. 下面这段Html代码在浏览器中运行结果为(C)
什么是Web应用程序? 如果我们要谈论Web应用程序以及如何开发它们,那么我们就需要知道什么是Web应用程序,以及是什么东西使得它们与我们创建的其他应用程序不同。让我们看看一些Web应用程序的定义,以及这些定义的共同点。下面是从互联网上得到的三个定义: 定义一:一个Web应用程序是作为单一实体管理的、逻辑上链接的Web页面的集合。换句话说,一个网站,可以有多个来自不同客户的Web应用。 定义二:一个Web应用程序,是使用Internet技术开发的,符合下面一项或者多项的应用程序:(1)使用数据库(如Oracle或者SQL Server); (2)使用一种应用程序开发工具开发(如Oracle Internet Developer Suite或者Microsoft Visual Studio); (3)需要持续地运行服务器过程(如新闻组和聊天室); (4)从数据输入屏幕或者Web表单储存输入数据。 定义三:在软件工程中,一个Web应用程序是一种经由Internet或Intranet、以Web方式访问的应用程序。它也是一个计算机软件应用程序,这个应用程序用基于浏览器的语言(如HTML、ASP、PHP、Perl、Python等等)编码,依赖于通用的Web浏览器来表现它的执行结果。 在我们看到这些定义时,有几点是比较突出的。首先,在Web应用程序中有某种形式的浏览器或者GUI。其次,所有定义中都隐含或者明确指出需要一台服务器。最后,Web应用程序不同于Internet 应用程序,Internet应用程序增加了额外的技术和能力。 Web应用程序首先是“应用程序”,和用标准的程序语言,如C、C++、C#等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方,就是它是基于Web的,而不是采用传统方法运行的。换句话说,它是典型的浏览器/服务器架构的产物。 浏览器/服务器架构(Browser/Server,简称B/S)能够很好地应用在广域网上,成为越来越多的企业的选择。浏览器/服务器架构相对于其他几种应用程序体系结构,有如下3方面的优点:(1)这种架构采用Internet上标准的通信协议(通常是TCP/IP协议)作为客户机同服务器通信的协议。这样可以使位于Internet任意位置的人都能够正常访问服务器。对于服务器来说,通过相应的Web 服务和数据库服务可以对数据进行处理。对外采用标准的通信协议,以便共享数据。 (2)在服务器上对数据进行处理,并将处理的结果生成网页,以方便客户端直接下载。 (3)在客户机上对数据的处理被进一步简化,将浏览器作为客户端的应用程序,以实现对数据的显示。不再需要为客户端单独编写和安装其他类型的应用程序。这样,在客户端只需要安装一套内置浏览器的操作系统,如Window XP或Windows 2000或直接安装一套浏览器,就可以实现服务器上数据的访问。而浏览器是现在计算机的标准设备。 理解了什么是浏览器/服务器架构,就了解了什么是Web应用程序。常见的计数器、留言版、聊天室和论坛BBS等,都是Web应用程序,不过这些应用相对比较简单,而Web应用程序的真正核心主要是对数据库进行处理,管理信息系统(Management Information System,简称MIS)就是这种架构最典型的应用。MIS可以应用于局域网,也可以应用于广域网。目前基于Internet的MIS系统以其成本低廉、维护简便、覆盖范围广、功能易实现等诸多特性,得到越来越多的应用。 应用程序有两种模式C/S、B/S。C/S是客户端/服务器端程序,也就是说这类程序一般独立运行。而B/S就是浏览器端/服务器端应用程序,这类应用程序一般借助IE等浏览器来运行。WEB应用程序一般是B/S模式。 在本课程中,术语Web应用程序或者Webapp,是指那些用户界面驻留在Web浏览器中的任何应用程序。可以将其想像为一个连续统一体(如下图所示)。这个统一体的一端是呈现静态内容的Web应用程序。大多数Web网站都在此列(图中未画出)。而在另一端,则是行为类似常规桌面应用程序的Web应用程序。Struts就是用来构建位于这个统一体右半边的Web应用程序的框架。
第二章系统安全的需求分析 本章从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、交易重复提交控制、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。 2.1 数据安全需求 2.1.1 数据保密性需求 数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包括用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常主要体现在以下几个方面:A.客户端与系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码、凭证交易密码等必须加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。 以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码和网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统必须强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于111111、1234567、9876543等的简单数字序列,系统将进行检查。 网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都必须先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,所以专门设定网银转账密码可加强账户
1 Web 安全测试技术方案 1.1测试的目标 更好的发现当前系统存在的可能的安全隐患,避免发生危害性的安全事件 更好的为今后系统建设提供指导和有价值的意见及建议 1.2测试的范围 本期测试服务范围包含如下各个系统: Web 系统: 1.3测试的内容 1.3.1WEB 应用 针对网站及WEB 系统的安全测试,我们将进行以下方面的测试: Web 服务器安全漏洞 Web 服务器错误配置 SQL 注入 RSS (跨站脚本) CRLF 注入 目录遍历 文件包含 输入验证 认证逻辑错误 GoogleHacAing 密码保护区域猜测字典攻击特定的错误页面检测脆弱权限的目录危险的HTTP
方法(如:PUT、DELETE) 1.4测试的流程 方案制定部分:获取到客户的书面授权许可后,才进行安全测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。 在测试实施之前,让客户对安全测试过程和风险知晓,使随后的正式测试流程都在客户的控制下。 信息收集部分:这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。采用商业和开源的检测工具(AWVS 、burpsuite 、Nmap 等)进行收集。 测试实施部分:在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web 应用),此阶段如果成功的话,可能获得普通权限。 安全测试人员可能用到的测试手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普
第一章 1.填空、选择题(1)网址(2)D (3)A (4)C (5)A 2.解答题 (1)c/s结构适用于局域网,要有专门的小范围的网络硬件环境,b\s结构则是适用于广域网,只要能接入internet的用户即可使用;c/s结构用户有固定还有限,系统升级和维护难,成本也高, b\s结构客户端零维护,易于实现系统的无缝升级;c/s结构软件单一、整体性好,可重用性差;b\s结构是多重结构,构件独立,可重用性好;c/s结构客户端和服务器是平台相关,b\s结构则是不相关;c/s结构信息控制性强,b\s结构就相对来说较弱。 (2)他们主要区别在于服务器对他们的处理方式不同。静态网页都具有一个固定的URL,它的内容是原封不动被传递的,想要修改网页内容,必须修改HTML源代码,静态网页没有数据库的支持,不支持客户端与服务器端的交互;动态网页中,不同额请求和访问数据的变化会生成不同的HTML代码,网页内容会改变,它具有数据库访问功能,支持客户端与服务器端的交互。 (3)客户端脚本语言都是解释型的,基于对象的脚本语言,他们的工作机制是:将脚本嵌入到web页面中,并随着HTML文件一起传送到客户端,由浏览器解释执行;服务器脚本语言则都运行在服务器端,能够动态的生成网页,脚本运行不受客户端浏览器限制,脚本程序都是将脚本语言嵌入到HTML文件中,执行后返回到客户端HTML代码。 第二章 1.(1)HTML网页文件的标记是,网页文件的主体标记是
,标记页面标题的标记是面向Web应用系统的测试与传统的软件测试不同,不仅需要检查和验证是否按照需求规格说明书的要求运行,而且还要测试Web应用系统在不同浏览器上显示是否符合要求,与不同的数据库连接是否有效、更重要的是在性能、安全性、可用性等方面 功能测试 性能测试 安全性测试 配置和兼容性测试 可用性测试 链接测试 链接是Web应用系统用户界面的主要特征,它指引着Web用户在页面之间切换,以完成Web应用系统的功能 测试重点 链接是否正确 链接页面是否存在 是否有孤立的页面(没有链接指向的页面)
表单测试 表单(Form)是指网页上用于输入和选择信息的文本框、列表框和其他域,实现用户和Web应用系统的交互,当用户给Web应用系统管理员提交信息时,需要使用表单操作,如用户注册、登录、信息提交、查询等 测试重点 表单控件的正确性 提交信息的完整性、正确性 是否有错误处理 Cookie测试 Cookie通常标识用户信息,记录用户状态。 使用Cookie技术,当用户使用Web应用系统时,能够在访问者的机器上创立一个叫做Cookie的文件,把部分信息(访问过的页面、登录用户名、密码等)写进去,来标识用户状态。如果该用户下次再访问这个Web应用系统,就能够读出这个文件里面的内容,正确标识用户信息 如果Web应用系统使用了Cookie,必须检查Cookie是否能正常工作,是否按预定的时间进行保存内容 设计语言测试
在Web应用系统开发初始,根据软件工程的要求用文档的形式确定Web 应用系统使用哪个版本的HTML标准,允许使用何种脚本语言及版本,允许使用何种控件,这样可以有效的避免Web应用系统开发过程中出现设计语言问题。 其他测试 数据库测试 面向任务、业务逻辑的测试 探查性测试 回归测试 速度测试: 对于最终的Web应用系统用户而言,最关心的性能问题是访问Web应用系统页面时,多长时间才能显示出来所需要的页面 通常情况下,响应时间不超过5秒 有些Web应用系统有超时限制,如果响应时间太慢,用户可能还没来得及浏览内容,就需要重新登录了 影响响应时间的原因有很多 应用程序服务器需要从数据库的大量数据中检索信息
网站WEB应用安全措施要求规范 1.安全防范措施要求 (1)数据保密性:数据加密主要是防止非授权用户截获并使用该数据,网站中有保密要求的信息只能供经过授权允许的人员,并且以经过允许的方式使用。 (2)数据完整性:使用一种方案来确认同站上的数据在传输过程中没有被篡改,而造成信息完整性破坏的原因可以分为人为的和非人为的两种: 非人为的因素:如通信传输中的干扰噪声,系统硬件或软件的故障等; 人为因素:包括有意的和无意的两种,前者如黑客对计算机的入侵、合法用户越权对网站内数据的处理,后者如操作失误或使用不当。 (3)数据安全性:数据的安全性就是保证数据库不被故意破坏和非法存取:数据的完整性是防止数据库中存在不符合语义的数据,以及防止由于错误信息的输入、输出而造成无效操作和错误结果:并发控制即数据库是一个共享资源,在多个用户程序并行地存取数据库时,就可能会产生多个用户程序通过网站并发地存取同一数据的情况,若不进行并发控制就会使取出和存入的数据不正确,破坏数据库的一致性。 (4)恶意代码防范:通过代码层屏蔽常见恶意攻击行为,防止非法数据提交;如:SQL注入; (5)双因子授权认证:应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。 (6)密码复杂度:强制用户首次登录时修改初始口令;口令长度至少为8位,并由数字、大小字母与特殊字符组成。 (7)会话过期与超时:浏览器Cookie过期、无动作过期、强制过期、保持会话等进行限制; (8)安全审计功能:a)审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计,如:登录、退出、添加、删除、修改或覆盖等;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;