第6章應用安全Web技術(shù)概述Web應用安全防護Web應用安全威脅Web技術(shù)概述6.1工業(yè)云平臺面向不同行業(yè)、不同場景向用戶提供設計、生產(chǎn)、管理、服務等一系列創(chuàng)新性業(yè)務應用，這些應用主要以工業(yè)App形式提供。工業(yè)App的開發(fā)和應用需要依托平臺提供技術(shù)引擎、資源、模型、組件、接口，以及相應的管理功能，而這些多以平臺Web服務的形式提供。Web是WorldWideWeb的簡稱，即萬維網(wǎng)，是在互聯(lián)網(wǎng)上通過HTTP和HTML等協(xié)議實現(xiàn)的一個大規(guī)模的、聯(lián)機式的分布式信息應用。Web體系結(jié)構(gòu)：HTTP通信過程：Web應用安全威脅6.2SQL注入XSS攻擊XSS攻擊是一種針對客戶端瀏覽器的注入攻擊。在XSS攻擊中攻擊者將惡意腳本注入Web應用程序中，將Web應用程序作為攻擊其他網(wǎng)站的中轉(zhuǎn)站。當其他用戶訪問被注入惡意腳本的Web應用程序時，惡意腳本就會被下載到該用戶的瀏覽器中并運行，造成客戶主機上的敏感信息泄露、Cookie被竊取、配置被更改等后果。XSS漏洞分為反射型XSS漏洞、存儲型XSS漏洞和DOM型XSS漏洞：反射型XSS漏洞存儲型XSS漏洞DOM型XSS漏洞跨站請求偽造攻擊跨站請求偽造(CSRF)是一種對網(wǎng)站的惡意利用，CSRF通過偽裝成來自受信任用戶的請求來利用受信任的網(wǎng)站，通過社會工程學的手段，來蠱惑受害者進行一些敏感的操作，如修改密碼、修改E-mail、轉(zhuǎn)賬等，而受害者毫不知情。CSRF攻擊通常會利用目標站點的身份驗證機制，例如，某個用戶使用瀏覽器訪問了受信任網(wǎng)站A，并輸入用戶名和密碼，請求登錄網(wǎng)站A，在用戶通過身份驗證后，網(wǎng)站A會生成Cookie信息并將其返回給用戶的瀏覽器，此時用戶可以成功登錄網(wǎng)站A，并且可以向網(wǎng)站A正常發(fā)送請求；用戶在退出網(wǎng)站A的登錄之前，使用同一瀏覽器訪問了網(wǎng)站B，網(wǎng)站B接收到該用戶的請求后向其發(fā)送了一些攻擊性代碼，并且向其發(fā)出一個訪問網(wǎng)站A的請求；用戶的瀏覽器在收到惡意代碼后，會在用戶不知情的情況下，根據(jù)網(wǎng)站B的請求攜帶著Cookie信息向網(wǎng)站A發(fā)出請求，而網(wǎng)站A并不知道該請求是由網(wǎng)站B發(fā)出的，所以會根據(jù)該用戶的Cookie信息以該用戶的權(quán)限來處理這個請求，從而使得網(wǎng)站B的惡意代碼被執(zhí)行。文件上傳與下載攻擊文件上傳與下載攻擊是一種對云端數(shù)據(jù)庫影響最大的攻擊。有些文件上傳功能沒有嚴格限制用戶文件后級及文件類型，導致攻擊者向一些可通過Web訪問的目錄上傳任意的HTML、ASP、PHP等文件，并能夠?qū)⑦@些文件傳遞給相應的解析器，攻擊者即可在遠程服務器上執(zhí)行任意已上傳的惡意腳本。當系統(tǒng)存在文件上傳漏洞時，攻擊者可以將病毒、木馬、WebShell及其他惡意腳本或者包含腳本的圖片上傳到服務器，這些文件將為攻擊者的后續(xù)攻擊提供便利。與文件上傳對應的是文件下載以及由文件下載導致的路徑遍歷問題，會導致服務器的很多敏感信息甚至是產(chǎn)品的源代碼和配置信息被泄露。弱口令攻擊弱口令也稱為弱密碼，即容易破解的口令，通常是簡單的數(shù)字組合、鍵盤上的鄰近鍵或用戶常見信息，例如123456、abc123、qwerty等。終端設備出廠配置的通用密碼等也屬于弱口令。弱口令漏洞有三大特點：危害大易利用修補難DDoS攻擊分布式拒絕服務(DDoS)攻擊是在拒絕服務(DoS)攻擊基礎之上產(chǎn)生的一種攻擊方式，攻擊者利用分布式的客戶端向服務提供者發(fā)起大量請求，消耗或者長時間占用大量資源，從而使合法用戶無法得到正常服務。DDoS攻擊主要表現(xiàn)出以下特點：分布式使用欺騙技術(shù)，難以追蹤發(fā)起攻擊容。攻擊特征不明顯威力強大，破壞嚴重，難以防御Web應用安全防護6.3安全掃描技術(shù)是一項重要的網(wǎng)絡安全技術(shù)，其基本原理是采用模擬惡意攻擊者攻擊的方式，對交換機、服務器、數(shù)據(jù)庫和工作站中可能存在的已知安全漏洞進行檢測。Web安全掃描主要方法：通過模擬惡意攻擊者的攻擊手法，對目標應用進行攻擊性的安全漏洞掃描。先對Web應用進行端口掃描，獲取該應用所涉及的相關(guān)端口和端口上的網(wǎng)絡服務，然后將這些信息與漏洞掃描系統(tǒng)所提供的漏洞庫相匹配，查看是否有滿足匹配條件的漏洞存在。檢測到安全漏洞后，采取措施對Web應用進行防護：在安全事件發(fā)生前，進行Web應用漏洞掃描并采取相應防護。在安全事件發(fā)生過程中，檢測攻擊并進行有效阻斷和防護。在安全事件發(fā)生后，及時進行診斷和修復。Web安全掃描常采用的Web安全保護措施包括HTTP合規(guī)性控制、Web特征防護、敏感信息檢測、弱口令檢測、CSRF防護、文件上傳下載防護、爬蟲防御等。HTTP合規(guī)性控制Web特征防護敏感信息檢測弱口令檢測CSRF防護文件上傳下載防護爬蟲防御Web安全防護措施常見的