計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目五任務(wù)5.3Web應(yīng)用程序的安全配置Web應(yīng)用的安全管理【任務(wù)目標(biāo)】1．學(xué)會(huì)使用注入工具模擬SQL注入攻擊2．通過(guò)SQL注入的攻防操作，加深對(duì)SQL注入的理解和防御【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)

2、VMwareWorkstation軟件3、phpStudy工具4、dvwa平臺(tái)任務(wù)5.3Web應(yīng)用程序的安全配置

【知識(shí)支撐】一、Web應(yīng)用程序的安全威脅Web應(yīng)用程序安全威脅從攻擊技術(shù)的角度分成以下6類：1、針對(duì)認(rèn)證機(jī)制的攻擊

針對(duì)用來(lái)確認(rèn)用戶、服務(wù)或應(yīng)用程序身份認(rèn)證機(jī)制的攻擊手段，包括暴力破解、利用認(rèn)證機(jī)制不完善的弱點(diǎn)、攻擊口令恢復(fù)驗(yàn)證機(jī)制等。

任務(wù)5.3Web應(yīng)用程序的安全配置

2、針對(duì)授權(quán)機(jī)制的攻擊

針對(duì)用來(lái)確認(rèn)用戶、服務(wù)或應(yīng)用程序是否具有執(zhí)行動(dòng)作權(quán)限的攻擊手段，包括利用授權(quán)機(jī)制不完善的弱點(diǎn)、利用會(huì)話失效機(jī)制不完善的弱點(diǎn)、會(huì)話身份竊取攻擊等。

任務(wù)5.3Web應(yīng)用程序的安全配置

3、客戶端攻擊

擾亂或滲透攻擊Web站點(diǎn)客戶端用戶的攻擊手段，包括內(nèi)容欺騙、跨站腳本攻擊等。

4、命令執(zhí)行攻擊

在Web站點(diǎn)上執(zhí)行遠(yuǎn)程命令的攻擊手段，包括緩沖區(qū)溢出、格式化字符串、操作系統(tǒng)命令注入、SQL注入等。任務(wù)5.3Web應(yīng)用程序的安全配置

5、信息暴露

獲取Web站點(diǎn)的相關(guān)系統(tǒng)信息的攻擊手段，包括目錄列舉、路徑遍歷、資源位置預(yù)測(cè)等。6、邏輯攻擊

擾亂或滲透攻擊Web應(yīng)用邏輯流程的攻擊手段，包括功能濫用、拒絕服務(wù)攻擊、對(duì)抗自動(dòng)程序不完善、處理驗(yàn)證過(guò)程不完善等。任務(wù)5.3Web應(yīng)用程序的安全配置國(guó)際知名的安全團(tuán)隊(duì)WASC(WebApplicationSecurityConsortium)在2010年公布的《WASCWeb安全威脅分類v2.0》中，列出了Web應(yīng)用程序的15類安全弱點(diǎn)和34種攻擊技術(shù)手段。其中XSS跨站腳本、SQL注入、會(huì)話身份竊取等攻擊是主要的攻擊技術(shù)手段。任務(wù)5.3Web應(yīng)用程序的安全配置二、Web應(yīng)用程序的安全防范措施

1、在滿足需求的情況下，盡量使用靜態(tài)頁(yè)面代替動(dòng)態(tài)頁(yè)面。采用動(dòng)態(tài)內(nèi)容、支持用戶輸入的Web應(yīng)用程序較靜態(tài)HTML具有較高的安全風(fēng)險(xiǎn)，因此在設(shè)計(jì)和開發(fā)Web應(yīng)用時(shí)，應(yīng)謹(jǐn)慎考慮是否使用動(dòng)態(tài)頁(yè)面。通常信息發(fā)布類網(wǎng)站無(wú)需使用動(dòng)態(tài)頁(yè)面引入用戶交互，目前搜狐、新浪等門戶網(wǎng)站就是采用了靜態(tài)頁(yè)面代替動(dòng)態(tài)頁(yè)面的構(gòu)建方法。任務(wù)5.3Web應(yīng)用程序的安全配置

2、對(duì)于必須提供用戶交互、采用動(dòng)態(tài)頁(yè)面的Web站點(diǎn)，盡量使用具有良好安全聲譽(yù)和穩(wěn)定技術(shù)支持力量的Web應(yīng)用軟件包，并定期進(jìn)行Web應(yīng)用程序的安全評(píng)估和漏洞檢測(cè)，升級(jí)并修復(fù)安全漏洞。任務(wù)5.3Web應(yīng)用程序的安全配置

3、強(qiáng)化程序開發(fā)者在Web應(yīng)用開發(fā)過(guò)程的安全意識(shí)和知識(shí)，對(duì)用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格驗(yàn)證，并采用有效的代碼安全質(zhì)量保障技術(shù)，對(duì)代碼進(jìn)行安全檢測(cè)。4、操作后臺(tái)數(shù)據(jù)庫(kù)時(shí)，盡量采用視圖、存儲(chǔ)過(guò)程等技術(shù)，以提升安全性。5、使用Web服務(wù)器軟件提供的日志功能，對(duì)Web應(yīng)用程序的所有訪問請(qǐng)求進(jìn)行日志記錄和安全審計(jì)。任務(wù)5.3Web應(yīng)用程序的安全配置

【任務(wù)實(shí)施】1、啟動(dòng)VMwareWorkstation，然后開啟Win7-1虛擬機(jī)2、安裝phpStudy工具雙擊phpStudy安裝文件，選擇安裝路徑（默認(rèn)安裝在C盤）后單擊確定便開始安裝，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置安裝完成后進(jìn)入主界面，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置

3、使用phpStudy工具搭建環(huán)境在phpStudy的主界面上單擊啟動(dòng)按鈕，便可一鍵搭建php+mysql+nginx/apache環(huán)境，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置

4、在dvwa平臺(tái)上進(jìn)行SQL注入1）將dvwa源碼放入使用phpStudy工具搭建的網(wǎng)站根目錄下。2）在網(wǎng)頁(yè)瀏覽器的地址欄中輸入http:///

dvwa1.0.7/setup.php，打開dvwa平臺(tái)的配置頁(yè)面，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置

3）在頁(yè)面上單擊“創(chuàng)建/重置數(shù)據(jù)庫(kù)”。4）重新在網(wǎng)頁(yè)瀏覽器的地址欄中輸入http://127.0.0

.1/dvwa1.0.7/login.php，進(jìn)入dvwa平臺(tái)，在登錄界面上輸入用戶名admin和密碼password，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置

5）在平臺(tái)主界面上選擇A1-SQL注入選項(xiàng)進(jìn)行回顯注入，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置

6）在用戶ID的文本框中輸入用戶ID可以顯示用戶相關(guān)信息，比如輸入1會(huì)顯示如下信息：“ID:1Firstname:adminSurname:admin”。如果在用戶ID處使用注入語(yǔ)句進(jìn)行攻擊，即在用戶ID文本框中輸入“1'unionselect1,concat(user,0x3a,password)fromusers#”，頁(yè)面上就會(huì)顯示users表中的賬號(hào)和密碼，如圖所示。任務(wù)5.3Web應(yīng)用程序的安全配置任務(wù)5.3Web應(yīng)用程序的安全配置

5、SQL注入攻擊的防御1）最小權(quán)限原則。如非必要，不要使用sa、dbo等權(quán)限較高的賬戶；

2）對(duì)用戶的輸入進(jìn)行嚴(yán)格的檢查，過(guò)濾掉一些特殊字符，強(qiáng)制約束數(shù)據(jù)類型、約束輸入長(zhǎng)度等；

3）使用存儲(chǔ)過(guò)程代替簡(jiǎn)單的SQL語(yǔ)句；4）當(dāng)SQL運(yùn)行出錯(cuò)時(shí)，不要把全部的出錯(cuò)信息全部顯示給用戶，以免泄露一些數(shù)據(jù)庫(kù)的信息。任務(wù)5.