返回
web安全防护技术全接触

web安全防护技术全接触

ID:4122236

大小:333.33 KB

页数:50页

时间:2017-11-29

web安全防护技术全接触_第1页
web安全防护技术全接触_第2页
web安全防护技术全接触_第3页
web安全防护技术全接触_第4页
web安全防护技术全接触_第5页
资源描述:

《web安全防护技术全接触》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、Web安全防护技术全接触——WebGuard,您的网页保护专家!http://www.zhihengit.com内容提要•常见安全漏洞描述•典型攻击手法•安全漏洞的防范•WEB攻击的检测www.zhihengit.com1常见安全漏洞•SQLSQLInInjjjection漏洞•逻辑错误漏洞•Cookie欺骗漏洞•跨站脚本漏洞•信息泄露漏洞•拒绝服务漏洞•访问控制错误漏洞www.zhihengit.com2常见安全漏洞常见安全漏洞——SQLInjection漏洞•漏洞简介–WEB程序将客户端输入当作SQL语句执行•

2、漏洞成因–对用户输入中包含的SQL关键字过滤不严www.zhihengit.com3常见安全漏洞常见安全漏洞——逻辑错误漏洞逻辑错误漏洞•漏洞简介–利用WEB程序生成的SQL语句具有逻辑错误攻击•漏洞成因–对用户输入中包含的SQL关键字和特殊字符过滤不严www.zhihengit.com4常见安全漏洞常见安全漏洞——Cookie欺骗漏洞•漏洞简介–利用工具修改客户端的Cookie欺骗服务器端WEB程序•漏洞成因–WEB程序使用明文CkCookiie–WEB程序仅仅使用Cookie进行身份验证www.zhihengi

3、t.com5常见安全漏洞常见安全漏洞——跨站脚本漏洞跨站脚本漏洞•漏洞简介–攻击者通过诱骗受害者点击特殊编码的URL窃取Cookie资料•漏洞成因–WEB程序对hthtlhtml参数过滤不严www.zhihengit.com6常见安全漏洞常见安全漏洞——信息泄露漏洞信息泄露漏洞•漏洞简介–提交特殊的错误参数提交特殊的错误参数,,WEB服务器无法处理而返回详细的错误信息•漏洞成因–WEB程序对错误处理不严–WEB服务器配置不当www.zhihengit.com7常见安全漏洞常见安全漏洞——拒绝服务漏洞拒绝服务漏洞•漏

4、洞简介–提交特殊的参数提交特殊的参数,,让让WEB程序对数据库进行大量的搜索导致消耗内存或者CPU资源•漏洞成因–WEB程序中SQL语句写作不严格www.zhihengit.com8常见安全漏洞常见安全漏洞——访问控制错误漏洞访问控制错误漏洞•漏洞简介–敏感目录或者敏感文件权限设置不当导致被攻击者查看•漏洞成因–WEB程序权限设置不严格–WEB服务器权限设置不当www.zhihengit.com9典型攻击手法典型攻击手法——SQLInjection攻击•问题代码(ASP+MSASP+MSSQLSQLServerSe

5、rver)ififRequestRequest..QueryString("id")QueryString("id")isisNoThingNoThingthenthenidid==11elseelseidid==RequestRequest..QueryString("id")QueryString("id")endifsqlsql=="select"selecttitle,contenttitle,contentfromfrom[news][news]wherewhereid="id="&id&idsetset

6、rsrs==ServerServer..CreateObject("adodbCreateObject("adodb..Recordset")Recordset")rs.Opensqlconnectionsql,connection,1,1www.zhihengit.com10典型攻击手法典型攻击手法——SQLInjection攻击•修改数据库内容–提交语句httphttp:://target/news//target/news..asp?id=asp?id=11;;updateupdatenewsnewssets

7、ettitle=‘test’title=‘test’wherewheretitle=title=oldtitle‘oldtitle’–selectselecttitle,contenttitle,contentfromfrom[news][news]wherewhereid=id=11;;updateupdatenewsnewssetsettitle=‘test’title=‘test’wherewheretitle‘oldtitle’title=‘oldtitle’www.zhihengit.com11典型攻击手

8、法典型攻击手法——SQLInjection攻击•删除其它表–提交语句httphttp:://target/news//target/news..asp?id=asp?id=11;;dropdroptabletabletablenametablename–selectselecttitle,contenttitle,contentfromfrom[news][

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。