6.2 Web安全技术在线视频

同学们，大家好

这节课

我们来学习《网络空间安全技术》第三篇

网络空间安全防御技术体系

第6章网络空间安全防御

应用与数据安全技术

第2节的内容web安全技术

在这节里面

我们

准备分三个小点来跟大家一起讨论

首先是Web的发展演进及其安全特点

第二是Web应用及其安全风险

第三是Web安全的解决方案

首先我们来看

Web的发展演进及其安全特点

Web发展演进经历了从Web1.0到

Web3.0的发展演进过程

Web1.0 是1993年前后提出的

由内容驱动的

内容来自于商业机构

服务于消费者

网站对用户为主

网页是“只读的”，用户只能搜索信息

浏览信息

到了2004年前后

互联网发生了第二次迭代

形成了 Web2.0

Web2.0

允许用户自主上传内容分享内容

也就是“可读写”的网络

用户不仅仅局限于浏览

还可以加上自己创建的内容

并上传到网页上

Web3.0是在2010年前后

Web3.0的出现

使得在线应用和网站可以接收到

已经在网络上的信息

并将新的信息和数据反馈给用户

可实现PC

智能手机等不同终端的兼容

使信息具有普适性

接下来我们来看一下Web安全其特点

Web安全

随着Web业务的迅速发展

它的安全问题

和安全危险

也不断的显现

黑客利用操作系统和Web服务程序等漏洞

得到Web服务器的控制权限

来篡改网页

窃取数据

网页植入恶意代码

从而侵犯

网站的访问者

那么Web安全的特点呢

Web服务涉及到操作系统

网络传输和应用系统等等

它的访问对象开放、技术架构复杂

涉及场景多样

因此它需要采取全方位

立体化的防护体系

接下来我们来看一下Web安全挑战

一个是在安全监测方面的挑战

第二个是在安全防护方面的挑战

接下来我们来看

Web应用及其安全风险

我们首先来看Web应用及其架构组成

接下来我们再看

Web应用典型的安全风险分析

从Web应用的架构组成来看

分为Web应用程序

也就是可以通过Web访问的应用程序

它主要是采取了B/S架构的形式

采用Internet 上标准的通信协议

也就是常用的TCP/IP协议

安装一套浏览器

就可以实现服务器上数据的访问

那么从Web应用程序的构成来看

它是由

完成特定任务的

各种Web组件所构成

并通过Web将服务展示给外界

据说web应用程序的安全风险

它的安全边界突破了网络边界的界限

进入到Web应用程序本身

因此它的风险具有其特殊性

接下来我们来看一下Web应用典型的

安全风险

这里我们以 OWASP

也就是

开放式Web应用程序安全项目

TOP10-2017版为例

来总结Web应用程序

最可能、最常见、最危险的十大漏洞

第一个是注入类的漏洞

注入类的漏洞有很多种形式

比如说SQL、OS、LDAP等等

这些攻击发生在

不可信的数据

作为命令

或者是查询语句的一部分

被发送给解释器的时候

攻击者发送的恶意数据

可以欺骗解释器

以执行计划外的命令

或者是在未被恰当授权时

访问数据0 Day漏洞防护

第二类典型的安全风险

是失效的身份认证和会话管理

与身份认证

和会话管理相关的应用程序功能

如得不到正确的实现

则会导致攻击者破坏密码

密钥会话令牌

或攻击其他的漏洞

去冒充其他用户的身份

这种身份

可能是暂时的也可能是永久的

第三个是跨站脚本攻击

也就是

XSS攻击

当应用程序收到含有不可信的数据

如未进行恰当的验证和转移

就会将其发送给

相关的网页浏览器

或者是使用可以创建

JavaScript脚本的浏览器API

利用用户提供的数据来

更新现有的网页

从而产生

XSS攻击

XSS允许攻击者在

受害者的浏览器上执行脚本

从而劫持用户的会话

危害网站或者将用户

重定向到恶意网站

第四个是失效的访问控制

对于通过认证的用户

所能够执行的操作

缺乏有效的限制

攻击者就可以利用

这些

缺陷来访问

未经授权的功能和数据

例如访问其他用户的账户

查看敏感文件

修改其他用户的数据

更改访问权限等等

第五个是安全配置的错误

一个好的“安全”需要对应用程序

架构

应用程序服务器

Web服务器

数据库服务器和

平台定义和执行安全配置

由于许多设置的默认值并不是安全的

因此必须

定义实施和维护这些设置

此外所有的软件都应该保持及时更新

第六是敏感信息的泄露

许多Web应用程序和APL

没有正确的保护敏感数据

比如说财务系统、医疗保健等

攻击者可能会窃取

或者是篡改此类弱保护的数据

进行信用卡欺骗

身份窃取或者是其他犯罪行为

此外敏感数据

还应该具有额外的保护措施

第七个是攻击检测与防护不足

大多数应用系统和API缺乏检测

预防和响应手动或自动化攻击的

这么一种能力

攻击保护措施不限于基本的输入验证

还应具备自动检测、记录和响应

甚至阻止攻击的能力

第八个是跨站请求伪造

也就是所谓的CSRF

一个CSRF攻击

迫使登录用户的浏览器

将伪造的HTTP请求

包括受害者的会话Cookie

和所有其他自动填充的身份证信息

将这些信息

发送到一个存在漏洞的Web应用程序上

CSRF攻击允许攻击

迫使受害者的浏览器生成

让存在漏洞的

应用程序

认为是受害者的合法

请求的这么一种请求

第九个是使用含有已知漏洞的组件

库文件框架和其他软件模块等组件

具有与应程序相同的权限

如果带有漏洞组件被利用

这种攻击就可以促成严重的数据丢失

或者是服务器接管

应用程序和API使用

带有已知漏洞的组件

可能会破坏应用程序的防御系统

并使一系列可能的攻击

和影响成为可能

第十个是未受有效保护的API

我们知道

应用程序通常会涉及到非常丰富的

客户端的应用程序

和相关的应用程序结构

也就是API

比如说浏览器

和移动 APP 当中的JavaScript

它们与某一类API连接

这些API通常是未受保护的

而且其中还有很多漏洞

使用了未受有效保护的API

必然会给我们的Web应用系统

带来极大的风险

接下来我们来看Web安全解决方案

我们分四点来考察这个问题

首先第一个是Web安全的防护架构

第二

我们介绍一下Web应用防火墙

第三

我们讨论

基于SaaS模式的Web安全监测

最后我们要探讨

混合Web安全架构的部署情况

首先我们来看第一小点

Web安全解决方案

从解决方案的角度来看

我们分两个侧面

一个是Web的安全监测

另外一个就是Web的安全防护

安全监测

主要是涉及到Web漏洞的感知和验证

Web系统的可用性监控

源代码安全分析

O Day漏洞发现、Web未知资产的监测

而Web安全防护呢

包括DDoS攻击防护

O Day漏洞防护、Web常见攻击防护

Web页面内容防护、Web数据防护

Web运维防护等等

从Web安全防护架构来看

它主要分为三类

一个是采用Web应用防火墙

也就是所谓的WAF

Web应用防火墙

它是集Web防护、网页保护、负载均衡

应用交付于一体

而Web安全监测呢

它主要是采用

基于SaaS模式的Web安全监测系统

来实现混合Web安全架构部署

它主要的目的是实现

一体化的防护部署

我们分别来看

首先我们来看一下Web应用防火墙

又称WAF

Web运用防火墙它具有四大功能

第一是审计功能

用来截断所有HTTP数据

或者仅仅满足某些规则的会话

第二个是访问控制功能

用来控制对Web应用的访问

既包括主动安全模式

也包括被动安全模式

第三个是网络设计工具的功能

当以反向代理模式运行时

用来分配职能

集中控制，虚拟基础结构等等

最后一个功能是应用加固工具功能

它需要增强被保护Web应用的安全性

既能够屏蔽Web应用的固有弱点

又能够保护

Web应用编程错误所导致的安全隐患

这个就是Web应用防火墙

WAF的四大主要功能

接下来我们看一下基于SaaS模式的

Web安全监测

第一个是木马监控

它是用来全面检测和挖掘深藏的木马

那么静态检测呢

是通过对网页内的代码进行特征匹配

来进行检测

而动态

检测则是通过在沙箱内来执行代码

并抓取代码行为的方式进行检测

这是二者的主要区别

第二个安全监测方法是敏感词监控

采用爬虫方式

实现高并发搜索网页敏感词

内置的敏感词词库

以及自定义的敏感词

实际上是我们重点监控的内容

第三个是篡改监控

我们需要能够准确的识别篡改

对于网页页面模板

页面源码、页面相似度等各方面

来进行比对

最后一个是DNS监控

解析结果与域名解析商来进行比较

如果发现域名劫持

域名解析失败的问题

需要进行及时的处理

这就是基于SaaS模式的Web安全

监测的四项功能

那么接下来我们来看一下

混合Web安全部署加构

混合Web安全部署

它主要解决三大问题

第一是Web业务功能影响的问题

它需要能够监测和防护域名解析

负载均衡和代理服务

等各方面所面临的安全危险

第二个是Web业务性能的影响问题

我们说进行Web安全防护

不得对

原有网络的业务产生较大的影响

第三个

是Web安全监测

与防护综合效能的发挥

Web漏洞的感知和验证

Web系统可运用监控

源代码安全分析

0 Day漏洞发现、Web未知资产监测

DoS攻击防护、0 Day漏洞防护

Web常见攻击防护、Web页面内容防护

Web数据防护以及

Web运维防护等等内容

是我们在 Web安全监测和防护

综合运用时

需要发挥的综合性能

同学们接下来我们来思考以下问题

那么我们如何在

Web系统的设计实现和部署的时候

尽量避免漏洞的发生

比如说在

Web系统的设计阶段

如何避免出现设计错误

Web系统的实现阶段

如何避免Web应用程序

它的不安全实现

在Web系统的部署阶段

我们如何通过配置来避免

不安全因素的产生

这就是我们这节课

请同学们课下思考的问题

同学们

这节课我们就讲到这里

感谢观看

下次再见