当前课程知识点:网络空间安全技术 > 第6章 网络空间安全防御应用与数据安全技术 > 6.2 Web安全技术 > 6.2 Web安全技术
同学们,大家好
这节课
我们来学习《网络空间安全技术》第三篇
网络空间安全防御技术体系
第6章网络空间安全防御
应用与数据安全技术
第2节的内容web安全技术
在这节里面
我们
准备分三个小点来跟大家一起讨论
首先是Web的发展演进及其安全特点
第二是Web应用及其安全风险
第三是Web安全的解决方案
首先我们来看
Web的发展演进及其安全特点
Web发展演进经历了从Web1.0到
Web3.0的发展演进过程
Web1.0 是1993年前后提出的
由内容驱动的
内容来自于商业机构
服务于消费者
网站对用户为主
网页是“只读的”,用户只能搜索信息
浏览信息
到了2004年前后
互联网发生了第二次迭代
形成了 Web2.0
Web2.0
允许用户自主上传内容分享内容
也就是“可读写”的网络
用户不仅仅局限于浏览
还可以加上自己创建的内容
并上传到网页上
Web3.0是在2010年前后
Web3.0的出现
使得在线应用和网站可以接收到
已经在网络上的信息
并将新的信息和数据反馈给用户
可实现PC
智能手机等不同终端的兼容
使信息具有普适性
接下来我们来看一下Web安全其特点
Web安全
随着Web业务的迅速发展
它的安全问题
和安全危险
也不断的显现
黑客利用操作系统和Web服务程序等漏洞
得到Web服务器的控制权限
来篡改网页
窃取数据
网页植入恶意代码
从而侵犯
网站的访问者
那么Web安全的特点呢
Web服务涉及到操作系统
网络传输和应用系统等等
它的访问对象开放、技术架构复杂
涉及场景多样
因此它需要采取全方位
立体化的防护体系
接下来我们来看一下Web安全挑战
一个是在安全监测方面的挑战
第二个是在安全防护方面的挑战
接下来我们来看
Web应用及其安全风险
我们首先来看Web应用及其架构组成
接下来我们再看
Web应用典型的安全风险分析
从Web应用的架构组成来看
分为Web应用程序
也就是可以通过Web访问的应用程序
它主要是采取了B/S架构的形式
采用Internet 上标准的通信协议
也就是常用的TCP/IP协议
安装一套浏览器
就可以实现服务器上数据的访问
那么从Web应用程序的构成来看
它是由
完成特定任务的
各种Web组件所构成
并通过Web将服务展示给外界
据说web应用程序的安全风险
它的安全边界突破了网络边界的界限
进入到Web应用程序本身
因此它的风险具有其特殊性
接下来我们来看一下Web应用典型的
安全风险
这里我们以 OWASP
也就是
开放式Web应用程序安全项目
TOP10-2017版为例
来总结Web应用程序
最可能、最常见、最危险的十大漏洞
第一个是注入类的漏洞
注入类的漏洞有很多种形式
比如说SQL、OS、LDAP等等
这些攻击发生在
不可信的数据
作为命令
或者是查询语句的一部分
被发送给解释器的时候
攻击者发送的恶意数据
可以欺骗解释器
以执行计划外的命令
或者是在未被恰当授权时
访问数据0 Day漏洞防护
第二类典型的安全风险
是失效的身份认证和会话管理
与身份认证
和会话管理相关的应用程序功能
如得不到正确的实现
则会导致攻击者破坏密码
密钥会话令牌
或攻击其他的漏洞
去冒充其他用户的身份
这种身份
可能是暂时的也可能是永久的
第三个是跨站脚本攻击
也就是
XSS攻击
当应用程序收到含有不可信的数据
如未进行恰当的验证和转移
就会将其发送给
相关的网页浏览器
或者是使用可以创建
JavaScript脚本的浏览器API
利用用户提供的数据来
更新现有的网页
从而产生
XSS攻击
XSS允许攻击者在
受害者的浏览器上执行脚本
从而劫持用户的会话
危害网站或者将用户
重定向到恶意网站
第四个是失效的访问控制
对于通过认证的用户
所能够执行的操作
缺乏有效的限制
攻击者就可以利用
这些
缺陷来访问
未经授权的功能和数据
例如访问其他用户的账户
查看敏感文件
修改其他用户的数据
更改访问权限等等
第五个是安全配置的错误
一个好的“安全”需要对应用程序
架构
应用程序服务器
Web服务器
数据库服务器和
平台定义和执行安全配置
由于许多设置的默认值并不是安全的
因此必须
定义实施和维护这些设置
此外所有的软件都应该保持及时更新
第六是敏感信息的泄露
许多Web应用程序和APL
没有正确的保护敏感数据
比如说财务系统、医疗保健等
攻击者可能会窃取
或者是篡改此类弱保护的数据
进行信用卡欺骗
身份窃取或者是其他犯罪行为
此外敏感数据
还应该具有额外的保护措施
第七个是攻击检测与防护不足
大多数应用系统和API缺乏检测
预防和响应手动或自动化攻击的
这么一种能力
攻击保护措施不限于基本的输入验证
还应具备自动检测、记录和响应
甚至阻止攻击的能力
第八个是跨站请求伪造
也就是所谓的CSRF
一个CSRF攻击
迫使登录用户的浏览器
将伪造的HTTP请求
包括受害者的会话Cookie
和所有其他自动填充的身份证信息
将这些信息
发送到一个存在漏洞的Web应用程序上
CSRF攻击允许攻击
迫使受害者的浏览器生成
让存在漏洞的
应用程序
认为是受害者的合法
请求的这么一种请求
第九个是使用含有已知漏洞的组件
库文件框架和其他软件模块等组件
具有与应程序相同的权限
如果带有漏洞组件被利用
这种攻击就可以促成严重的数据丢失
或者是服务器接管
应用程序和API使用
带有已知漏洞的组件
可能会破坏应用程序的防御系统
并使一系列可能的攻击
和影响成为可能
第十个是未受有效保护的API
我们知道
应用程序通常会涉及到非常丰富的
客户端的应用程序
和相关的应用程序结构
也就是API
比如说浏览器
和移动 APP 当中的JavaScript
它们与某一类API连接
这些API通常是未受保护的
而且其中还有很多漏洞
使用了未受有效保护的API
必然会给我们的Web应用系统
带来极大的风险
接下来我们来看Web安全解决方案
我们分四点来考察这个问题
首先第一个是Web安全的防护架构
第二
我们介绍一下Web应用防火墙
第三
我们讨论
基于SaaS模式的Web安全监测
最后我们要探讨
混合Web安全架构的部署情况
首先我们来看第一小点
Web安全解决方案
从解决方案的角度来看
我们分两个侧面
一个是Web的安全监测
另外一个就是Web的安全防护
安全监测
主要是涉及到Web漏洞的感知和验证
Web系统的可用性监控
源代码安全分析
O Day漏洞发现、Web未知资产的监测
而Web安全防护呢
包括DDoS攻击防护
O Day漏洞防护、Web常见攻击防护
Web页面内容防护、Web数据防护
Web运维防护等等
从Web安全防护架构来看
它主要分为三类
一个是采用Web应用防火墙
也就是所谓的WAF
Web应用防火墙
它是集Web防护、网页保护、负载均衡
应用交付于一体
而Web安全监测呢
它主要是采用
基于SaaS模式的Web安全监测系统
来实现混合Web安全架构部署
它主要的目的是实现
一体化的防护部署
我们分别来看
首先我们来看一下Web应用防火墙
又称WAF
Web运用防火墙它具有四大功能
第一是审计功能
用来截断所有HTTP数据
或者仅仅满足某些规则的会话
第二个是访问控制功能
用来控制对Web应用的访问
既包括主动安全模式
也包括被动安全模式
第三个是网络设计工具的功能
当以反向代理模式运行时
用来分配职能
集中控制,虚拟基础结构等等
最后一个功能是应用加固工具功能
它需要增强被保护Web应用的安全性
既能够屏蔽Web应用的固有弱点
又能够保护
Web应用编程错误所导致的安全隐患
这个就是Web应用防火墙
WAF的四大主要功能
接下来我们看一下基于SaaS模式的
Web安全监测
第一个是木马监控
它是用来全面检测和挖掘深藏的木马
那么静态检测呢
是通过对网页内的代码进行特征匹配
来进行检测
而动态
检测则是通过在沙箱内来执行代码
并抓取代码行为的方式进行检测
这是二者的主要区别
第二个安全监测方法是敏感词监控
采用爬虫方式
实现高并发搜索网页敏感词
内置的敏感词词库
以及自定义的敏感词
实际上是我们重点监控的内容
第三个是篡改监控
我们需要能够准确的识别篡改
对于网页页面模板
页面源码、页面相似度等各方面
来进行比对
最后一个是DNS监控
解析结果与域名解析商来进行比较
如果发现域名劫持
域名解析失败的问题
需要进行及时的处理
这就是基于SaaS模式的Web安全
监测的四项功能
那么接下来我们来看一下
混合Web安全部署加构
混合Web安全部署
它主要解决三大问题
第一是Web业务功能影响的问题
它需要能够监测和防护域名解析
负载均衡和代理服务
等各方面所面临的安全危险
第二个是Web业务性能的影响问题
我们说进行Web安全防护
不得对
原有网络的业务产生较大的影响
第三个
是Web安全监测
与防护综合效能的发挥
Web漏洞的感知和验证
Web系统可运用监控
源代码安全分析
0 Day漏洞发现、Web未知资产监测
DoS攻击防护、0 Day漏洞防护
Web常见攻击防护、Web页面内容防护
Web数据防护以及
Web运维防护等等内容
是我们在 Web安全监测和防护
综合运用时
需要发挥的综合性能
同学们接下来我们来思考以下问题
那么我们如何在
Web系统的设计实现和部署的时候
尽量避免漏洞的发生
比如说在
Web系统的设计阶段
如何避免出现设计错误
Web系统的实现阶段
如何避免Web应用程序
它的不安全实现
在Web系统的部署阶段
我们如何通过配置来避免
不安全因素的产生
这就是我们这节课
请同学们课下思考的问题
同学们
这节课我们就讲到这里
感谢观看
下次再见
-课程总览
-1.1 网络与网络空间
-1.2 网络安全与网络空间安全
-1.3 网络空间安全与国家安全
-1.4 网络空间安全威胁 风险与攻防
-第1章 习题
--第1章 习题
-2.1 安全理论 技术 与工程的关系
-2.2 网络空间信息系统安全工程
-2.3 网络空间安全技术体系
-2.4 网络安全与攻防对抗模型
-第2章 习题
--第2章 习题
-3.1 攻击模型与攻击链
-3.2 攻击向量与攻击面
-3.3 攻击图
--3.3 攻击图
-3.4 网络安全攻击技术分类
-3.5 典型的安全攻击方法
-第3章 习题
--第3章 习题
-4.1 密码与加密概述
-4.2 对称加密技术
-4.3 非对称加密技术
-4.4 哈希技术
--4.4 哈希技术
-4.5 认证技术与PKI体系
-第4章 习题
--第4章 习题
-5.1 信任体系与零信任安全
-5.2 操作系统与终端安全
-5.3 网络安全防护架构
-5.4 典型的网络安全技术
-第5章 习题
--第5章 习题
-6.1 漏洞扫描与漏洞挖掘技术
-6.2 Web安全技术
-6.3 软件安全技术
-6.4 数据安全技术体系
-6.5 信息隐藏技术
-第6章 习题
--第6章 习题
-7.1 网络安全风险评估技术
-7.2 网络安全测评技术
-7.3 网络安全等级保护
-7.4 网络安全情报分析与态势感知技术
-7.5 内容安全技术
-第7章 习题
--第7章 习题
-8.1 工业控制系统安全保障
-8.2 物联网安全保障
-8.3 信息物理系统安全保障
-8.4 云计算安全保障
-8.5 区块链安全保障
-第8章 习题
--第8章 习题