第5章应用安全

5.1 应用安全概述

目前，由于采用三层结构应用系统的企业越来越多，应用越来越广泛，随之而来的针对应用安全的威胁也日益凸显，攻击者会利用Web应用系统、中间件或者数据库的漏洞进行攻击，得到Web应用服务器或者数据库服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，甚至在网页中植人恶意代码，控制应用系统并给访问者带来侵害。

5.2 常见的web应用安全漏洞

5.2.1 SQL注入漏洞

针对SQL注入漏洞，可以采用如下几种防护手段：

参数类型检测
参数类型检测主要面向纯字符型的参数查询，可以用以下函数实现：
- int intavl(mixed $var[,int$base=10]):通过使用指定的进制base转换（默认是十进制），返回变量var的integer数值。
- bool is numeric (mixed Svar): 检测变量是否为数字或数字字符串，但此函数允许输人为负数和小数。
- ctype digit: 检测字符串中的字符是否都是数字，负数和小数检测不通过。

在特定情况下使用这三个函数，可限制用户的输人为数字型。在一些仅允许用户参数为数字的情况下非常适用。

参数长度检测
危险参数过滤常见的危险参数过滤包括关键字、内置函数、敏感字符的过滤，其过滤方法主要有以下三种：
- 1）黑名单过滤
- 2）白名单过滤
- 3）GPC过滤
参数化查询

5.2.2 文件上传漏洞

1.文件上传漏洞的原理

一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件并传递给PHP解释器，从而在远程服务器上执行任意PHP脚本。
造成恶意文件上传的原因主要有三种：

文件上传时检查不严
文件上传后修改文件名时处理不当
使用第三方插件时引入

2.文件上传攻击实例分析

3.文件上传漏洞常见防护手段

系统开发阶段的防御
系统运行阶段的防御
安全设备的防御

5.2.3 XSS

XSS的定义

路站脚本攻击(Cros site Siping, xSS是指攻击者利用网站程序对用户输人过能的不足，输人可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 XSS是常见的Web应用程序安全漏洞之一。xss 属于客户端攻击，受害者是用户。不要以为受害者是用户，就认为跟自己的网站、服务器安全没有关系，千万不要忘记网站管理人员也属于用户之一，这就意味着XSS可以攻击“服务器端”。因为管理员要比普通用户的权限大得多，一般管理员都可以对网站进行文件管理、数据管理等操作，所以攻击者有可能靠管理员身份作为“跳板”实施攻击。当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下就将它发送给一个网页浏览器，可能会产生跨站脚本攻击。xSS允许攻击者在受害者的浏览器上执行脚木，从而劫持用户会话、危害网站或者将用户转至恶意网站。

XSS的分类

反射型XSS
存储型XSS
基于DOM的XSS

XSS漏洞常见的防护手段

过滤特殊字符
使用实体化编码

5.2.4 CSRF

跨站请求伪造

1.CSRF的原理

要完成一次CSRF攻击，受害者必须一次完成两个步骤：
1）登录受信任网站A，并在本地生成Cookie
2）在不登出A的情况下，访问危险网站B

2.CSRF的三种不同危害方式

论坛等可交互的地方
web攻击者
网络攻击者

3.CSRF漏洞的常见防护手段

添加验证码
验证referer
利用token

5.2.5 远程代码执行漏洞

防范

禁用高危系统函数
严格过滤关键字符
严格限制允许的参数类型

5.3 恶意代码

5.3.1 恶意代码的定义

黑客通过上文介绍的几种常见安全漏洞渗透到Web应用之后，就可以通过上传恶意代码来实现对服务器的进一步控制。恶意代码( Malicious Code)又称为恶意软件，是能够在计算机系统中进行非授权操作的代码。恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另-段程序中，从而达到破坏被感染电脑数据，运行具有入侵性或破坏性的程序，破坏被感染电脑数据的安全性、完整性和可用性，盗取应用系统和用户重要数据的目的。

5.3.2 恶意代码的特点

恶意破坏
其本身为程序
通过执行发生作用

5.3.2 恶意代码的分类

逻辑炸弹
Rootkit
木马
病毒
蠕虫
Zombie
WebShell

5.3.4 恶意代码的危害

破坏数据
占据磁盘存储空间
抢占系统资源
影响计算机运行速度

5.3.6 典型恶意代码原理与防范分析

WebShell介绍
Webhell文件通常是可执行的脚本文件，与操作系统中的木马类似，可以理解为是一种 Web脚本形式编写的木马后门，一般用于远程控制Web服务器。WebShell 往往以ASP、PHP、ASPX、JSP等网页文件的形式存在。攻击者首先利用上文介绍过的文件上传漏洞或者CSRF等漏洞来将这些非法的网页文件上传到服务器的Web目录，然后使用浏览器访问，利用网络文件的命令环境来获得一定的远程操作权限，以达到控制服务器的目的。WebShell一般与普通的上网端口一样都是通过80端口进行的，所以一般不会被防火墙拦截，而且使用WebShell般只会在 Web日志中留下记录，而不会在操作系统中留下记录，因此隐蔽性比较高。
2.WebShell危害
WebShell危害攻击者在人侵一个Web应用服务器后，常常将这些脚本木马后门文件放置在服务器的Web目录中，然后攻击者就可以用Web页面的方式，通过脚本木马后门控制web服务器，包括上传下载文件、查看数据库、执行任意程序命令等。
3.一句话WebShell案例
“一句话”就是通过向服务端提交一句简短的代码来达到向服务器插入Web脚本形式的木马并最终获得WebShell的方法。
4.防范方法
服务器安全设置
应用安全防护
控制文件上传

5.4 中间件安全

5.4.1 中间件概述

中间件是一种独立的系统软件或服务程序，分布式应用程序借助这种软件在不同的技术之间共享资源。中间件位于客户机/服务器的操作系统之上，管理计算资源和网络通信。
从中间件的定义可以看出，中间件不仅仅实现互连，还能实现应用之间的互操作。中间件是基于分布式处理的软件，定义中特别强调了其网络通信功能。

5.4.2 中间件的分类

从功能性外延来看，中间件包括交易中间件、消息中间件、集成中间件
在软件支撑和架构的定位来看，基本可以分为三大类：应用服务类中间件、应用集成类中间件、业务架构类中间件

1，应用服务类

提供综合的计算环境和支撑环境平台

2.应用集成类

应用集成类中间件是提供各种不同网络应用系统之间的消息通信、服务集成和新为集成的功能，包括常见的消息中间件、企业集成EAI、企业服务总线以及相配套的活和器等。

3.业务架构类中间件

5.5 数据库安全

5.5.1 数据库概述

5.5.2 数据库标准语言SQL

第8章舆情分析

8.1 舆情的概念

8.1.1 舆情与网络舆情

8.1.2 舆情分析的目的和意义

1）有些网络舆情可能影响政府形象，进行舆情监测和分析，能够及时了解事件及舆论动态，对错误、失误的舆论进行正确的引导。
2）政府通过舆情监测与分析，能够掌握社会民意，通过了解社会各阶层成员的情绪、态度、看法、意见以及行为倾向，有助于对是事件做出正确的判定。
3）对企业来说，有效地监测和分析舆情，及时地处理企业在网络上的相关影像，特别是负面影响显得尤为重要。

8.1.3 网络舆情的特点

1）表达的直接性
2)舆情信息在数量上具有海量性
3）舆情信息在内容上具有随意性和交互性
4）传播的迅速性
5）产生的突发性
6）舆情信息在时间上具有实时性和继承性
7）情绪的非理性
8）舆情信息在发展上具有偏差性
9）人在面对一个受关注事件的时候，会经过几个阶段：
- 关注前期
- 发展期
- 爆炸期
- 冷静期
- 冷却期
8.2 网络舆情的分析方法

8.2.1 检索方法

机器检索
人工检索

舆情分析中的检索方法有以下特点：

1）实际操作中自主研发的检索工具使用频率不高，普通商业搜索引擎的使用率较高。
2)机器检索需要事先设定一个目录。
3)机器检索负责数据的粗检索，人工检索负责数据的精细检索。
4）检索的起点是关键字或者排行榜，检索的内容是信息的属性，包括转发量、点击量、评论量、传播关键点。

8.2.2 研判方法

定量研判分析
- 舆情按区域统计分析
- 舆情按时间统计分析
- 舆情按年龄统计分析
- 舆情按性别统计分析
- 舆情按行业统计分析
- 舆情按性质统计分析
- 舆情按密度统计分析
定性研判分析
- 舆情可信度统计研判分析
- 舆情价值统计研判分析
- 舆情等级统计研判分析
- 舆情历史关联统计研判分析
- 舆情趋势预测统计研判分析
- 舆情转预警预测统计研判分析

8.2.3 典型的舆情分析方法

1.双层分析法

传播层分析
动因层分析

2.语义统计分析方法

3.情感倾向分析方法

4.基于web的文本挖掘技术的分析方法

关联规则挖掘
序列模式挖掘
聚类分析
自动分类技术

8.3 舆情分析应用：网络舆情分析系统

8.3.1 基本架构

网络分析系统通常具有以下功能：

1）热点话题、敏感话题识别
2)倾向性分析
3）主题跟踪
4）趋势分析
5）突发事件分析
6）报警系统
7）统计报告

大数据情况下舆情系统一般由网络舆情数据采集、数据预处理、数据聚类和舆情分析和结果呈现等模块组成。

1）数据采集模块
2）数据预处理模块
3）数据聚类模块
4）舆情分析子系统
5）系统管理人员根据需要为各种组及用户分配各种的使用权限
6）管理主要实现对操作系统的记录

8.3.2 信息采集

随着互联网的不断普及，只采用传统方式获取信息，已经不能满足需求，网络爬虫技术( Web Crawler, Spider) 的出现在很大程度上满足了人们在较短时间内查阅大量互联网信息的需求。网络爬虫是相对成熟的一一种自动采集网页信息的方式，适用于网络舆情监控与分析系统。从本质上而言，网络爬虫技术可以作为搜索引擎在互联网上下载所需网页，它只需要访问网页URL与分析Web页面。目前多数程序设计语言都有对应的HTP客户端库，能够快速地抓取页面，并对HTML进行分析。采用正则表达式以及开源HTML Parse进行页面的抓取与分析是相对简单的一种方法。爬虫程序在抓取一个网页后，需要进一步分析并提取该网页中出现URL地址，将所提取的URL地址放人抓取队列，直至达到用户设定的停止条件为止。网络爬虫技术可以大范围地进行网页与网页链接信息的搜索，但并不是无规则地进行网页的抓取与分析，而是用特定算法抓取并解析数据，形成后续队列，并按照规则抓取下一个网页。网络爬虫就是一种到按照用户设定的目标地址自动抓取数据的程序。

8.3.3 网络资源分析

对网络舆情数据进行分析并分析话题，是舆情分析的重要工作。话题是淤青的关注点，根据话题检测与跟踪（TDT）评测会议对“话题”的定义，话题（Tpic）是一个核心事件或活动以及与之直接相关的事件或活动。一般话题发现的研究方法可分为两类：第一类方法主要是寻找适合话题发现的聚类算法或者对已有的聚类算法进新房改造，另一类方法则是挖掘新的话题特征来提高检测的效果。
舆情分析的；另一个任务是感知人们的观点、态度倾向等主观信息。

8.3.4 网页预处理

在获得页面内容后，需要进行页面信息提取。
信息过滤技术（Information Filitering，IF）是根据用户的设定在抓取的网页内容中过滤掉不需要的部分，留下有用的信息并将其保存到指定位置。

8.3.5 信息挖掘

web信息挖掘是由数据库挖掘技术演变而来的，本质是对所需的样品目标进行综合分析，提取出有效的特征值，根据特征值从web信息中分析出用户需要的有效信息。web信息多种多样，相对于字段固定的数据库而言组成极其复杂，因此，web信息不适合使用数据库挖掘技术进行挖掘。

定位web信息源
数据的选择与预处理
有效模式的挖掘
模式的验证分析

8.3.6 归档管理

8.3.7 舆情统计

对网络舆情信息的态势进行统计建模，通常属于网络计量学的范畴。1997年， T.C.Almnid首次提出了网络计量学( Webmertic)的概念，认为网络计量学包括所有使用情报息计量学的概念，计和其他让成方法时网络通信有关问题的研究。在此栋桃E.我间研究者挑出了网络信采用数字、统计学等各种定量方法，对网上信息的组织、存储、分布、传递:相互引证和开发利用等进行定展描述和统计分析，以揭示其数量特征和内在规律。搜索引擎技术为网络信息的计量提供了有效的技术支撑。在这里，需要特别提到的是热点评估和跟踪。热点评估是指根据热点事件中公众的情感和行为反应对舆情进行等级评估并设立相应的预警阅值，词频统计和情感分类是网络舆情评估的两个主要手段。词频统计是对网络调查数据、网络文章关键同和浏览统计数据等信息进行分析并做出评估，这种方式对于文本量大的结构化数据的处理效果较好，但是对于社交网站中海量非结构化的文本数据并不能有效地评估。因此，热点评估方法通常要结合领域词典和相似性计算，根据设立的相似度阈值进行相关情感词语的分类统计。在已有的舆情系统中，决策支持模块一般处于舆情监控系统的服务层，其功能是通过可视化的界面为用户提供决策依据。当前舆情监控系统中决策支持层的主要功能有:利用现有模型对舆情信息进行分析、掌控舆情的热度和发展态势;自动生成各类统计数据和舆情报告辅助决策、实时监控;发现重要信息和敏感信息并及时预警。在当前舆情监控系统中，舆情的应对策略最终由人制定、相对缺少智能化的策略推荐系统。

8.4 舆情分析应用：网络舆情监测系统

网络舆情监测要做到：

依托公开管理的职能，切实掌握网络情况，积极建立健全系统的信息数据库。
对于网络上的热点新闻、事件以及人物，在实现网络监控的同时，视情况可进行网下的深入调研。
充分利用计算机技术与网络技术，对网络舆情监控系统的信息进行深层挖掘，切实掌握维稳工作所涉及的各类网络舆情信息，注重舆情的有效引导。

8.4.1 网络舆情监测系统的产生

8.4.2 网络舆情监测系统的构成

信息采集模块
正文提取模块
文本聚类模块
文本分类模块
情感分析模块

8.4.3 网络舆情监测系统的作用

及时、全面的收集舆情
分析舆情
监测结果将成为重要决策依据

2019-2020-1 学期 20192410 《网络空间安全导论》第11周学习总结

第5章 应用安全