培训-中科大web安全技术课件

培训-中科大web安全技术课件

1课程简介

1 基础知识

1.1 褚论

1.2 web的简明历史

1.3 同源策略

1.4 http与cookie

2 web客户端安全

2.1 owasp top ten

2.2 xss与csrf

2.3 clickjacking

2.4 浏览器与扩展安全

2.5 web客户端追踪

2.6 案列分析

3.web服务器端安全

3.1 sql注入

3.2 文件上传

3.3 文件包含

3.4 身份认证与访问控制

3.5 案例分析

4.web安全实践

4.1 ctf之web安全中期考核

4.2 ctf之web安全期未考核

4.3 优秀大作业课堂分享

4.4 课程复习

4.5 考前答疑

1.1 褚论

1.1.1 网络安全现状

1.1.2 web安全体系结构

1.1.1 网络安全现状

1.1.1.1 网络安全的普及率,从网民规模和增长率来说明

几点写总结报告的建议

1.看过一个抖音视频上面的总结报告挺有意思,见抖音号

1.1.1.2 从移动端来看,手机上网网民规模和增长率

1.1.1.3 从应用来划分 即时通信,搜索引擎,网络新闻,网络视频,网上外卖,在线教育,论坛/bbs

                     互联网理财,网上炒股或炒基金,网络直播服务,在线政务服务

1.1.1.4 土耳其冲突事件 发起方:2016年7月15日,部分土耳其军人在首都安卡拉和最大城市伊政变

斯但布尔发动,控制电台,网络。

                        应对方:埃尔多安通过facetime发布信息

1.1.1.5 网络安全威胁

2004 worms viruses 2017 spyware/bots 2011 advance persistent threats  zero days target attacks

Dynamic trojans stealth bots

特点:越来越多样化，越来越难以防护

1.1.1.6 apt报告数量

2014年达到峰值,之后逐年下降

1.1.1.7 极光行动

时间2010年1月12日,事件google的gmail服务受到来自中国的攻击

步骤1.在互联网搜索谷歌员工在facebook、Twitter等社交软件发布的信息

2.攻击者搭建自己的web攻击服务器

3.攻击者给谷歌发送链接,员工点击,运行shellcode造成ie浏览器溢出,远程下载程序并运行

4.通过ssl安全隧道与受害者建立连接,持续监听,获取google员工的账号密码信息

5.成功攻击google的邮件服务器

1.1.1.8 apt1

安全公司mandiant报告称,该公司历时6年追踪141家遭受攻击的企业攻击线索,证实实施攻击的组织属于 上海浦东一栋12层建筑内的中国人民解放军61398部队

Apt1信息;

1入侵对象倾向于以英语为母语的国家 2.调查1905此攻击,95%发起者使用的是上海注册的ip地址,使用的系统是简体中文系统3.任务角色 uglygorilla/dota/supperhard

1.1.1.9 斯洛登

时间2013年6月

1.1.1.10 nsa工具集泄露

2016年8月13日,the shadow brokers黑客组织发布声明,通过入侵方程式黑客组织获取了其使用的工具集

工具集介绍,其及下载,使用方法

1.1.1.11 apt的发展趋势

全球:主要针对政府和能源 中国:政府和科研单位

1.1.1.12 360发布的apt研究报告

1.1.1.13 以中国为目标的apt案例

摩诃草,索伦之眼,海莲花

1.1.2 web安全体系结构

1.1.2.1 网络空间安全理论体系

安全理论体系包括基础理论体系和技术理论体系和应用理论体系

基础:密码学和网络空间理论,密码学对称加密,公钥加密,密码分析,侧信道分析等

空间理论有安全体系架构,大数据分析,对抗博弈等

技术:系统理论与技术芯片安全,操作系统安全,数据库安全,中间件安全等

      网络安全理论与技术,通信安全/互联网安全、网络对抗、网络安全管理

应用:电子商务安全,电子政务安全,物联安全,云计算安全

1.1.2.2 密码安全

有个题目,小伙求爱,结果5次解密,将密码解答出来,才答应约会,解密的后四步人类每天都会用到

题目:

放大:

摩尔斯电码:

经解密:

4194418141634192622374

写成:

41 94 41 81 41 63 41 92 62 23 74

特征:1.41多次出现 2.个位数总是1至4 3.除了十位数是7和9这两个数字后有4其他都没有4

将26个英文字母

手机输入:41表示G,4上有GHI,第1个代表G

依次解密:

G Z G T G O G X N C S

与键盘对比:

解密为: O T O E O I O U Y V L

前6个一行,后5个换行写成:

O T O E O I

O U Y V L

再次排列:

O O T U O Y E V O L I

反序排列:

I L O V E Y O U T O O

1.1.2.3 APT定向攻击手段

鱼叉式网络钓鱼:前面的google的gmail攻击,获取客户一些信息后,通过架设钓鱼网站进行攻击

水坑:通过自定架设或入侵web服务器,插入恶意代码,受害者访问站点执行恶意代码,例如存储型xss

1.1.2.4 网站开发语言

.net java php asp coldfusion perl python jsp

1.1.2.5 owasp top 10

如2013年的注入、失效的身份认证和会话管理、跨站脚本、不安全的直接对象引用、安全配置错误、敏感信息泄露、功能级访问控制缺失、跨站请求伪造、使用含有已知漏洞的组件、未验证的重定向和转发

1.1.2.5 黑客入侵的时间分布

1.1.2.6 2015年重大数据泄密事件

1.1.2.7 2016年为信息安全槽糕年

1.dropbox泄露用户信息

2.last.fm泄露用户信息

3.leakedsource统计愚蠢的用户口令

123456/password/lastfm/123456789/qwerty/abc123/abcdefg/12345/1234/music

1.1.2.8 拖库利用过程

1.1.2.8 信息泄露与网络诈骗

1.1.2.9 网络诈骗产业分工体系

1.1.2.10 入侵老师拿到考卷

1.利用电话语音破解360总裁周鸿祎的电话

2.如何通过入侵老师邮箱拿到期未考卷和修改成绩

1.1.2.11 漏洞利用生命周期

1.1.2.12 漏洞举例

1.dececms在/plus/recommend.php页面存在sql注入漏洞

2.乌云事件

1.1.2.13

浏览器的市场份额chrome ie firefox safari edge

2Web的发展简史

2.1 web发展简史

3.同源策略

3.1 浏览器 浏览器内核 浏览器安全

3.2 同源策略 协议 host port 同源页面之间可以相互访问

Dom的同源策略

1.限制不同源的document

2.<script><img><iframe><link>不受同源策略的限制

3.javascript不能随意跨域操作其他页面dom

4.<iframe>父子页面交互受同源策略约束

5.<script>引入外部js文件,此js源为当前页面

Http和cookie

1.概述

2.历史背景

3.工作流程 位置,工作模式,典型流程1.三次握手-发起请求-响应请求-重复步骤-四次挥手

           请求报文

4.http安全问题 经典攻击数据明文传输,身份认证缺乏校验

4.1.嗅探和中间人攻击

4.2工具 mitmproxy/mitdump/burpsuite

4.3 难点在于怎么将恶意设备插入到通信链路中

 无线网络监听 网络设置劫持 arp欺骗 恶意钓鱼设备 dns劫持

5.https协议

5.1 历史背景 工作流程

5.2 要点 使用证书确认网站身份,基于非对称密钥分发对称密钥,使用对称密钥通信

5.3 rsa非对称加密算法 公钥和私钥

数字证书-ca-证书信任链

5.4 浏览器根证书

5.5 https不足

1.安全方面也有小瑕疵

2.性能与速度方面

3.成本方面

6 cookie

6.1 历史背景

6.2 工作过程 内存cookie和持久cookie

Cookie的三个阶段,生成阶段,设置阶段,使用阶段

Cookie的属性 domain,path,expire,secure,httponly

安全策略:cookie与同源

Cookie的窃取:HTTP协议明文传输

通过xss利用脚本窃取

Cookie猜解:cookie设置简单,暴力猜解

隐私信息泄露:cookie保存隐私信息