应用广泛 • Web已成为互联网第一大应用 • Web应用流量占TCP流量的67.7% 漏洞普遍 •超过90%的Web系统存在某种漏洞 • 75%的网络攻击通过HTTP/HTTPS 协议危害严重 •一旦被入侵将会造成大范围影响 •通常被作为高级攻击的跳板导致更大损失2. 2012年度国内web安全现状

国家互联网应急中心发布《2012年我国互联网网络安全态势综述》, 该报告显示:去年我国网络基础设施运行总体平稳,但安全形势不容 乐观,面临的境外攻击威胁依然严重。据监测,去年我国境内被篡改 网站数量为16388个,据监测,其中政府网站1802个,分别同比增长 6.1%和21.4%。3. 典型web安全案例

夜龙行动 •通过SQL注入,入侵外网Web服务器; •以Web服务器为跳板,对内网其他服务器及终端电脑进行扫描; •通过密码***等方式入侵内网服务器及开发人员电脑; •向被入侵电脑植入恶意代码,并安装远端控制工具; •禁用被入侵电脑的IE代理设置,建立直连通道,传回大量机密文件; •更多内网电脑遭到入侵,多半为高阶主管点击了看似正常的邮件附件,却不 知其中含有恶意代码。3. 典型web安全案例

“”曝光的各类安全漏洞3. 典型web安全案例

 2011年底各大网站的“拖库”事件 • 2011.12.21,CSDN社区,约600万用户 • 2011.12.22,天涯社区,近4000万用户 •… •截止12月底,疑似泄露的数据库有 26个,涉及帐号、密码 2.78 亿条。原因分析(来自CSDN蒋涛) •开源CMS系统等第三方系统存在漏洞,导致CSDN系统存在安全风险; – 2013 A9:使用已知的脆弱组件 •应用程序存在跨站脚本漏洞; – 2013 A3:跨站脚本攻击 •网站存在大量系统后台认证漏洞,如弱口令及暴露的后台等; – 2013 A2:失效的身份验证和会话管理 • CSDN已经停用但还在线上的老系统也是导致此次数据泄露的原因之一 – 2013 A6:敏感数据曝光4. 典型web站点架构

URL请求 Web 应用 数据库 Web 应用 Web Web 浏览器服务器 Web应用 数据库 Web应用 Web服务器(Apache、Microsoft IIS、Tomcat、nginx)  Web应用程序(HTML、ASP、JavaScript、JAVA、PHP、Python等) 数据库服务器(Oracle、SQL Server、DB2、MySql)5. web安全研究范畴

狭义的web安全 •只关注web应用代码的安全问题广义的web安全 •涉及整个web应用系统 –数据库 – web服务器 – web应用 – web应用层协议 –浏览器安全本次培训关注狭义web安全问题提纲 一、web应用安全现状 二、owasp top 10漏洞机理及防范 三、典型web安全检测工具机理分析