web安全防护 （HCNP-security）CSSN

web安全防护 （HCNP-security）CSSN

1,web安全概述
2,web基础原理
3,Web攻击浅析
4，URL过滤
5.恶意网页检测
6，web防御技术

web攻击来源

客户端
网站木马
钓鱼
活动内容攻击
等

服务器
web服务器的漏洞
授权认证
跨站
SQL
参考TOP10
等

通讯
DOS cc
窃听
SSL重定向
等

web应用组成部分

web基于客户端 服务器 架构
HTML 描述
URL 指定位置
HTTP 通讯协议

http 无状态

HTTP两类报文
请求和响应

请求报文
请求行，请求头部，空格，请求数据

GET使用环境，分享
POST可能会出现无法分享

cookie 保持HTTP状态的一种技术（客户端）

其实现在已经有web socket

SESSION 会话 （服务端）

1，请求使用Sesson页面
2，sessionid（data）-》（key - valus）
3，返回cookie
4，请求session页面带上 COOKie信息
5，通过CookieSession读取 session
6，返回用户

2017owasp TOP10

A1 - 注入
A2 - 失效的身份认证或者会话管理
A3 -跨站脚本（XSS）
A4 - 失效的访问控制
A5- 安全配置错误
A6 - 敏感信息泄露
A7 -攻击与检测防护不足
A8 -跨站请求伪造（CSRF）
A9 -使用含公开漏洞的组件
A10 -未后有效保护的API

举例
A1-注入 提交的内容被当数据库语句处理了

A3 -跨站脚本 网页直接解析JS代码为可执行

A8 CSRF- 以正常网站的A会话去访问异常网站B

 

web安全防御手段
行为规范
URL过滤上网行为
WEB信誉体系

web应用系统防御/入侵检测
针对服务器漏洞，数据库防御
防御应用级别的攻击

anti-DDOS
防御DDOS攻击

URL过滤技术

url地址结构
协议://hostname:端口/path? query

原理
1,从HTTP GET 即检查域名是否合法，不合法推送页面，然后断开TCP

URL匹配方式
（正则）
前缀匹配
后缀匹配
关键字匹配
精确匹配

URL过滤处理过程

流量重组-应用识别-协议解码-模式匹配-获取匹配结果-黑白名单过滤-自定义分类过滤-恶意URL过滤或者低信誉URL过滤-预定义分本地缓存查找-预定义远程查询-响应处理

web应用系统安全缺陷
1， 程序设计安全隐患
2，配置安全隐患
3，运行平台隐患

WAF可以解决上面的大部分问题
WAF通过检测HTTP报文检测攻击

WAF工作流程
WAF由执行前端-后端中心-数据库组成

HTTP报文 - waf引擎 - 后端中心（匹配数据库策略）-waf(引擎)-输出结果

 

（自学习）白名单建模