web安全

培训主要内容：

1.服务器安全（linux、windows)

2.业务安全

3.开发安全（需求、调研、开发、测试、部署）（输入输出、认证会话等）

4.xss跨站（反射型、存储型、远程文件包含、上传文件过滤不严）

5.csrf(跨站请求伪造，更新时加token）

6.信息泄露（svn、web.xml)

7.中间件(iis,apache,tomcat)

8.框架（structs2)

9.数据库（sql注入，GPC型、登录认证、用户名为sql语句）

会有课件

二：webdav

对网盘（特别是同步网盘）比较熟悉的朋友们应该都知道目前国内只有极少数的云盘服务支持WebDAV，坚果云是比较被大家熟知的一家。于是，很多朋友或多或少想过这个问题， 为什么只有坚果云等极少数的云盘服务支持WebDAV呢？坚果云在这里说说我们的看法。

首先，普及一下WebDAV是什么。

WebDAV是一组基于超文本传输协议的技术集合，有利于用户间协同编辑和管理存储在万维网服务器文档。通俗一点儿来说，WebDAV 就是一种互联网方法，应用此方法可以在服务器上划出一块存储空间，可以使用用户名和密码来控制访问，让用户可以直接存储、下载、编辑文件。

为了安全上的考虑，IIS默认并不会启动WebDAV的功能，因此必须另外来激活它。

通过启动“IIS管理器”，展开本地计算机，选择“Web服务扩展”，选择“允许”的途径来启动WebDAV功能。

开启WebDAV之后，IIS就支持 PROPFIND 、 PROPPATCH 、 MKCOL 、 DELETE 、 PUT 、 COPY 、 MOVE 、 LOCK 、 UNLOCK 等方法了。

当IIS中的配置允许写入的时候就可以直接PUT文件上去，由此可能引发非常严重的安全问题，强烈建议禁制

当开启了WebDAV后，IIS中又配置了目录可写，便会产生很严重的问题。 wooyun上由此配置产生的问题很多，并且有老外黑了一群中国政府站有一部分就是由于此配置。 危害巨大，操作简单，直接批量扫描，上传shell。

修复方案

1 禁用WebDAV。

通常情况下网站不需要支持额外的方法，右键WebDAV，点击禁用即可。

2 如果要使用WebDAV的话，加上权限验证。

如果选取“脚本资源访问”，则用户将具备修改WebADV文件夹内的脚本文说明件(scriptfile)的功能。

除了此处的虚拟目录权限外，还需要视NTFS权限，才可以决定用户是否有权限来访问WebDAV文件夹内的文件。

WebDAV文件夹的NTFS权限给予用户适当的NTFS权限。

首先请设置让Everyone组只有“读取”的权限，然后再针对个别用户给予“写入”的权限，例如我们给予用户“User”写入的权限。

选择验证用户身份的方法启动“IIS管理器”，然后右击WebDAV虚拟目录，选择“属性”→“目录安全性”，单击“身份验证和访问控制”处的编辑按钮。

不要选取“启用匿名访问”，以免招致攻击。选择安全的验证方法，选择“集成Windows身份验证”。