1. Web应用基础
1.1 web应用的基本概念
-
Web(World Wide Web)也称为万维网
-
脱离单机
-
Web应用在互联网上占据连及其重要的地位
-
Web应用的发展
-
INTERNET(1970)
-
WEB(1990)
-
Web1.0(1995)
-
Web2.0(2005)
-
Web3.0(2018)
-
-
1.2 Web应用系统的体系架构
- 广泛使用的是浏览器/服务器架构(B/S)
1.3 Web应用系统安全的突破点
-
Web安全问题越来越突出
-
浏览器安全问题却是最常见的安全突破点
2. 浏览器所面临的安全威胁
2.1 XSS(跨站脚本攻击)
-
基本概念
-
Cross Site Scripting
-
跨站脚本攻击是由于网站允许脚本运行,而开发人员对用户提交的数据没有进行严格的控制,使得用户可以提交脚本到网页上,这些脚本在其它用户访问时可以加载并执行
-
脚本包括JavaScript、Java、 VBScript、 ActiveX、 Flash 甚至是普通的HTML语句。
-
跨站脚本攻击是目前互联网最普遍的面向浏览器的攻击方式
-
-
攻击原理
- 反射型
- 存储型
- DOM型
- 攻击流程
-
危害
-
执行命令
-
劫持用户绘画
-
插入恶意内容
-
重定向用户访问
-
窃取用户会话信息
-
隐私信息
-
下载蠕虫木马到受害者计算机
-
2.2 CSRF(跨站请求伪造)
-
基本概念
-
跨站请求伪造是一种以用户身份在当前已经登陆的Web应用程序上执行非用户本意操作的攻击方法
-
在2017年发布的新版OWASP Top10中,CSRF排名第8
-
攻击原理
-
CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作
-
通常由于服务端没有对请求做严格过滤引起的
-
-
攻击流程
-
危害
-
修改用户信息
-
修改个人信息
-
修改发货地址
-
执行恶意操作
-
修改密码
-
伪造身份诈骗
-
2.3 网页挂马
-
基本概念
- 网页挂马是攻击者构造携带木马程序的网页,该网页在被浏览器访问时,利用系统漏洞、浏览器漏洞或用户缺乏安全意识等问题,将木马下载到用户的系统中并执行,从而实现对用户的系统进行攻击。
-
攻击原理
-
常见途径
-
利用操作系统、浏览器基至浏览器的组件的漏洞,当用户浏览网页时,页面中预定义的攻击代码被执行,利用漏洞将木马下载到目标计算机系统中并进行执行,典型案例是多年前存在的Adobe Flash组件存在的格式化字符串漏洞,,使 得攻击者可构造挂马网页,在渲染页面内容时将禾马释放到受害者的系统中
-
将木马伪装 成页面中的元素,例如下载网站中用户要下载的软件,当用户认为自己下载的是软件,在下载后安装时使得木马进入受害者的系统中;
-
利用浏览器脚本运行配置过于宽松的设置,当浏览器的脚本权限设置为全部无需用户确认执行时,攻击者可构造特定的网页,当用户访问时,通过脚本将木马释放到用户的系统中。
-
-
危害
-
盗取个人信息
-
改写磁盘、对计算机系统进行破坏
-
2.4 网络钓鱼
-
基本概念
- 网络钓鱼(Phishing)是攻击者利用欺骗性的电子邮件或其
他方式将用户引导到伪造的Web页面来实施网络诈骗的
种攻击方式
- 网络钓鱼(Phishing)是攻击者利用欺骗性的电子邮件或其
-
主要手法
-
发送电子邮件,以虚假信息引诱用户中圈套
-
建立假冒网上银行、网上证券网站,
-
骗取用户帐号密码实施盗窃
-
利用虚假的电子商务进行诈骗
-
利用手机短信、QQ、微信进行各种各样的“网络钓鱼
-
利用木马和黑客技术窃取用户信息后实施盗窃
-
利用用户弱口令等漏洞破解猜测用户帐号和宓码
-
-
攻击媒介占比
-
在2020年第一季度期间,由于疫情原因,网络钓鱼攻击越发严重,主要应用在移动钓鱼和Web网络钓鱼攻击
-
Email攻击占18%
-
Web攻击占59%
-
移动网络攻击占23%
-
-
案例分析
-
2018年美国审计署被转走88.8.万美元
-
这些网站似曾相识www.1cbc.com www.1enove.com
-
发布虚假的商品销售信息
-
木马盗走账号密码
-
银行密码被弱口令破解
-
3. 养成良好的Web浏览安全意识
3.1为什么要养成良好的Web浏览安全意识
-
75%的信息安全攻击都发生在Web应用层而非网络层面
-
在Web应用所面临的安全隐患中,浏览器安全问题却是最常见的安全突破点。
3.2 怎样养成良好的Web浏览安全意识
-
关注web浏览过程中的隐私保护问题
- 关注web浏览过程中的隐私保护问题——主流浏览器的隐私白皮书
-
慎用密码自动保存功能
- 禁止使用密码保存和自动登陆
-
Web浏览中的最小特权原则
-
定义:指基于计算机、用户或每个模块完成功能所必须的信息或资源
-
一个“明确”四个“不”原则
-
明确需要访问的资源
-
不需要的页面不要随便访问
-
不明确的链接不随意去点击
-
不需要下载的文件不要下载
-
不熟悉的联网方式不要随便连接等
-
-
-
确保登录口令安全
- 口令是身份鉴别中最常用的鉴别措施,用户安全意识不足,设置口令过于简单会使得攻击者很容易才出用户的口令从而实施攻击
-
设置口令原则
-
足够的复杂性,口令的相关信息包括验证信息勿外传
-
口令分类分级,避免多个网站共用一个口令导致的撞库攻击;
-
养成定期更改口令的好习惯;
-
登录时应注意防“偷窥”
-
-
不明链接访问要确认
- 目的是为了防范网页挂马攻击和网络钓鱼。对该超链接中真正访问的链接地址进行确认,而不是看该超链接标识的地址
-
关注网站备案信息
-
防范目的:网络欺诈
-
我国对于网站上线要求具备ICP备案号
-
攻击者构建的网络钓鱼网站通常情况下无法进行备案
-
没有备案信息,或备案信息与网站不一致,网站的安全性存疑
-
4. 如何安全使用浏览器
4.1 清除浏览数据
-
浏览器缓存数据
-
浏览记录
-
页面信息
-
下载记录
-
cookie
-
用户名/密码和其他登陆数据
-
自动填充表单数据
-
网站设置
-
托管应用数据
-
-
应养成定期清除浏览记录
4.2 防止跟踪
-
什么是cookie?
-
cookie是浏览器使用的文本格式的小文件,用于存储用户信息和用户偏好等信息
-
一般在浏览器的设置中可以看到所访问网站的cookie
-
cookie通常是加密的
-
Cookie是指网站放置在电脑上的小文件,其中存储有关用户和用户偏好的信息。Cookie可让网站记住用户的偏好或者让用户避免在每次访问某些网站时都进行登录,从而改善用户的浏览体验。但是,有些Cookie可能会跟踪用户访问的站点,从而危及个人隐私安全。所以在非私人电脑上使用浏览器,可以对Cookie进行删除和管理,不同的浏览器具有不同的操作步骤。
-
-
cookie的作用
-
为了证明我是我
-
http协议附加状态
-
根本原因是为了解决http协议无状态无连接问题
-
-
cookie的安全隐患
-
cookie欺骗
-
cookie篡改
-
-
浏览器中防止跟踪的安全设置
- 无痕模式下阻止第三方cookie篡改
-
退出时清除cookie及网站数据
-
设置浏览器的“不跟踪”请求
-
设置“网站设置”中的选项,控制网站的权限
-
4.3 避免自动口令填充
-
浏览器的自动填充功能可以保存用户输入的登录口令
-
计算机不是安全可控则使用自动填充功能会带来登录信息泄露的风险
-
较为重要的网站的账号和口令尽量不要设置自动填充,更不要保存到云端
-
可以管理自动填充的账号和口令
4.4 慎用代理服务器
-
代理服务器访问模式
-
在代理模式下,用户的访问信息都需要通过代理服务器进行处理
-
如果代理服务器的安全性无法保证,应尽量避免使用