第2節(jié)Web安全概述第2章目

錄Web應用基礎Web安全的發(fā)展0102OWASPTOP10簡介0301Web應用基礎Web應用概述Web是目前使用最廣泛的網(wǎng)絡和應用技術(shù)。CNCERT/CC網(wǎng)絡安全監(jiān)測系統(tǒng)對流量數(shù)據(jù)進行的抽樣統(tǒng)計顯示，Web應用流量占整個TCP流量的81.1%Web流量居統(tǒng)治地位：新聞資訊、電子商務、網(wǎng)上銀行、證劵、手機上網(wǎng)、電子政務。注：關(guān)于Web應用基礎的內(nèi)容介紹，請參閱第二章/Web應用基礎.mp4Web應用概述Web服務器也稱為WWW（WorldWideWeb,萬維網(wǎng)）服務器，主要功能是提供網(wǎng)上信息瀏覽服務。Web用于解析HTTP/HTTPS協(xié)議。當Web服務器接收到一個http請求(request)，會返回一個http響應(response)，如：返回一個html頁面，但一般而言，Web服務器不用于處理業(yè)務邏輯。什么是WebWeb應用概述Web瀏覽器訪問Web服務器資源：Web的工作機制Web服務器客戶機Web服務器存放著各類Web資源（文件、圖片等）HTTP找到了，給你我需要xx文件（通過URL指定位置）Web應用概述Web典型四層架構(gòu)訪問表示層呈現(xiàn)HTML加載、編譯并執(zhí)行index.php邏輯層發(fā)送HTMLWeb瀏覽器/呈現(xiàn)引擎與數(shù)據(jù)存儲交互，利用應用程序和業(yè)務邏輯應用層為Web服務器提供數(shù)據(jù)執(zhí)行SQL存儲層返回數(shù)據(jù)編程語言：C#、ASP、.NET、PHP、JSP等CFC、EJB、SQAP、RMWeb服務等數(shù)據(jù)庫：MSSQL、MySQL、Oracle等腳本引擎RDBMSWeb應用概述Web三大支撐技術(shù)01.統(tǒng)一資源定位（URL）URL是對互聯(lián)網(wǎng)上的信息資源進行命名和定位的一種標準機制，用于說明如何訪問Web資源，包括服務器名稱、路徑、文件名等。URL格式例如：/main.htm<協(xié)議>：//<主機名：端口>/<文件路徑>Web應用概述02.超文本標記語言（HTML）HTML是一種能夠為所有計算機所理解的信息資源描述語言，HTML文檔經(jīng)瀏覽器解釋后，就展現(xiàn)為豐富多彩的Web頁面。03.超文本傳輸協(xié)議（HTTP）HTTP是一種詳細規(guī)定了瀏覽器和萬維網(wǎng)服務器之間互相通信的規(guī)則，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。HTTP是一個應用層協(xié)議，由請求和響應構(gòu)成，是一個標準的客戶端服務器模型。HTTP協(xié)議分析HTTP協(xié)議概述HTTP（HypertextTransferProtocol）的中文全稱為：超文本傳輸協(xié)議，是一種分布式、合作式的多媒體信息系統(tǒng)服務。HTTP是面向應用層的協(xié)議、基于傳輸層的TCP協(xié)議進行通信。HTTP協(xié)議是通用的、無狀態(tài)的協(xié)議。用于在服務器和客戶機之間傳輸超文本文件。Web服務器客戶機向服務器發(fā)出Web請求1Internet功能2尋找頁面將文檔傳送給Web瀏覽器3HTTP協(xié)議分析HTTP協(xié)議的組成請求行：方法，URI，協(xié)議/版本（Method-URI-Protocol/Version）請求頭部（Requestheaders)請求實體（Entitybody）相應行：協(xié)議，狀態(tài)碼，代碼描述（Protocol-Statuscode-Description）響應頭部（Responseheaders）響應實體（Entitybody）HTTP請求（Requests）HTTP響應（Responses）HTTP協(xié)議分析HTTP請求報文HTTP請求結(jié)構(gòu)請求方法空格URL空格協(xié)議版本回車符換行符頭部字段名：值回車符換行符回車符換行符...請求實體請求頭部請求行頭部字段名：值回車符換行符請求行請求頭部請求數(shù)據(jù)HTTP協(xié)議分析HTTP響應報文HTTP響應結(jié)構(gòu)協(xié)議版本空格狀態(tài)碼空格狀態(tài)碼描述回車符換行符頭部字段名：值回車符換行符回車符換行符...響應實體響應頭部請求行頭部字段名：值回車符換行符第一行請求行：說明協(xié)議是使用的HTTP1.1，響應請求已成功(200表示成功)，一切已OK響應的實體是HTML那一部分的內(nèi)容。頭部和實體也都是被CRLF序列分離開的響應頭部和請求頭部相似，也包含一些有用的信息。HTTP協(xié)議分析常見的HTTP請求方法請求方法含義GET請求獲取由Request-URI所表示的資源POST在Request-URI所標識的資源后附加新的數(shù)據(jù)HEAD請求獲取由Request-URI所標識的資源的響應消息報頭PUT請求服務器存儲一個資源，并用Request-URI作為其標識DELETE請求服務器刪除由Request-URI所標識的資源TRACE請求服務器回送收到的請求信息，主要用于測試或診斷OPTIONS查看服務器對某個特定URL都支持哪些請求方法CONNECT用于某些代理服務器，能把請求的連接轉(zhuǎn)化為一個安全隧道HTTP協(xié)議分析HTTP響應狀態(tài)碼狀態(tài)碼定義說明1XX信息接收到請求，繼續(xù)處理2XX成功操作成功地收到，理解和接受3XX重定向為了完成請求，必須采取進一步措施4XX客戶端錯誤請求的語法有錯誤或不能完成被滿足5XX服務端錯誤服務器無法完成明顯有效的請求HTTPS協(xié)議概念HTTPS（HypertextTransferProtocoloverSecureSocketLayer），是以安全為目標的HTTP通道，在HTTP下加入SSL層的協(xié)議。HTTPS和HTTP的區(qū)別HTTPS協(xié)議需要到CA申請證書。HTTP是明文傳輸，HTTPS則是具有安全性的SSL加密傳輸協(xié)議。HTTP和HTTPS使用的端口也不一樣，前者是80，后者是443。HTTP的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，比HTTP協(xié)議安全。HTTP協(xié)議分析常見的服務器中間件中間件概念中間件（Middleware）是提供系統(tǒng)軟件和應用軟件之間連接的軟件。中間件是一種獨立的系統(tǒng)軟件或服務程序，分布式應用軟件借助這種軟件在不同的技術(shù)之間共享資源。中間件是一類軟件的總稱，不是單獨的一個軟件。中間件可以叫做中間件服務器，也可以叫做應用服務器。常見中間件IIS、Apache、Nginx、Tomcat常見的服務器中間件IIS簡介IIS（InternetInformationServices）即互聯(lián)網(wǎng)信息服務，是由微軟公司提供的基于運行MicrosoftWindows的互聯(lián)網(wǎng)基本服務。利用IIS，可以發(fā)布網(wǎng)頁，并且支持ASP（ActiveServerPages）、JAVA、VBscript等腳本格式，同時支持一些擴展功能。IIS控制臺界面常見的服務器中間件Apache簡介Apache是目前世界上使用人數(shù)最多的服務器中間件。Apache可以運行在幾乎所有廣泛使用的計算機平臺上，由于其跨平臺和安全性被廣泛使用。Apache首頁常見的服務器中間件Nginx簡介Nginx是一款輕量級的Web服務器/反向代理服務器一個高性能的HTTP和反向代理的Web應用服務器。Nginx首頁Nginx的優(yōu)勢在于免費開源、高性能、穩(wěn)定性強。國內(nèi)多數(shù)大型企業(yè)均有應用Nginx，如：百度、新浪、網(wǎng)易、騰訊、淘寶等。常見的服務器中間件Tomcat簡介Tomcat是一個免費、開源的Web應用服務器。Tomcat屬于輕量級應用服務器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試JSP程序的首選。Tomcat首頁02Web攻擊手段的變化Web攻擊的變化趨勢Web攻擊的發(fā)展特點早期

炫耀Web攻擊技術(shù)現(xiàn)在

政治、經(jīng)濟等利益驅(qū)使，竊取Web應用數(shù)據(jù)Web攻擊的發(fā)展趨勢趨勢一

Web應用數(shù)據(jù)泄露越來越嚴重超過半數(shù)的網(wǎng)站W(wǎng)eb應用數(shù)據(jù)遭受泄露、造成重大財務損失；趨勢二“云”上業(yè)務威脅越來越多企業(yè)的業(yè)務上“云”，讓黑客有了更多的攻擊目標；趨勢三

針對API接口的攻擊越來越普遍大數(shù)據(jù)時代下，普遍應用的API接口被忽視安全使用規(guī)范，造成攻擊威脅。SQL注入

XSS跨站腳本

CSRF跨站請求偽造文件上傳文件包含命令執(zhí)行邏輯漏洞

XML外部實體注入目錄遍歷會話固定點擊劫持

CC攻擊常見Web應用攻擊手段常見Web應用攻擊手段新型Web應用攻擊攻擊手段一供應鏈攻擊供應鏈攻擊是一種以軟件開發(fā)人員和供應商為目標的一種威脅,攻擊者通過感染合法應用來分發(fā)惡意軟件來訪問源代碼、構(gòu)建過程或更新機制從而達到對開發(fā)人員和供應商進行攻擊的目的。攻擊事件2020年12月，SolarWinds旗下軟件被用于供應鏈攻擊。2021年03月，國際航空電信公司(SITA)受到供應鏈攻擊。攻擊手段二第三方組件攻擊Web應用有將近80%的代碼來自于第三方組件、依賴的類庫，攻擊者通過第三方組件的安全漏洞，可快速攻陷服務器。03OWASPTOP10簡介什么是OWASPTOP10？OWASP開放式Web應用程序安全項目（OpenWebApplicationSecurityProject）OWASP是一個組織，它提供有關(guān)計算機和互聯(lián)網(wǎng)應用程序的公正、實際、有成本效益的信息。其目的是協(xié)助個人、企業(yè)和機構(gòu)來發(fā)現(xiàn)和使用可信賴軟件。什么是OWASPTOP10OWASP每隔數(shù)年會更新10個最關(guān)鍵的Web應用安全問題清單，即OWASPTOP10。OWASPTOP10不是官方文檔或標準，而是一個被廣泛采用的意識文檔，被用來分類網(wǎng)絡安全漏洞的嚴重程度，目前被許多漏洞獎勵平臺和企業(yè)安全團隊評估錯誤報告。這個列表總結(jié)了Web應用程序最可能、最常見、最危險的十大漏洞，可以幫助IT公司和開發(fā)團隊規(guī)范應用程序開發(fā)流程和測試流程，提高Web產(chǎn)品的安全性。什么是OWASPTOP10？OWASP在業(yè)界的影響力推動了數(shù)以百萬的IT從業(yè)人員對應用安全的關(guān)注以及理解，并為各類企業(yè)的應用安全提供了明確的指引。12345OWASP被視為Web應用安全領域的權(quán)威參考。國際信用卡數(shù)據(jù)安全技術(shù)PCI標準更將其列為必要組件。為歐洲網(wǎng)絡與信息安全局（ENISA),云計算風險評估提供參考。為美國國家安全局/中央安全局，可管理的網(wǎng)絡計劃提供參考。成為IBMAPPSCAN、HPWEBINSPECT等掃描器漏洞參考的主要標準。OWASPTOP10主要內(nèi)容2013年、2017年的OWASPTOP10對比OWASPTOP10主要內(nèi)容2017年、2021年的OWASPTOP10對比本章介紹了Web應用的概念、架構(gòu)、支撐技術(shù)。解釋了HTTP協(xié)議的結(jié)構(gòu)、請求方法、響應狀態(tài)碼。介紹了傳統(tǒng)的Web應用攻擊手段和新型Web應用攻擊手段以及變化趨勢。講解OWASPTOP10安全風險列表，分析了近10年來Web安全的風險變化趨勢與特點。01.01.02.02.03.03.總結(jié)為什么HTTP協(xié)議那么不安全，還是有這么多網(wǎng)站使用HTTP協(xié)議？1思考題謝謝第2節(jié)常見Web攻擊與防御第2章目

錄01常見Web攻擊簡介02SQL注入攻擊與防護03XSS跨站腳本攻擊與防護04CSRF跨站請求偽造攻擊與防護目

錄05文件上傳攻擊與防護07命令執(zhí)行攻擊與防護08邏輯漏洞攻擊與防護09XML外部實體注入攻擊與防護06文件包含攻擊與防護01常見Web攻擊簡介常見Web攻擊的基本流程STEP1STEP2STEP3STEP4Web攻擊基本流程明確目標與信息收集：IP/域名查詢、應用信息漏洞探測(手動&自動)：自動漏掃、手動挖掘漏洞利用：SQL注入、XSS跨站腳本、文件上傳、邏輯漏洞、命令執(zhí)行...權(quán)限提升與維持：Web后門、遠程控制VNC、創(chuàng)建隱藏賬號Web安全測試行為規(guī)范課堂知識應用行為規(guī)范禁止將課堂知識應用到公網(wǎng)；禁止在未授權(quán)的情況下對學校服務器進行非法攻擊；隨意對互聯(lián)網(wǎng)的服務器進行攻擊的行為，將會受到法律約束。第二百八十五條【非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪】刑事責任《中華人民共和國刑法》違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。網(wǎng)絡靶場介紹什么是網(wǎng)絡靶場網(wǎng)絡靶場（CyberRange）是一種基于虛擬化技術(shù)，對真實網(wǎng)絡空間中的網(wǎng)絡架構(gòu)、系統(tǒng)設備、業(yè)務流程的運行狀態(tài)及運行環(huán)境進行模擬和復現(xiàn)的技術(shù)或產(chǎn)品，以更有效地實現(xiàn)與網(wǎng)絡安全相關(guān)的學習、研究、檢驗、競賽、演練等行為，從而提高人員及機構(gòu)的網(wǎng)絡安全對抗水平。常見靶場Web靶場綜合靶場DVWA、Sqli-Labs、bWAPP、WebGoat、Upload-Labs等Vulnhub、HackTheBox等Web靶場

DVWADVWA（DamnVulnerableWebApplication）是一個用來進行安全脆弱性鑒定的PHP/MySQLWeb應用，旨在為安全專業(yè)人員測試自己的專業(yè)技能和工具提供合法的環(huán)境，幫助Web開發(fā)者更好的理解Web應用安全防范的過程。Web靶場

bWAPPbWAPP是一個免費的、開源的、有缺陷的Web應用程序。bWAPP可以幫助安全愛好者、開發(fā)人員和學生發(fā)現(xiàn)并防止Web漏洞。它涵蓋了所有已知的主要Web漏洞，包括OWASPTop10項目的所有風險。網(wǎng)絡靶場介紹Burpsuite工具介紹注：有關(guān)于如何配置使用Burpsuite工具，請參閱第二章/Burpsuite工具配置及使用.mp4BurpSuite是用于攻擊Web應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都共享一個能處理并顯示HTTP消息、持久性、認證、代理、日志、警報的可擴展框架。功能說明ProxySpiderIntruderRepeaterDecoder攔截HTTP/S的代理服務器，作為一個在瀏覽器和目標應用程序之間的中間人，允許你攔截，查看，修改在兩個方向上的原始數(shù)據(jù)流。應用智能感應的網(wǎng)絡爬蟲，它能完整的枚舉應用程序的內(nèi)容和功能。定制的高度可配置的工具，對web應用程序進行自動化攻擊，如：枚舉標識符，收集有用的數(shù)據(jù)，以及使用fuzzing技術(shù)探測常規(guī)漏洞。通過手動操作來補發(fā)單獨的HTTP請求，并分析應用程序響應的工具。手動執(zhí)行或?qū)贸绦驍?shù)據(jù)進行解碼編碼的工具。02SQL注入攻擊與防護2017年9月，海南省公安廳網(wǎng)警總隊在工作中，發(fā)現(xiàn)一個黑帽SEO團伙在從事黑客攻擊破壞活動，共170余個網(wǎng)站的管理權(quán)限被非法獲取，20多個網(wǎng)站被加掛黑鏈，其中政府網(wǎng)站10余個。經(jīng)過網(wǎng)警偵察，該團伙通過攻擊滲透等方式獲取大量網(wǎng)站的權(quán)限，隨后以蜘蛛劫持、寄生蟲、泛站群、自動鏈輪、二級目錄等方法植入黑鏈代碼，為博彩類、色情類、網(wǎng)絡詐騙網(wǎng)站提升搜索引擎排名，從中牟取非法利益。案例分析SQL注入攻擊原理SQL注入（SQLInjection）程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進行數(shù)據(jù)庫操作。Web網(wǎng)站數(shù)據(jù)庫服務器構(gòu)造SQL注入語句響應請求正常執(zhí)行SQL注入基礎知識01.03.04.02.selectstatementfromtablewherecondition查詢SQL(StructuredQueryLanguage)結(jié)構(gòu)化的查詢語言，是關(guān)系型數(shù)據(jù)庫通訊的標準語言。刪除記錄deletefromtablewherecondition更新記錄添加記錄updatetablesetfield=valuewherecondtioninsertintotablefieldvalues(values)SQL注入SQL注入范例http://xx.xxx.xx.xx/playnews.asp?id=772’and1=1MicrosoftOLEDBProviderforODBCDrivers錯誤'80040e14'[Microsoft][ODBCMicrosoftAccessDriver]字符串的語法錯誤在查詢表達式'id=772''中。/displaynews.asp，行31

1.數(shù)據(jù)庫為Access說明2.程序沒有對于id進行過濾3.數(shù)據(jù)庫表中有個字段名為idSQL注入的危害12345錯誤回顯可能披露敏感信息繞過驗證過程聯(lián)合查詢引發(fā)信息泄露篡改數(shù)據(jù)其他危害：執(zhí)行OS命令、讀取文件、編輯文件……手工判斷SQL注入點經(jīng)典的加單引號盲注：and1=1、and1=2判斷http://xx.xx.xx.xx/test.php?id=12’返回錯誤http://xx.xx.xx.xx/test.php?id=12and1=1返回正常http://xx.xx.xx.xx/test.php?id=12and1=2返回錯誤或沒找到手動檢測最簡單的測試產(chǎn)生原因STEP4SQL注入案例注：有關(guān)于如何利用SQL注入漏洞獲取網(wǎng)站后臺權(quán)限，請參閱第二章/利用SQL注入漏洞獲取網(wǎng)站后臺權(quán)限.mp4SQL測試網(wǎng)站STEP1STEP2STEP3STEP5STEP6判斷注入點確定字段數(shù)構(gòu)造聯(lián)合查詢，確定回顯位置獲取數(shù)據(jù)庫名等信息構(gòu)造語句探測數(shù)據(jù)庫的用戶密碼（若密碼經(jīng)過加密）對獲取到的帳號密碼進行解密數(shù)據(jù)庫攻擊技巧1243盲注、聯(lián)合查詢：確定版本、字段數(shù)……自動化攻擊：sqlmap讀寫文件：讀取系統(tǒng)文件，寫入本地文件，導出webshell執(zhí)行命令（利用用戶自定義函數(shù)）5攻擊存儲過程，利用存儲過程自身漏洞6利用編碼問題7利用列截斷問題SQL注入產(chǎn)生原因1字符串字面量的問題2數(shù)值字面量的問題SQL注入防護注：有關(guān)于如何對SQL注入漏洞進行安全防護，請參閱第二章/對SQL注入漏洞進行安全防護.mp4防護方法--代碼層面01.對輸入進行嚴格的轉(zhuǎn)義和過濾mysql_real_escape_string()：轉(zhuǎn)義SQL語句中使用的字符串中的特殊字符。過濾函數(shù)addslashes()：返回在預定義字符之前添加反斜杠的字符串；使用預處理和參數(shù)化（Parameterized）PDO即統(tǒng)一的數(shù)據(jù)庫訪問接口。它可以防止前端傳進來的參數(shù)被拼接到sql語句的情況。防護方法--代碼層面02.SQL注入防護其他注入攻擊01代碼注入CRLF注入Cookie注入User-Agent注入……02030403XSS跨站腳本攻擊與防護XSS攻擊原理跨站腳本攻擊（CrossSiteScript，XSS）是一種Web應用程序的漏洞，惡意攻擊者往Web頁面里插入惡意Script代碼，當用戶瀏覽該頁面時，嵌入Web中的Script代碼會被執(zhí)行，從而達到惡意攻擊用戶的目的。非持久性XSS攻擊

反射型、DOM-based型持久性XSS攻擊

存儲型攻擊描述攻擊類型攻擊者將惡意代碼上傳或存儲到服務器中，下次只要受害者瀏覽包含此惡意代碼的頁面就會執(zhí)行惡意代碼。反射型XSS攻擊描述反射型XSS一般指：攻擊者通過特定的方式來誘惑受害者去訪問一個包含惡意代碼的URL。當受害者點擊惡意鏈接URL的時候，惡意代碼會直接在受害者的主機上的瀏覽器執(zhí)行。存儲型XSS攻擊描述XSS攻擊原理DOM，全稱DocumentObjectModel，是一個平臺和語言都中立的接口，可以使程序和腳本能夠動態(tài)訪問和更新文檔的內(nèi)容、結(jié)構(gòu)以及樣式。DOM型XSS其實是一種特殊類型的反射型XSS，它是基于DOM文檔對象模型的一種漏洞。什么是DOM？可能觸發(fā)DOM型XSS的屬性document.referer屬性屬性location屬性innerHTML屬性document.write屬性XSS攻擊原理反射型XSS攻擊過程提供鏈接1點擊鏈接2點擊鏈接2返回數(shù)據(jù)4服務器解析接收內(nèi)容3攻擊者用戶XSS攻擊原理XSS攻擊過程存儲型XSS攻擊過程攻擊者用戶輸入XSS腳本數(shù)據(jù)傳遞服務器解析接收內(nèi)容瀏覽器解析數(shù)據(jù)解析數(shù)據(jù)庫返回內(nèi)容數(shù)據(jù)傳遞請求數(shù)據(jù)返回數(shù)據(jù)用戶訪問返回數(shù)據(jù)用戶訪問XSS的危害多數(shù)網(wǎng)站使用cookie作為用戶會話的唯一標識，因為其他的方法具有限制和漏洞。如果一個網(wǎng)站使用cookies作為會話標識符，攻擊者可以通過竊取一套用戶的cookies來冒充用戶的請求。從服務器的角度，它是沒法分辨用戶和攻擊者的，因為用戶和攻擊者擁有相同的身份驗證。Cookie劫持其他常見XSS危害構(gòu)造Get/Post請求XSS釣魚識別用戶的瀏覽器類型和版本識別用戶安裝的軟件獲取用戶的IP地址XSSwormXSS構(gòu)造中的幾個技巧沒有用引號括起來的屬性值極易遭受XSS用引號括起來的屬性值，如果引號未被轉(zhuǎn)義，也可能遭受XSS繞過長度限制01.02.03.STEP3STEP1XSS攻擊案例注：有關(guān)于如何利用XSS漏洞獲取用戶信息，請參閱第二章/利用XSS漏洞獲取用戶信息(0'00''-3'05'').mp4反射型型XSS測試站點查看獲取到的用戶信息STEP4STEP2編寫JS彈窗代碼訪問反射型XSS漏洞頁面提交XSS攻擊代碼STEP1XSS攻擊案例注：有關(guān)于如何利用XSS漏洞獲取用戶信息，請參閱第二章/利用XSS漏洞獲取用戶信息(3'05''-11'15'').mp4反射型型XSS測試站點編寫用戶信息接收代碼構(gòu)造XSS攻擊代碼訪問存儲型XSS漏洞頁面提交XSS攻擊代碼用戶訪問XSS漏洞頁面查看獲取到的用戶信息STEP2STEP3STEP4STEP5STEP6XSS攻擊防護HttpOnly最早是由微軟提出，并在IE6中實現(xiàn)的，至今已經(jīng)逐漸成為一個標準。瀏覽器將禁止頁面的JavaScript訪問帶有HttpOnly屬性的Cookie。01.流行的瀏覽器都內(nèi)置了一些對抗XSS的措施，比如Firefox的CSP、Noscript擴展，IE8內(nèi)置的XSSFilter等。防護方法--瀏覽器層面XSS攻擊防護XSSFilter：在XSS的防御上，輸入檢查一般是檢查用戶輸入的數(shù)據(jù)中是否包含一些特殊字符，如<、>、'、”等。如果發(fā)現(xiàn)存在特殊字符，則將這些字符過濾或者編碼。比較智能的“輸入檢查”，可能還會匹配XSS的特征。比如查找用戶數(shù)據(jù)中是否包含了“<script>”、“javascript”等敏感字符。注：有關(guān)于如何對XSS漏洞進行安全防護，請參閱第二章/對XSS漏洞進行安全防護.mp402.對輸入進行嚴格的檢查和過濾防護方法--代碼層面XSS攻擊防護此處調(diào)用了htmlspecialchars()函數(shù)，該函數(shù)可以把輸入的敏感字符實體化。03.輸出檢查：在輸出時進行編碼或者轉(zhuǎn)義處理編碼分為很多種，針對HTML代碼的編碼方式是HtmlEncode.防護方法--代碼層面XSS防御的核心XSS可能發(fā)生的具體場景具體分析在正確的地方做正確的防御T01T02T03T04T05T06T07T08在HTML標簽中輸出在HTML屬性中輸出在<script>標簽中輸出在事件中輸出在CSS中輸出在地址中輸出富文本的處理DOMbasedXSS04CSRF跨站請求偽造攻擊與防護CSRF攻擊原理攻擊描述客戶端請求偽造，也叫跨站請求偽造（Cross-siterequestforgery，CSRF），主要利用受害者尚未失效的身份認證信息，誘騙其點擊惡意鏈接或者訪問包含攻擊代碼的頁面，在受害人不知情的情況下以受害者的身份向服務器發(fā)送請求，從而完成非法操作。以被攻擊者的名義發(fā)送郵件發(fā)消息盜取被攻擊者的賬號購買商品虛擬貨幣轉(zhuǎn)賬在正確的地方做正確的防御攻擊方式CSRF攻擊過程受害者黑客網(wǎng)站A訪問網(wǎng)站A1發(fā)送請求（登陸）2提供Cookie3獲取網(wǎng)站A

Cookie4黑客網(wǎng)站H提供網(wǎng)站H5訪問網(wǎng)站H6發(fā)送請求7返回惡意代碼8運行網(wǎng)站H中JS代碼提交請求9發(fā)送請求（登陸）10

通過GET請求方式修改密碼,并且驗證僅驗證兩次輸入的新密碼是否相同。注：有關(guān)于如何利用CSRF漏洞獲取管理員賬號權(quán)限，請參閱第二章/利用XSS加CSRF漏洞獲取管理員賬號權(quán)限(0'00''-4'00'').mp4CSRF攻擊案例案例場景1在自己的站點上構(gòu)造惡意頁面，并引誘被攻擊者訪問惡意頁面的鏈接，即可達到攻擊目的。如：a標簽、iframe標簽、img標簽、cssbackground等。CSRF攻擊案例攻擊思路修改密碼時需要輸入原密碼，加以驗證，當通過原密碼驗證后才可以修改密碼。CSRF攻擊案例漏洞場景2通過釣魚的方式攻擊：構(gòu)造一個釣魚界面，誘導用戶輸入舊密碼，然后通過JS腳本"悄悄地"將舊密碼發(fā)送到攻擊者服務器。CSRF攻擊案例攻擊思路（一）01.當提交表單時，發(fā)送表單數(shù)據(jù)到名為/csrf_hack_get.php的文件（保存用戶的輸入），攻擊者服務器上的csrf_hack_get.php源代碼。最終通過釣魚，獲取到了用戶的密碼。02.攻擊思路（二）CSRF攻擊案例STEP3STEP2STEP1注：有關(guān)于如何利用XSS加CSRF漏洞獲取管理員賬號權(quán)限，請參閱第二章/利用XSS加CSRF漏洞獲取管理員賬號權(quán)限(4'00''-10'10'').mp4CSRF攻擊案例攻擊思路（二）：利用XSS+CSRF漏洞獲取管理員權(quán)限STEP4STEP5編寫創(chuàng)建管理員賬號和密碼的JS代碼將代碼保存至攻擊者服務器上構(gòu)造XSS攻擊語句訪問XSS漏洞頁面，并提交XSS代碼用戶訪問提交的代碼，觸發(fā)CSRF漏洞CSRF產(chǎn)生的原因form元素的action屬性能夠指定任意域名的URL最終通過釣魚，獲取到了用戶的密碼。保存在cookie中的會話ID會被自動發(fā)送給對象網(wǎng)站。CSRF攻擊防護防護方法：注：有關(guān)于如何對CSRF漏洞進行安全防護，請參閱第二章/對CSRF漏洞進行安全防護.mp4添加驗證碼12345驗證referertoken令牌二次驗證XSS對CSRF的影響05文件上傳攻擊與防護文件上傳攻擊原理上傳漏洞可以把ASP、PHP等格式的木馬直接上傳至網(wǎng)站目錄內(nèi)，一旦上傳成功，可以立刻得到Webshell權(quán)限,而不需要任何用戶名和密碼的驗證。文件上傳描述文件上傳漏洞是一種比注入更有殺傷力的漏洞。通過注入所得到的往往是數(shù)據(jù)庫中的一些敏感信息，如管理員名稱、密碼等等。什么是網(wǎng)站木馬？網(wǎng)站木馬是一段以ASP和PHP代碼為主的代碼，也有基于.NET的腳本木馬和JSP腳本木馬，也有關(guān)于Python網(wǎng)站的木馬；攻擊者通過不同的手段上傳到Web服務器，木馬運行于服務器端，獲取Webshell；攻擊者通過訪問木馬的形式進行入侵根據(jù)腳本類型可以分為PHP木馬和ASP木馬根據(jù)功能可以分為小馬和大馬文件上傳攻擊原理小馬通常指一句話木馬例如優(yōu)點缺點常見利用方式ASP木馬<%evalrequest(“pass”)%>，PHP木馬<?php@eval($_POST['pass']);?>體積小、隱蔽性強功能相對簡單結(jié)合中國菜刀（一款網(wǎng)站管理工具）、中國蟻劍等工具，效果特佳常見的網(wǎng)站木馬大馬功能多，常見包括提權(quán)命令、磁盤管理、數(shù)據(jù)庫接口優(yōu)點缺點體積比較大、隱蔽性不好，易于被殺毒軟件發(fā)現(xiàn)文件上傳攻擊原理常見網(wǎng)站管理工具中國菜刀中國菜刀是一款專業(yè)的網(wǎng)站管理軟件，用途廣泛，使用方便，小巧實用。只要支持動態(tài)腳本的網(wǎng)站，都可以用中國菜刀來進行管理。優(yōu)點缺點用途廣泛、使用方便、小巧實用數(shù)據(jù)明文傳輸，易被殺軟察覺、停止更新、多版本存在后門中國蟻劍中國蟻劍是一款開源的跨平臺網(wǎng)站管理工具，它主要面向于合法授權(quán)的滲透測試安全人員以及進行常規(guī)操作的網(wǎng)站管理員。支持多平臺、內(nèi)置代理功能、編碼器和解碼器、高擴展性優(yōu)點文件上傳攻擊原理STEP4STEP1文件上傳攻擊案例注：有關(guān)于如何利用文件上傳漏洞獲取網(wǎng)站控制權(quán)限，請參閱第二章/利用文件上傳漏洞獲取網(wǎng)站控制權(quán)限.mp4STEP2STEP3STEP5STEP6STEP7編寫PHP一句話木馬訪問文件上傳漏洞頁面上傳木馬文件->訪問上傳后木馬打開中國蟻劍填入木馬連接信息訪問并連接木馬最終獲得網(wǎng)站控制權(quán)限文件上傳攻擊方式01針對上傳功能的DoS攻擊02使上傳的文件在服務器上作為腳本執(zhí)行03誘使用戶下載惡意文件04越權(quán)下載文件05利用上傳文件釣魚文件上傳漏洞產(chǎn)生的原因01Web程序開發(fā)人員在設計時引入的漏洞各種插件、中間件本身存在的缺陷0203Web服務器自身的問題文件上傳防范方法文件內(nèi)容頭校驗上傳文件合法性校驗使用文件內(nèi)容頭校驗，判斷文件中的內(nèi)容，并校驗JPEG的固定文件字符，可以通過保留文件頭，在中間插入惡意代碼，繞過檢測（例如：GIF的文件頭是GIF89a）。01黑名單校驗上傳文件合法性校驗使用黑名單的方式判斷上傳文件后綴，由于黑名單不全，被攻擊者繞過導致上傳漏洞。02文件上傳防范方法MIME檢測MIME(MultipurposeInternetMailExtensions)中文全稱為：多用途互聯(lián)網(wǎng)郵件擴展類型。MIME是用來設定某種擴展名的文件用一種應用程序來打開的方式類型，當該擴展名文件被訪問的時候，瀏覽器會自動使用指定應用程序來打開，多用于指定一些客戶端自定義的文件名，以及一些媒體文件打開方式。檢測MIME類型的PHP代碼片段03文件上傳防范方法白名單前端校驗上傳文件合法性校驗使用白名單的方式判斷上傳文件后綴，白名單本身很安全，但是在前端做校驗的情況下可以用Burpsuite進行抓包繞過。04文件上傳防范方法白名單后端校驗上傳文件合法性校驗在后端使用的白名單校驗，此時已經(jīng)比較安全，不能再進行繞過。注：有關(guān)于如何對文件上傳漏洞進行后端白名單安全防護，請參閱第二章/對文件上傳漏洞進行安全防護.mp405文件上傳防范方法06文件上傳的目錄設置為不可執(zhí)行只要Web服務器無法解析該目錄下的文件，即使攻擊者上傳了腳本文件，服務器本身也不會受到影響。07使用隨機數(shù)改寫文件名和文件路徑文件上傳如果要執(zhí)行代碼，則需要用戶能夠訪問到這個文件。在某些環(huán)境中，用戶能上傳，但不能訪問。如果應用了隨機數(shù)改寫了文件名和路徑，將極大地增加攻擊的成本。08單獨設置文件服務器的域名由于瀏覽器同源策略的關(guān)系，一系列客戶端攻擊將失效，比如上傳crossdomain.xml文件、上傳包含JavaScript的XSS代碼等。文件上傳防范方法06文件包含攻擊與防護文件包含攻擊原理文件包含漏洞原理文件包含函數(shù)包含的文件參數(shù)沒有經(jīng)過過濾或者嚴格的定義，并且參數(shù)可以被用戶控制，就可能包含非預期的文件。如果文件中含有惡意代碼，無論文件是什么樣的后綴類型，文件內(nèi)的惡意代碼都會被解析執(zhí)行，就導致了文件包含漏洞的產(chǎn)生。漏洞危害文件包含漏洞可能會造成服務器的網(wǎng)頁篡改、網(wǎng)站掛馬、遠程控制服務器、安裝后門等危害。文件包含類別文件包含分為本地文件包含（LocalFileInclusion，LFI）和遠程文件包含（RemoteFileInclusion，RFI），二者可通過查看php.ini中是否開啟allow_url_include進行區(qū)分。若allow_url_include=On就有可能包含遠程文件。文件包含函數(shù)PHP中進行文件包含的函數(shù)：require()、require_once()、include()和include_once()文件包含攻擊原理文件包含利用方式本地文件包含漏洞分析：該頁面動態(tài)傳參包含文件，導致惡意/敏感文件被包含。漏洞利用：在遠程服務器上，創(chuàng)建會生成木馬的php文件遠程文件包含漏洞分析：當php.ini中allow_ur_include=On以及allow_ur_fopen=On，則可以包含遠程文件。1文件包含利用方式在遠程服務器上，創(chuàng)建任意后綴的php文件利用文件包含漏洞，訪問遠程服務器的文件23文件包含利用方式文件包含攻擊防范本地文件包含防范01020304對嚴格判斷包含的參數(shù)是否外部可控。因為文件包含漏洞利用成功與否的關(guān)鍵點就在于被包含的文件是否可被外部控制；路徑限制：限制被包含的文件只能在某一文件夾內(nèi)，一定要禁止目錄跳轉(zhuǎn)字符，如：“../”；包含文件驗證：驗證被包含的文件是否加入到白名單中；盡量不要使用動態(tài)包含，可以在需要包含的頁面固定寫好，如：include("head.php")。遠程文件包含防范防護代碼示例01.非必須的情況下設置allow_url_include和allow_url_fopen為Off狀態(tài)；02.對可以包含的文件進行限制，可以使用白名單的方式，或者設置可以包含的目錄，如open_basedir；03.04.盡量不使用動態(tài)包含；嚴格檢查變量是否已經(jīng)初始化。文件包含攻擊防范07命令執(zhí)行攻擊與防護030201命令執(zhí)行攻擊原理命令執(zhí)行漏洞原理命令執(zhí)行（CommandExecution）是指應用有時需要調(diào)用一些執(zhí)行系統(tǒng)命令的函數(shù)，如：system()、exec()、shell_exec()、passthru()等,代碼未對用戶可控參數(shù)做過濾，當用戶能控制這些函數(shù)中的參數(shù)時，就可以將惡意系統(tǒng)命令拼接到正常命令中，從而造成命令執(zhí)行攻擊。漏洞成因代碼層過濾不嚴系統(tǒng)的漏洞造成命令注入調(diào)用的第三方組件存在命令執(zhí)行漏洞A;B

先執(zhí)行A，再執(zhí)行B；

A&B

簡單拼接，AB之間無制約關(guān)系；

A|B

顯示B的執(zhí)行結(jié)果；

A&&B

A執(zhí)行成功，然后才會執(zhí)行B；

A||B

A執(zhí)行失敗，然后才會執(zhí)行B。命令執(zhí)行攻擊方法--拼接符命令執(zhí)行攻擊原理STEP1命令執(zhí)行攻擊案例注：有關(guān)于如何利用命令執(zhí)行漏洞獲得系統(tǒng)命令執(zhí)行權(quán)限，請參閱第二章/利用命令執(zhí)行漏洞獲得系統(tǒng)命令執(zhí)行權(quán)限.mp4案例--利用命令執(zhí)行漏洞獲取Webshell測試拼接符STEP2寫入一句話木馬STEP3訪問一句話木馬STEP3連接一句話木馬命令執(zhí)行防范方法禁用部分系統(tǒng)函數(shù)高危系統(tǒng)函數(shù)可直接禁用，從根本上避免程序中命令執(zhí)行漏洞的出現(xiàn)，如passthru()、eval()、exec()、system()等。嚴格過濾關(guān)鍵字符在利用命令執(zhí)行漏洞時都會利用特殊字符進行實現(xiàn)，可過濾特殊字符，如"&&"、"|"、";"、"||"等。嚴格限制允許的參數(shù)類型允許用戶輸入特定的參數(shù)來實現(xiàn)更豐富的應用功能，如果能對用戶輸入?yún)?shù)進行有效的合法性判斷，可避免在原有命令后面拼接多余命令。注：有關(guān)于如何對命令執(zhí)行漏洞進行安全防護，請參閱第二章/對命令執(zhí)行漏洞進行安全防護.mp4為防止攻擊者繞過黑名單校驗，通過添加白名單，嚴格限制能夠執(zhí)行的命令。設置命令白名單命令執(zhí)行防范方法08邏輯漏洞攻擊與防護2017年6月，劉某在該理財平臺發(fā)現(xiàn)了程序上的漏洞，他發(fā)現(xiàn)該平臺可以通過第三方軟件更改平臺虛擬賬戶中顯示的充值金額，隨即劉某用自己的身份信息注冊了該平臺并實際操作了一把，事后還將這一漏洞分享給了室友，因他們涉及金額較少，沒有構(gòu)成犯罪。嘗到甜頭的劉某覺得用自己或者朋友的身份信息注冊有風險，所以又聯(lián)系了好友曹某并告訴了這一技術(shù)手法，7月份開始，曹某提供黑卡信息，劉某在理財平臺進行操作，一共非法獲取三十萬元并瓜分了。之后學會這一“技術(shù)”的曹某也利用自己現(xiàn)有的黑卡資源，另外非法獲取了四十余萬元。最終，小劉和小曹以及他們的家人均為他們的行為買了單，拿出家里的錢退贓，劉某和曹某被判處十年以上有期徒刑。案例分析邏輯漏洞攻擊原理邏輯漏洞描述邏輯漏洞是指攻擊者利用業(yè)務/功能上的設計缺陷，獲取敏感信息或破壞業(yè)務的完整性。在OWASPTOP10中，邏輯漏洞被稱為“不安全的對象引用，和功能級訪問控制缺失”。邏輯漏洞的破壞方式并非是向程序添加破壞內(nèi)容，而是利用邏輯處理不嚴密或者代碼問題或固有不足，操作上并不影響程序的允許，在邏輯上是順利執(zhí)行的。這種漏洞一般防護手段或設備無法阻止，因為走的是合法流量也沒有防御標準。1243邏輯漏洞分類….….越權(quán)漏洞密碼修改密碼找回….驗證碼漏洞….支付漏洞投票/積分/抽獎短信轟炸….支付邏輯漏洞攻擊原理漏洞描述支付邏輯漏洞是指系統(tǒng)的支付流程中，存在業(yè)務邏輯層面的漏洞。正常支付流程為：選擇商品和數(shù)量-->選擇支付方式-->生成訂單-->訂單支付-->完成支付。常見漏洞分類金額篡改

支付過程中可以修改支付金額重復下單

將請求進行重放支付繞過

將訂單中的商品數(shù)量修改為負值其他問題

（程序異常，其他參數(shù)修改導致問題等）STEP4STEP3邏輯漏洞攻擊案例案例1

金額篡改注：有關(guān)于如何利用邏輯漏洞修改賬戶余額，請參閱第二章/利用邏輯漏洞修改賬戶余額為999900元.mp4漏洞原理后臺計算總價的方式為“單價”x“數(shù)量”，并且允許用戶通過抓包修改單價或數(shù)量。（允許輸入小數(shù)點和負數(shù)）STEP1選擇商品和數(shù)量STEP2購買產(chǎn)品抓包修改訂單金額提交訂單案例2短信轟炸STEP1STEP3STEP2輸入手機號，發(fā)送驗證碼抓包，修改手機號，重放解碼邏輯漏洞攻擊案例案例3任意用戶注冊改為1再發(fā)送STEP1STEP2STEP3STEP4打開注冊頁面填寫任意手機號、任意驗證碼抓包，并修改返回包的值重放數(shù)據(jù)即可邏輯漏洞攻擊案例邏輯漏洞防范方法3.任意用戶注冊防護驗證碼設置為6位數(shù)對驗證碼校驗做限制，如：輸錯5次，則要求輸入圖片驗證碼縮短驗證碼有效時間限制每個驗證碼驗證錯誤次數(shù)1.金額篡改防護校驗價格、數(shù)量參數(shù)，比如產(chǎn)品數(shù)量只能為正整數(shù)，并限制購買數(shù)量與第三方支付平臺檢查，實際支付的金額是否與訂單金額一致2.短信轟炸防護增加驗證碼，發(fā)送一次短信，就需要填一次限制ip在單位時間內(nèi)發(fā)送短信數(shù)量以及每日單個手機接收短信數(shù)限制每個手機號發(fā)送的時間間隔09XML外部實體注入攻擊與防護XXE漏洞攻擊原理XXE(XMLExternalEntity)是指XML外部實體注入攻擊漏洞。XML外部實體攻擊是針對解析XML輸入的應用程序的一種攻擊。當包含對外部實體的引用的XML輸入被弱配置XML解析器處理時，就會發(fā)生這種攻擊。這種攻擊通過構(gòu)造惡意內(nèi)容，可導致讀取任意文件、執(zhí)行系統(tǒng)命令、探測內(nèi)網(wǎng)端口、攻擊內(nèi)網(wǎng)網(wǎng)站等危害。XML是一種類似于HTML（超文本標記語言）的可擴展標記語言，是用于標記電子文件使其具有結(jié)構(gòu)性的標記語言，可以用來標記數(shù)據(jù)、定義數(shù)據(jù)類型，是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結(jié)構(gòu)包括：XML聲明、DTD文檔類型定義（可選）、文檔元素。XXE漏洞描述：什么是XML：DTD（文檔類型定義）的作用是定義XML文檔的合法構(gòu)建模塊。DTD可以在XML文檔內(nèi)聲明，也可以外部引用。XML文檔格式XXE漏洞攻擊原理關(guān)鍵字”SYSTEM”會告訴XML解析器，”entityex”實體的值將從其后的URI中讀取，并把讀取的內(nèi)容替換entityex出現(xiàn)的地方；假如“SYSTEM“后面的內(nèi)容可以被用戶控制，那么用戶就可以隨意替換為其他內(nèi)容。XML外部實體說明XXE漏洞攻擊原理XXE攻擊案例注：有關(guān)于如何利用XXE漏洞讀取敏感文件信息，請參閱第二章/利用XXE漏洞讀取敏感文件信息.mp4XXE攻擊案例1：讀取任意文件STEP1構(gòu)造XXE利用代碼STEP2將XXE代碼提交到服務器得到加密密文STEP3轉(zhuǎn)換編碼得到明文STEP4訪問文件得到敏感信息STEP1構(gòu)造XXE利用代碼STEP2STEP3將XXE文件上傳到服務器讀取XXE文件XXE攻擊案例2：執(zhí)行系統(tǒng)命令XXE攻擊案例XXE攻擊防范方法XXE防御1配置XML處理器去使用本地靜態(tài)的DTD，不允許XML中含有任何自己聲明的DTD；23過濾用戶提交的XML數(shù)據(jù)；過濾關(guān)鍵詞：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC；使用開發(fā)語言提供的禁用外部實體的方法；45使用盡可能簡單的數(shù)據(jù)格式（如json），避免對敏感數(shù)據(jù)進行序列化；驗證XML或XSL文件上傳功能是否使用XSD驗證或其他類似驗證方法來驗證上傳的XML文件。本章介紹了常見Web攻擊的基本流程。包括：明確目標與信息收集、漏洞探測(手動&自動)、漏洞利用、權(quán)限提升與維持。通過案例導入的方式，講解了常見Web安全問題的原理、攻擊案例。通過演示與視頻展示，全面分析了攻擊者針對常見Web安全漏洞的入侵過程，分析了這些漏洞的防御方法。01.01.02.02.03.03.總結(jié)在服務器中，針對上傳的文件，同時在代碼層進行文件內(nèi)容頭校驗、黑名單校驗以及MIME檢測，可否實現(xiàn)文件上傳的完全防御？12思考題通過addslashes()函數(shù)能否完全防御SQL注入攻擊？謝謝第3節(jié)Web安全加固第2章目

錄01主流Web服務器安全配置02常見第三方軟硬件安全配置01主流Web服務器安全配置IIS安全配置01.刪除IIS默認站點IIS安裝完成之后會建立一個默認站點，事實上這個站點是非必要的，一方面該站點默認占用80端口，另一方面該站點安全性配置較低，容易被攻擊者攻擊利用，因此需要及時禁用或刪除默認站點。02.禁用WebDav功能因WebDaV存在嚴重的安全問題，并未得到廣泛的應用。WebDaV功能“搭配”目錄瀏覽功能，可能允許客戶端修改Web服務器上的未經(jīng)授權(quán)的文件，所以需要禁用WebDav功能。IIS安全配置禁用后禁用前03.禁用目錄瀏覽目錄瀏覽功能可能會導致信息泄露，IIS的目錄瀏覽功能允許根據(jù)Web客戶端的請求顯示目錄的內(nèi)容。若IIS啟用了目錄瀏覽功能，且默認文檔功能在IIS中被禁用或站點中存在目錄，則頁面會顯示目錄信息。IIS安全配置需要將站點路徑設置在系統(tǒng)磁盤以外的其他磁盤中04.修改站點文件路徑隨著時間的推移，Web站點或者Web應用程序所產(chǎn)生的數(shù)據(jù)或文件，可能會導致系統(tǒng)磁盤空間被占滿，同時Web站點或者Web應用程序的漏洞可能會導致文件信息泄露。若站點存在于系統(tǒng)分區(qū)上則不符合安全加固要求。IIS安全配置05.修改默認錯誤頁面IIS默認的錯誤處理（如404、500等錯誤響應），會給客戶端反饋詳細的錯誤信息，這將導致服務器的一些敏感信息文件被泄露。需要進行錯誤頁面替換，隱藏敏感信息。創(chuàng)建一份新的錯誤頁面，然后在設置中選擇自定義錯誤頁面即可。默認404錯誤頁面自定義404錯誤頁面注：有關(guān)IIS中間件安全配置的內(nèi)容，請參閱第二章/IS中間件安全配置.mp4IIS安全配置01.賬號設置用高權(quán)限用戶運行Apache會存在安全隱患，需要以專門的用戶帳號和用戶組運行Apache服務。Apache安全配置修改Apache配置文件，以apache用戶運行服務列出進程，查看是否以apache用戶運行02.授權(quán)設置網(wǎng)站在創(chuàng)建時，需要嚴格控制Apache主目錄的訪問權(quán)限，非超級用戶不能修改該目錄中的內(nèi)容。嚴格設置配置文件和日志文件的權(quán)限，防止未授權(quán)訪問設置日志文件為屬主可讀寫，其他用戶擁有只讀權(quán)限Apache安全配置03.日志設置Apache設備應配置日志功能，用于對運行錯誤、用戶訪問等事件進行記錄，記錄內(nèi)容包括時間，用戶使用的IP地址等內(nèi)容，當網(wǎng)站被黑客攻擊后，可進行溯源排查。Apache安全配置4.禁止目錄訪問目錄列出會導致明顯信息泄露或下載，需要禁止Apache列表顯示文件。禁止前禁止后Apache安全配置5.錯誤重定向Apache錯誤頁面重定向功能可以防止敏感信息泄露。即將錯誤頁面重定向到指定頁面。重定向前重定向后Apache安全配置6.拒絕服務防范網(wǎng)站暴露在公網(wǎng)中，非常容易受到黑客發(fā)起的DDoS攻擊，一旦業(yè)務網(wǎng)站被黑客進行DDoS攻擊，那么Web服務將無法正常提供。在Apache層面，可根據(jù)業(yè)務需要，合理設置session時間，防止拒絕服務攻擊。Apache安全配置7.隱藏Apache的版本號隱藏Apache的版本號及其它敏感信息，防止敏感信息泄露。