应用层
应用安全概述
早期的应用系统采用的,客户/服务器模式是一种双层的结构,通常是将一台个人计算机做客户机使用,另外一台服务器用于存储后台的数据库系统,应用程序可以于客户端直接相连,中间没有其他的逻辑。
攻击者会利用Web应用系统,中间件或者数据库的漏洞进行攻击,得到Web应用服务器或者数据库服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据。
常见的Web应用安全漏洞
SQL注入漏洞
用户输入的数据被SQL解释器执行。
1.参数类型检测
int intval
bool is numeric
ctype digit
2.参数长度控制
成功执行的SQL注入语句的字符数量通常非常多,严格控制这些提交点的字符长度
3.危险参数过滤
常见的危险参数过滤包括关键字,内置函数,敏感字符的过滤,其过滤方法主要有如下三种:
1)黑名单过滤
2)白名单过滤
3)GPC过滤
4.参数化查询
参数化查询是指数据库服务器在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有有损的指令,也不会被数据库运行,仅认为它是一个参数。
文件上传漏洞
1.文件上传漏洞的原理
一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致攻击者可上传任意PHP文件,并能够将这些文件传递给PHP解释器,从而可以在远程服务器上执行任意PHP脚本。
1)文件上传时检查不严
2)文件上传后修改文件名时处理不当
3)使用第三方插件时引入
2.文件上传攻击实例分析
·上传正常图片和WebShell
·修改文件扩展名绕过上传检测
·获取WebShell权限
3.文件上传漏洞常见的防护手段
1)系统开发阶段的防御
2)系统运行阶段的防御
3)安全设备的防御
XSS
1.XSS的定义
跨站脚本攻击是指攻击者利用网站程序对用户输入过滤的不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料,利用用户身份进行某种动作或者对访问者进行病毒侵害的一 种攻击方式。
XSS属于客户端攻击,受害者是用户。
2.XSS漏洞攻击实例
3.XSS的分类
1)反射型XSS
由于此种类型的跨站式代码存在于URL中,因此黑客通过诱骗或加密变形,将存在恶意代码的链接发给用户,只有用户点击以后才能使得攻击成功实施。
2)存储型XSS
存储型XSS是指Web应用程序会将用户输入的数据信息保存在服务器端的数据库或其他文件中。
黑客将包含恶意代码的数据信息直接写入文章或文章评论中,所有浏览文章或评论的用户都会在他们客户端浏览器环境中执行插入的恶意代码。
3)基于DOM的XSS
需要针对具体的JavaScript DOM代码进行分析,并根据实际情况进行XSS的利用。
4.XSS漏洞常见的防护手段
概括来说,XSS的原理比较直观,就是注入一段能够被浏览器解释执行的代码,并且通过各类手段使得这段代码“镶嵌”在正常网页中,有用户在正常访问中触发。
1)过滤特殊文字
2)使用实体化编码
CSRF
攻击者盗用你的身份,以你的名义进行某些非法操作。
1.CSRF的原理
受害者必须依次完成两个步骤:
登录受信任网站A,并在本地生成Cookie。
2)在不登出A的情况下,访问危险网站B。
2.CSRF的三种不同危害方式
1)论坛等可交互的地方
2)Web攻击者
3)网络攻击者
3.CSRF漏洞的常见防护手段
1)添加验证码
2)验证referer
3)利用token
远程代码执行漏洞
远程代码执行漏洞是指攻击者可以任意执行系统命令。
1.远程代码执行漏洞的原理
2.远程代码执行漏洞的防范
·禁用高危系统函数
·严格过滤关键字符
·严格限制允许的参数类型
恶意代码
恶意代码的定义
恶意代码又称为恶意软件,是指额能够在计算机系统中进行非授权操作的代码。
恶意代码的特点
恶意代码通常是一段可以执行的程序,能够在很隐蔽的情况下嵌入另一个程序,通过允许别的程序而自动运行,从而达到破坏被感染将计算机的数据,程序以及对被感染计算机进行信息窃取的目的。
恶意代码的分类
·逻辑炸弹
·Rookit
·木马
·病毒(具有自我复制能力)
·蠕虫(独立,自我复制)
·Zombie(独立,自我复制)
·WebShell
恶意代码的危害
1)破坏数据
2)占用磁盘存储空间
3)抢占系统资源
4)影响计算机运行速度
典型恶意代码原理与防范分析
1.WebShell介绍
一种Web脚本形式编写的木马后门
2.WebShell危害
3.一句话WebShell案例
·一句话木马服务端
·一句话木马客户端
4.防范方法
1)服务器安全设置
·加强对脚本文件的代码审计,对出现FSO/Shell对象等操作的页面进行重点分析。
·Web服务器通过正则表达式,限制用户输入信息长度等方法对用户提交信息的合法性进行必要的验证,过滤,可以有效防范SQL注入攻击和跨站脚本攻击。
·数据库是Web应用系统的重要组成部分,使用数据库系统自身的安全性设置访问数据库权限。
2)应用安全防护
·Web软件开发的安全
·FTP文件上载安全
·文件系统的存储权限
·不要使用超级用户运行Web服务
2)控制文件上传
·加强对脚本文件的代码审计
·设置虚拟目录,并合理设置这些文件夹的访问权限
中间件安全
中间件概述
独立的系统软件或服务程序,分布式应用程序借助这种软件在不同的技术之间共享资源
中间件的分类
1.应用服务类中间件
为应用系统提供一个综合的计算环境和支撑平台,包括对象请求代理中间件,事务监控交易中间件,Java应用服务器中间件等。
2.应用集成类中间件
应用集成类中间件是提供各种不同网络应用系统之间的消息通信,服务集成和数据集成的功能。
3.业务构架类中间件
业务架构类中间件包括业务流程,业务管理和业务交互等几个业务领域的中间件。
典型中间件安全案例
数据库安全
数据库概述
主要有SQL Server、MySQL、Oracle等
数据库标准语言SQL
结构化查询语言,是用于对存放在计算机数据库中的数据进行组织,管理和检索的一种工具。
典型数据库安全案例
1)加强拥有最高权限的账号的密码,尽量使用能满足要求的一般账号。
2)对扩展存储过程进行处理,删除一般用不到的存储过程。
3)阻止非授权用户访问。
4)加强对数据库登录的日志记录,最好记录所有登录事件。
5)用管理员账号定期检查所有账号,看密码是否为空或者过于简单,如发现此类情况应及时弥补。
舆情分析
舆情分析的概念
舆情与网络舆情
很多舆情的研究都以舆论为起点。
舆情包括网络舆情与社会舆情两部分。
网络舆情是指在网络空间内,民众围绕舆情因变事项的发生,发展和变化,通过互联网表达出来的对公共政策及其制定者的意见。
舆情分析的目的和意义
舆情是在一定的社会空间,围绕特定社会热点事件产生,发展和变化,社会上大多数的民众对事件处理对策,过程和结果产生的态度,是绝大多数公众对社会现象和社会问题所表现出来的态度,情绪和意见的集合。
1)有些网络舆情可能影响政府形象,进行舆情监测和分析,能够及时地了解事件及舆论动态,对错误,失实的舆论进行正确的引导。
2)政府通过舆情监测与分析,能够掌握社会民意,通过了解社会各阶层成员的情绪,态度,看法,意见以及行为倾向,有助于对事件做出正确的判定。
3)对企业,有效地监测和分析舆情,及时地处理企业在网络上的相关影响,特别是负面影响显得尤为重要。
网络舆论的特点
1)表达的直接性
2)舆情信息在数量上具有海量性
3)舆情信息在内容上具有随意性和交互性
4)传播的迅速性
5)产生的突发性
6)舆情信息在时间上具有实时性和继承性
7)情绪的非理性
8)舆情信息在发展上具有偏差性
9)关注阶段
·关注前期
·发展期
·爆炸期
·冷静期
·冷却期
网络舆情的分析方法
检索方法
分为及其检索与人工检索
·借助信息检索工具在网络上抓取与给定关键词相关的信息,借助累加器,网址指向判断等简单的程序给出信息的来源和信息的浏览量,并可以按照用户要求进行排序和筛选。
·人工检索并不是指完全依靠人工实现信息管理,而是借助开放性工具完成网络舆情分析工作。
研判方法
网络舆情的研判主要关注舆情发生的动因,核心诉求,传播路径和传播影响力,并判断舆情的传播走势和影响。要完成这两项任务,一是需要分析思路,而是需要理论支持。
定量研判分析包括:
1)舆情按区域统计分析
2)舆情按时间统计分析
3)舆情按年龄统计分析
4)舆情按性别统计分析
5)舆情按行业统计分析
6)舆情按性质统计分析
7) 舆情按密度统计分析
定性研判分析包括:
1)舆情可信度统计研判分析
2)舆情价值统计研判分析
3)舆情等级统计研判分析
4)舆情历史关联统计研判分析
5)舆情趋势预测统计研判分析
6)舆情转预警预测统计研判分析
典型的舆情分析方法
1.双层分析法
双层分析法包含传播层分析和动因层分析。
2.语义统计分析方法
语义文法的优点是能够直接从解析结果中获取句子的语义信息。
基于语义文法的网络舆情精准分析方法可操作性强,系统执行效率高,满足对不同结构,不同处理粒度的网络舆情文本的处理需求,具有通用性。
3.情感倾向分析方法
与传统的文本分类不同,文本的情感倾向性分析关注的不是文本本身的内容,而是能否自动分析出文本内容所表达的情感和态度。
4.基于Web的文本挖掘技术的分析方法
基于Web的文本挖掘的技术主要包括关联规则挖掘,序列模式挖掘,聚类分析和自动分类技术。
舆情分析应用:网络舆情分析系统
由于网络上的信息量巨大,仅依靠人工的方法难以应对网上海量信息的收集和处理,需要加强相关信息技术的研究,形成一套自动化的网络舆情分析系统。
基本架构
1)热点话题,敏感话题识别
2)倾向性分析
3)主题跟踪
4)趋势分析
5)突发事件分析
6)报警系统
7)统计报告
大数据环境下舆情系统一般由网络舆情数据采集,数据预处理,数据聚类和舆情分析和结果呈现等模块组成
1)数据采集模块
2)数据预处理模块
3)数据聚类模块
4)舆情分析子系统
5)系统管理人员根据需要为各种组及用户分配各种的使用权限
6)管理主要实现对系统操作的记录
信息采集
爬虫程序在抓取一个网页后,需要进一步分析并提取该网页中出现URL地址,将所提取的URL地址放入抓取队列。
网络资源分析
对网络舆情数据进行分析并返现话题,是舆情分析的重要工作。
舆情分析的另一个任务是感知人们的观点、态度倾向等主观信息。
网页预处理
正则表达式是由某些字符和特殊符号构成的字符串表达式,它描述了某种语句的形式结构规则,非常适合用来提取页面信息。
话题是一个由一些真实世界的事件紧密关联起来的新闻报道的集合。
息挖掘
Web信息挖掘是由数据库挖掘技术演变来的,本质是对所需的样本目标进行综合分析,提取出有效的特征值,根据特征值从Web信息中分析出用户需要的有效信息。
Web信息挖掘的四个主要步骤:
1)定位Web信息源
2)数据的选择与预处理
3)有效模式的挖掘
4)模式的验证分析
归档管理、舆情统计
网络舆情监测系统
可以了解,掌握与引导网络舆情。
网络舆情监控要做到:
1)依托公开管理的职能,切实掌握网络情况,积极建立健全系统的信息数据库
2)对于网络上的热点新闻,事件以及人物,在实现网络监控的同时,视情况可进行网下的深入调研。
3)充分利用计算机技术与网络技术,对网络舆情监控系统的信息进行深层挖掘,切实掌握维稳工作所涉及的各类网络舆情信息,注重舆情的有效引导。
网络舆情监测系统的产生
网络舆情监测系统的构成
网络舆情监测系统涉及的技术包括:
·网络爬虫
·数据挖掘
·文本聚类与分类
·语义抽取
网络舆情监测系统的构成:
1)信息采集模块
2)正文提取模块
3)文本分类模块
4)情感分析模块
网络舆情监测系统的作用
1)及时,全面地收集舆情
2)分析舆情
3)监测结果将成为重要决策依据