什麼是業務邏輯?
什麼是正規表達式?
以上為提問
第5章 應用安全
5.1 應用安全概述
搭建方式的變化;早期的應用系統采用的客戶/伺服器模式是一種雙層的結構,通常是将一台個人計算機做客戶機使用,另外一台伺服器用于存放背景的資料庫系統,應用程式可以和用戶端直接相連,中間沒有其他的邏輯。程式的衣物邏輯儲存在前台的應用程式中。
缺點;
- 定制程式無通用性,修改工作量極大
- 結構消耗客戶機大量資源,對客戶機負擔大。
應用系統的新結構是一種三層客戶/伺服器結構,該結構建構了一種分隔式的應用程式。有三個層次共同組成應用系統。
攻擊者主要攻擊方面:利用Web應用系統、中間件或者資料庫的漏洞進行攻擊,得到Web應用伺服器或者資料庫伺服器的控制權限。
5.2 常見的Web應用安全漏洞
5.2.1 SQL注入漏洞
SQL注入漏洞是Web層面最高危的漏洞之一。
SQL注入漏洞的形成原因:使用者輸入的資料被SQL解釋器執行。
針對該漏洞的幾種主要防護手段:
1、參數類型檢測:主要面向純字元型的參數查詢。
實作方式:
- int intval
- bool is-numeric;
- ctypedigit。
2、參數長度檢測
注意:如果某處送出的内容都在一定的長度以内,那麼嚴格控制這些送出點的字元長度,大部分注入語句就沒辦法取得成功。
3、危險參數過濾
常見危險參數過濾包括關鍵字,内置函數,敏感字元過濾,方法三種;
1)黑名單過濾:将一些可能用于注入的敏感字元寫入黑名單中。
2)白名單過濾:指接收已記錄在案的良好輸入操作。
3)GPC過濾:對變量預設進行addslashes。
4)參數化查詢:指資料庫伺服器在資料庫完成SQL指令的編譯後,才套用參數運作,是以就算參數中含有有損的指令,也不會被資料庫運作,僅認為它是一個參數。
5.2.2 檔案上傳漏洞
造成惡意檔案上傳的主要原因:
1、檔案上傳時檢查不嚴。
2、檔案上傳後修改檔案名時處理不當。
3、使用第三方插件時引入。
檔案上傳漏洞的常見防護手段:
1、系統開發階段的防禦。
2、系統運作階段的防禦。
3、安全裝置的防禦。
5.2.3 XSS
1.XSS的定義
跨站腳本攻擊:指攻擊者利用網站程式對使用者輸入過濾的不足,輸入可以顯示在頁面上對其他使用者造成影響的HTML代碼,進而盜取使用者資料、利用使用者身份進行某種動作或者對通路者進行病毒侵害的一種攻擊方式。
2.XSS漏洞攻擊執行個體
3.XSS的分類如下:
1、反射型XSS:将使用者輸入的資料直接或未經過完善的安全過濾就在浏覽器中進行輸出,導緻輸出的資料中存在可被浏覽器執行的代碼資料。
2、存儲型XSS:Web應用程式會将使用者輸入的資料資訊儲存在伺服器端的資料庫或其他檔案形式中。
3、基于DOM的XSS:通過修改頁面DOM節點資料資訊而形成的XSS。
4.XSS漏洞的常見防護手段:
1、過濾特殊字元:過濾用戶端送出的有害資訊,進而防範XSS攻擊。
2、使用實體化編碼:在輸出内容之前,如果能夠對特殊字元進行編碼和轉義,讓浏覽器能區分這些字元是被用作文字顯示而不是代碼執行,就會導緻攻擊者沒有辦法讓代碼被浏覽器執行。
5.2.4 CSRF
CSRF:跨站請求僞造。
1.CSRF的原理
1.登入受信任網站A,并在本地生成Cookie
2.在不登出A的情況下,通路危險網站B
2.CSRF的三種不同危害方式:
1、論壇等可互動的地方。
2、Web攻擊者。
3、網絡攻擊者。
3.CSRF漏洞的常見防護手段:
1、添加驗證碼
2、驗證referer
3、利用token
5.2.5 遠端代碼執行漏洞
1.遠端代碼執行漏洞:指攻擊者可以随意執行系統指令,它屬于高危漏洞之一,也屬于代碼執行的範疇。
2.遠端代碼執行漏洞的防範:
1、禁用高危系統函數
2、嚴格過濾關鍵字元
3、嚴格限制允許的參數類型
5.3 惡意代碼
5.3.1 惡意代碼的定義
惡意代碼(惡意軟體):能夠在計算機系統中進行非授權操作的代碼。
5.3.2 惡意代碼的特點
惡意代碼的編寫是攻擊者通過危害他人而達到破壞擷取利益的目的。
特點:
- 具有惡意破壞的目的、
- 其本身為程式、
- 通過執行發生作用。
5.3.3 惡意代碼的分類
分類惡意代碼的标準:代碼的獨立性和自我複制性。
獨立的惡意代碼:具備一個完整程式所應該具有的全部功能,能夠獨立傳播、運作的惡意代碼,這樣的惡意代碼不需要寄宿在另一個程式中。
非獨立的惡意代碼:隻是一段代碼,必須嵌入某個完整的程式中,作為該程式的一個組成部分進行傳播和運作。
5.3.4 惡意代碼的危害
- 破壞資料
- 占用磁盤存儲空間
- 搶占系統資源
- 影響計算機運作速度
5.3.5 典型惡意代碼原理與防範分析
1.WebShell介紹
Webshell檔案通常是可執行的腳本檔案,與作業系統中的木馬類似,可以了解為是一種web腳本形式編寫的木馬後門,一般用于遠端控制Web伺服器。
2.Webshell危害
入侵Web伺服器後,将腳本木馬後門檔案放置在伺服器的Web目錄中,然後控制伺服器
3.一句話Webshell案例
“一句話”:通過向服務端送出一句簡短的代碼來達到向伺服器插入Web腳本形式的木馬并最終獲得Webshell的方法。
4.防範方法如下:
1、伺服器安全設定:
1)加強對腳本檔案的代碼審計,對出現FSO、Shell對象等操作的頁面進行重點分析。
2)Web伺服器通過正規表達式、限制使用者輸入資訊長度等方法對使用者送出資訊的合法性進行必要的驗證、過濾,可以有效防範SQL注入攻擊和跨站腳本攻擊;盡量使用參數化的SQL查詢代替動态拼接的SQL注入語句。
3)資料庫是Web應用系統的重要組成部分,使用資料庫系統自身的安全性設定通路資料庫權限。
2、應用安全防護:
1)Web軟體開發的安全
2)FTP檔案上載安全
3)檔案系統的存儲權限
4)不要使用超級使用者運作Web服務
3、控制檔案上傳:
1)加強對腳本檔案的代碼審計,對出現FSO、Shell對象等的操作頁面進行重點分析。
2)将應用系統的重要檔案放在不同的檔案夾中,通過設定虛拟目錄通路這些檔案夾,尤其是上傳檔案,并合理設定這些檔案夾的通路權限,以保證Web應用系統的安全。
5.4 中間件安全
5.4.1 中間件概述
流行的定義:中間件是一種獨立的系統軟體或服務程式,分布式應用程式借助這種軟體在不同的技術之間共享資源。
中間件不僅僅實作互連,還能實作應用之間的互操作。中間件是基于分布式處理的軟體,定義中特别強調了其網絡通信功能。
5.4.2 中間件的分類
分類:應用服務類中間件、應用內建類中間件、業務架構類中間件。
- 應用服務類中間件:為應用系統提供一個綜合的計算環境和支撐平台,包括對象請求代理中間件、事務監控交易中間件、Java應用伺服器中間件等。
- 應用內建類中間件:提供各種不同網絡應用系統之間的消息通信、服務內建和資料內建的功能,包括常見的消息中間件、企業內建EAI、企業服務總線以及相配套的擴充卡等。
- 業務架構類中間件:包括業務流程、業務管理和業務互動等幾個業務領域的中間件。
5.4.3 典型中間件安全案例
漏洞産生原因:
1)在Java編寫的Web應用與Web伺服器間,Java通常會發送大量的序列化對象。
2)HTTP請求中的參數、cookies以及Parameters。
3)RMI協定,被廣泛使用的RMI協定完全基于序列化。
4)JMX用于處理序列化對象。
5)自定義協定,用來接收與發送原始的Java對象。
6)在序列化過程中使用ObjectOutputStream類的writeObject()方法。
5.5 資料庫安全
5.5.1 資料庫概述
資料庫:存儲資料的“倉庫”,是長期存放在計算機内、有組織、可共享的大量資料的集合。
資料庫中的資料按照一定資料模型進行組織、描述和存儲,具有較小的備援度,較高的獨立性和易擴充性,并為各種使用者共享。
5.5.2 資料庫标準語言SQL【結構化查詢語言】
SQL:用于對存放在計算機資料庫中的資料進行組織、管理和檢索的一種工具。
5.5.3 資料庫安全案例
對于資料庫的防護方法如下:
1)加強像SA這樣的賬号的密碼
2)對擴充存儲過程進行處理
3)執行use master spdropextendedproc 'xpcmdshell'去掉Guest賬号,阻止非授權使用者通路。
4)加強對資料庫登入的日志記錄,最好記錄所有登入事件。
5)用管理者賬号定期檢查所有賬号,看密碼是否為空或者過于簡單,如發現這類情況應及時彌補。
第8章 輿情分析
8.1 輿情的概念
輿論,特别是網絡輿論,往往對事件的發展導向起到了推動作用。
8.1.1 輿情與網絡輿情
輿論是輿情的近親,很多輿情的研究都以輿論為起點。
輿情包括網絡輿情與社會輿情兩部分,兩者互相映射,存在互動關系。
網絡輿情:在網絡空間内,群眾圍繞輿情因變事項的發生、發展和變化,通過網際網路表達出來的對公共政策及其指定者的意見。
8.1.2 輿情分析的目的和意義
輿情是指一定的社會空間,圍繞特定社會熱點事件産生、發展和變化,社會上大多數的群眾對事件處理對策、過程和結果所産生的态度,是絕大多數公衆對社會現象和社會問題所表現出來的态度、情緒和意見的集合。
- 輿情分析對政府管理的意義:政府通過輿情監測與分析,能夠掌握社會民意,通過了解社會各階層成員的情緒、态度、看法、意見以及行為傾向,有助于對事件做出正确的判定。
- 輿情分析對企業管理的意義:企業能利用輿情監測,第一時間快速預警負面輿情,及時發現和處理企業的負面資訊,糾正錯誤,保持企業的健康良好形象。
8.1.3 網絡輿情的特點
網絡環境下的輿情資訊的主要來源有:新聞評論、BBS、聊天室、部落格、聚合新聞、微網誌、微信等。
網絡輿情所具有的特點:
1)表達的直接性
2)輿情資訊在内容上具有随意性和互動性
3)輿情資訊在内容上具有随意性和互動性
4)傳播的迅速性
5)産生的突發性
6)輿情資訊在時間上具有實時性和繼承性
7)情緒的非理性
8)輿情資訊在發展上具有偏差性
9)人們在面對一個受關注事件的時候,會經過關注前期、發展期、爆炸期、冷靜期、冷卻期等幾個階段。
8.2 網絡輿情的分析方法
網絡輿情分析方法包括檢索方法與分析方法兩個部分。
8.2.1 檢索方法
現有的網絡輿情檢索方法主要包括機器檢索與人工檢索兩類。
網絡輿情分析要素:話題的熱度、熱點的新聞和微網誌、事件發展的時間軸和重要節點、文本傾向分析和媒體觀點摘錄。
輿情分析中的檢索方法有以下特點:
1)實際操作中自主研發的檢索工具使用頻率不高,普通商業搜尋引擎的使用率較高。
2)機器檢索需要事先設定一個目錄。
3)機器檢索負責資料的粗檢索,人工檢索負責資料的精細檢索。
4)檢索的起點是關鍵詞或者排行榜,檢索的内容是資訊的屬性,包括轉發量、點選量、評論量、傳播關鍵點。
8.2.2 研判方法
網絡輿情的研判主要關注輿情發生的動因、核心訴求、傳播路徑和傳播影響力,并判斷輿情的傳播走勢和影響。
定量研判分析包括:
1)輿情按區域統計分析
2)輿情按時間統計分析
3)輿情按年齡統計分析
4)輿情按性别統計分析
5)輿情按行業統計分析
6)輿情按性質統計分析
7)輿情按密度統計分析
1)輿情可信度統計研判分析
2)輿情價值統計研判分析
3)輿情等級統計研判分析
4)輿情曆史關聯統計研判分析
5)輿情趨勢預測統計研判分析
6)輿情轉預警預測統計研判分析
8.2.3 典型的輿情分析方法
雙層分析法包括傳播層分析和動因層分析。
資訊互動存在兩種模式,一是從微網誌讨論到網絡新聞門戶傳播,再到傳統媒體跟進;二是從傳統媒體報道到網絡新聞門戶轉載,再到微網誌讨論。
語義文法與普通文法的差別:語義文法中的非終結符被賦予了領域語義,語義文法可以包括句法和語義層次上的非終結符,也可以隻包含語義層次上的非終結符。
文本的情感傾向性分析關注的不是文本本身的内容,而是能否自動分析出文本内容所表達的情感和态度。
傾向性分類則是将情感分類轉化為文本分類的問題,利用語言學知識或機器學習的方法,對給定的詞語、句子、篇章判斷其傾向性。
基于Web的文本挖掘技術主要包括:關聯規則挖掘、序列模式挖掘、聚類分析和自動分類技術。
8.3 輿情分析應用:網絡輿情分析系統
8.3.1 基本架構
網絡輿情分析系統通常具有以下功能:
1)熱點話題、敏感話題識别
2)傾向性分析
3)主題跟蹤
4)趨勢分析
5)突發事件分析
6)報警系統
7)統計報告
大資料環境下輿情系統一般由網絡輿情資料采集、資料預處理、資料聚類和輿情分析和結果呈現等子產品組成。
8.3.2 資訊采集
網絡爬蟲:相對成熟的一種自動采集網頁資訊的方式,适用于網絡輿情監控與分析系統。
8.3.3 網絡資源分析
一般話題發現的研究方法可分為兩類:第一類主要是尋找适合話題發現的聚類算法或者對已有的聚類算法進行改造,另一類方法則是挖掘新的話題特征來提高檢測的結果。
情感傾向分析方法主要包括語義模式方法和情感詞典方法。
8.3.4 網頁預處理
正規表達式:由某些字元和特殊符号構成的字元串表達式,它描述了某種語句的形式結構規則,非常适合用來提取頁面資訊。
問題;為什麼HTTPS站點隻能防護有源網站?