WEB攻击与防护技术 徐 震 信息安全国家重点实验室 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.1.技术背景 n Web成为主流的网络和应用技术 q CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计 显示，Web 应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， 被篡改的大陆网站数量明显上升，总数达到28367个， 比去年全年增加近16% 1.3. 相关政策、法规（1） n 经济命脉、社会稳定的重要信息系统”，我国到2020年应该达到： “国家信息安全保障水平大幅提高”。 q 《关于我国“十二五”信息化发展的基本思路》（中国工程院）中 提出“十二五”期间，“面向核心应用的信息安全技术”是6大核 心技术研发领域之一，同时要“加强信息内容的安全保障工作”。 q 《电力二次系统安全防护规定》对电力行业信息安全作出体系规划 n 等级保护与WEB应用安全的相关要求： 9 1.4. 相关政策、法规（2）

被合 并到 app/Listeners 目录。然而这并不是破坏式改变所以使用 Laravel 5.1 并不强制要求更 新到新的目录结构。 加密 在之前的 Laravel 版本中，加密通过 PHP 扩展 mcrypt 进行处理，从 5.1 开始，加密改由通 过 PHP 的另一个扩展 openssl 进行处理，因为该扩展较前者而言维护的更加活跃。 升级指南 更新到 5.1.0 预计更新时间：小于 位长，该 key 被配置在.env 环境文件中（APP_KEY），如果你还没有 将.env.example 文件重命名为.env，现在立即这样做。如果应用 key 没有被设置，用户 sessions 和其它加密数据将会有安全隐患！ 2.1.3 更多配置 Laravel 几乎不再需要其它任何配置就可以使用了，你可以自由地开始开发了！但是，你最 好再看看 config/app.php 文件和它的文档， old 更方便： {{ old('username') }} 2.2 Cookies 2.2.1 从请求中取出 Cookies Laravel 框架创建的所有 cookies 都经过加密并使用一个认证码进行签名，这意味着如果客 户端修改了它们则需要对其进行有效性验证。我们使用 Illuminate\Http\Request 实例的 cookie 方法从请求中获取 cookie 的值：

...... 264 本文档由 Laravel 学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel 中文学习资源 2 8.5 加密 .................................................................................................. })->middleware('scope:check-status'); 最后，Passport 还支持从 JavaScript 应用访问你的 API，而不必担心访问令牌传输，Passport 通 过加密 JWT cookies 和同步 CSRF 令牌来实现这一功能，从而让开发者专注于业务开发。 本文档由 Laravel 学院（LaravelAcademy.org）提供 Laravel etBindings(), 'join'); }); 加密 Mcrypt 加密被移除 Laravel 5.1.0 版本中 Mcrypt 加密就已经被废弃，在 Laravel 5.3 中该功能被完全移除，以便于统 一使用基于 OpenSSL 的新的加密实现，该实现从 Laravel 5.1.0 开始就已经作为默认的加密实现方 式。 如果你还在配置文件 config/app.php

位长，通过 .env 文件中的 APP_KEY 进行配置，如果你还没有将 .env.example 文件重命名为 .env，现在立即这样做。 如果应用 key 没有被设置，用户 Session 和其它加密数据将会有安全隐患! 更多配置 Laravel 几乎不再需要其它任何配置就可以正常使用了，不过，你最好再看看 config/app.php 文件，其中包含了一些基于应用可能需要进行改变的 配置，比如 channels.php。 web.php 文件包含的路由都位于 RouteServiceProvider 所定义的 web 中间件组约束之内，因而支持 Session、CSRF 保护以及 Cookie 加密功能， 如果应用无需提供无状态的、RESTful 风格的 API，那么路由基本上都要定义在 web.php 文件中。 api.php 文件包含的路由位于 api 中间件组约束之内，支持频率限制功 命令更方便一些，省去了后面新建应用重复执行命令，但是如果有子域名这类特殊需求，只能使用 link 命令来实现了。 通过 TLS 让站点更安全 默认情况下，Valet 使用 HTTP 协议，如果你想要使用 HTTP/2 通过加密的 TLS 为站点提供服务，可以使用 secure 命令。例如，如果你的站点域 名是 blog.com，可以使用如下命令： valet secure blog 本文档由 Laravel 学院提供

文件重命名为 .env，现在立 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun.com 34 即这样做。如果应用密钥没有设置，用户会话和其它加密数据将会有 安全隐患! 更多配置 Laravel 几乎不再需要其它任何配置就可以正常使用了，不过，你最 好再看看 config/app.php 文件，其中包含了一些基于应用可能需要 进行改变的配置，比如 channels.php。 web.php 文件包含的路由通过 RouteServiceProvider 引入，都被 约束在 web 中间件组中，因而支持 Session、CSRF 保护以及 Cookie 加密功能，如果应用无需提供无状态的、RESTful 风格的 API，那么路由基本上都要定义在 web.php 文件中。 api.php 文件包含的路由通过 RouteServiceProvider 引入，都被 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun.com 103 默认情况下，Valet 使用 HTTP 协议，如果你想要使用 HTTP/2 通 过加密的 TLS 为站点提供服务，可以使用 secure 命令。例如，如 果你的站点域名是 laravel.test，可以使用如下命令： valet secure laravel 要想回到"非安全"的

位长，通过 .env 文件中的 APP_KEY 进行配置，如果 你还没有将 .env.example 文件重命名为 .env，现在立即这样做。如果应用 key 没有被设 置，用户 Session 和其它加密数据将会有安全隐患。 如果你想要手动生成该 key 的值，使用如下 Artisan 命令即可： php artisan key:generate 更多配置 Laravel 几乎不再需要 更方便，如果给定参数没有对应输入，返回 null： {{ old('username') }} Cookies 从请求中取出 Cookies Laravel 框架创建的所有 cookies 都经过加密并使用一个认证码进行签名，这意味着如果 客户端修改了它们则需要对其进行有效性验证。我们使用 Illuminate\Http\Request 实例 的 cookie 方法从请求中获取 cookie 的值： $httpOnly) 默认情况下，Laravel 框架生成的 Cookie 经过了加密和签名，以免在客户端被篡改。如 果你想要让特定的 Cookie 子集在生成时取消加密，可以使用中间 件 App\Http\Middleware\EncryptCookies 的 $except 属性来排除这些 Cookie： /** * 不需要被加密的 cookies 名称 * * @var array

輮 輴 处理密码 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輳 輸 輸 轃 轏 轎 轔 轅 轎 轔 轓 轶 輹 輮 輵 加密（轃 轲 轹 轰 轴 软 轧 轲 轡 轰 轨 轹 ） 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輮 輳 輸 輹 輹 輮 輶 最佳安全实践 輮 輮 輮 輮 輮 Y i i 版 版 版本 本 本 轙 轩 轩 当前有两个主要版本：輱 輮 輱 和 輲 輮 輰 。 輱 輮 輱 版是上代的老版本，现在处于维 护状态。 輲 輮 輰 版是一个完全重写的版本，采用了最新的技术和协议，包括依 赖包管理器 轃 软 轭 轰 软 轳 轥 轲 、轐 轈 轐 代码规范 轐 轓 轒 、命名空间、轔 轲 轡 轩 轴 轳 （特质）等 等。 輲 輮 輰 版代表新一代框架，是未来几年中我们的主要开发版本。 3 . 5 U R L 规 规 规范 范 范化 化 化 从 輲 輮 輰 輮 輱 輰 版开始譕 譲 譬 管理器可以配置用譕 譒 譌 规范器来处理 相同轕 轒 轌 的不同 格式，例如是否带结束斜线。因为技术上来说 h t t p s : / / e x a m p l e . c o m / p a t h 和 h t t p s : / / e x a m p l e . c o m / p a t

1.9 1.9.1 1.10 1.11 验证码 文件上传 数据库迁移 部署 伪静态配置 Apache Nginx 静态资源管理 安全 防注入 用户数据输入 csrf 加密解密 常见问题 模板中不同的url_model模式下传参给后端 ? &符混乱 服务高可用 升级日志 CmlPHP v2.x开发手册 本教程是针对CmlPHP开发框架的V2.x系列版本的开发使用教程。 下为推荐的目录 结构 下载框架项目推荐目录骨架,执行 composer udpate (建议),可看到如 下结构： projxxxxxxxxx 目录是项目所在根目录。 proj后加上一串加密串目的是为了防止当其路径存放在站点目录下 时恶意用户通过工具猜测到项目目录，获取到模板文件及log文 件，很多采用开源php框架的站点就常常被发现这个问题,当然最好 是将 projxxxxx // 模板替换的{{public}}静态地址(访问静态资源用) 默认为 入口文 件所在目录 /*安全过滤*/ 'auth_key'=>'a5et3e41d', //Encry加密key 'check_csrf' => 1, //检查csrf跨站攻击 0、不检查，1、 只检查post数据提交方式，2、get/post都检查 默认只检查post 'form_token'=>

1.10 1.11 权限管理 数据验证 验证码 文件上传 数据库迁移 部署 伪静态配置 Apache Nginx 静态资源管理 安全 防注入 用户数据输入 csrf 加密解密 常见问题 模板中不同的url_model模式下传参给后端 ? &符混乱 服务高可用 升级日志 3 CmlPHP v2.x开发手册 本教程是针对CmlPHP开发框架的V2.x系列版本的开发使用教程。 的目录结构 下载框架项目推荐目录骨架,执行 composer udpate (建议),可看到如下结构： 11 projxxxxxxxxx 目录是项目所在根目录。 12 proj后加上一串加密串目的是为了防止当其路径存放在站点目录下时恶意用户通过工具猜测到项 目目录，获取到模板文件及log文件，很多采用开源php框架的站点就常常被发现这个问题,当然最 好是将 projxxxxx 目 //模板替换的{{public}}静态地址(访问静态 资源用) 默认为 入口文件所在目录 /*安全过滤*/ 'auth_key'=>'a5et3e41d', //Encry加密key 'check_csrf' => 1, //检查csrf跨站攻击 0、不检查，1、只检查post数据提交方式，2、get/post 21 都检查 默认只检查post 'form_token'=>

2. 静态资源管理 1.7.2 8. 安全 1.8 1. 防注入 1.8.1 2. 用户数据输入 1.8.2 3. csrf 1.8.3 4. 加密解密 1.8.4 9. 常见问题 1.9 1. 模板中不同的url_model模式下传参给后端 ? &符混乱 1.9.1 10. 服务高可用 1.10 11. 7开始在入口文件中可灵活配置各个目录组成，以下为推荐的目录结构 下载框架项目推荐目录骨架,执行 composer udpate (建议),可看到如下结构： projxxxxxxxxx 目录是项目所在根目录。 proj后加上一串加密串目的是为了防止当其路径存放在站点目录下时恶意用户通过 工具猜测到项目目录，获取到模板文件及log文件，很多采用开源php框架的站点就 常常被发现这个问题,当然最好是将 projxxxxx 目录部署到站点根目录的上一级，即 com/', //模板替换的{{public}}静态地址(访问静 态资源用) 默认为 入口文件所在目录 /*安全过滤*/ 'auth_key'=>'a5et3e41d', //Encry加密key 'check_csrf' => 1, //检查csrf跨站攻击 0、不检查，1、只检查post数据提交方式，2、get/post 都检查 默认只检查post 'form_token'=>