第九章 电子商务网站安全.ppt

第九章电子商务网站的安全 9 1网站面临的安全威胁和风险概述9 2SQL注入攻击9 3跨站脚本攻击9 4网页挂马及防范 目录 2008年网站安全事件类型和数量统计 网站的安全性分析 网站安全性 从技术上看其取决于三方面 1 网站开发采用的开发语言 安全性从低到高ASP ASP NET PHP JSP 2 网站采用何种数据库系统 常见的网站后台数据库有Access SQLServer和MySQL 相对来说 SQLServer由于可以使用存储过程 并且数据库无法被下载 如果设置得当的话 安全性比其他两种数据库稍高些 3 第三个因素是看网站被部署在何种操作系统平台上UNIX Windows 网站面临的安全威胁 对于电子商务网站来说 其面临的安全威胁主要有 操作系统漏洞 SQL注入攻击 绕过授权等 其中操作系统漏洞主要有 允许拒绝服务的漏洞 允许本地用户未经授权提高其权限的漏洞 允许远程用户未经授权提高其权限的漏洞 黑客攻击网站的一般过程 1 扫描系统漏洞 主要是扫描有没有操作系统漏洞或SQL注入漏洞 扫描漏洞可以用专业的黑客工具扫描 也可以手工扫描 2 破解后台登录口令 3 利用后台的文件上传功能上传木马软件 为了防范黑客上传并运行木马程序 一种基本的方法是在IIS中把可以上传文件的目录的 执行 权限去掉 使得其不能通过输入木马URL地址的方式来执行木马 设置上传文件目录的执行权限为 无 提示 执行许可 的设置选项中有三种选项 默认值是 纯脚本 它表示可以执行该目录中的服务器端脚本 如ASP 如果选择 脚本和可执行程序 就表示可以执行该目录中的服务器端脚本和exe等可执行文件 选择 无 就表示该目录中的文件不能在服务器中执行 对于存放网站图片的文件夹 数据库文件夹和用户上传文件的文件夹 以及只有静态网页或CSS文件或纯客户端JS脚本的文件夹 静态网页等不需要在Web服务器中执行 都应设置为 无 以确保安全性 网站服务器的基本安全设置 IIS匿名访问用户设置IIS网站目录访问权限的设置Windows系统目录的权限和端口设置卸载最不安全的组件防犯WebShell安全管理Web服务器 为网站分配单独的IIS匿名访问用户 首先在 计算机管理 用户和组 中创建一个用户 例如 ecom 然后在IIS中选择某个网站 虚拟主机 为其分配匿名访问用户 按右键选择 属性 在网站属性对话框中选择 目录安全性 选项卡 禁用默认的IIS匿名访问用户和Guest用户 网站所在文件夹的权限设置 网站目录所在的磁盘分区如果是NTFS格式 则可以对文件或文件夹设置 安全 属性 方法是在文件夹上按右键点属性 在属性面板的 安全 选项卡中 只允许超级管理员组和为该网站创建的IIS匿名访问用户 ghweb 访问该目录 将其他用户和组一概删除 超级管理员组允许有 完全控制 权限 而ghweb用户只允许有 读取和运行 的权限 如图所示 并限制ghweb用户只能访问该网站目录 而不能访问硬盘上的其他任何目录 网站所在文件夹的权限设置 IIS网站访问权限设置举例 Windows系统目录的权限和端口设置 1 磁盘权限设置 系统盘 假设为C盘 及所有磁盘只给Administrators组和SYSTEM用户完全控制权限 C DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限 C DocumentsandSettings AllUsers目录只给Administrators组和SYSTEM的完全控制权限2 端口设置5 卸载最不安全的组件防犯WebShell 安全管理Web服务器 1 对于在Web服务器上所开设的账户 应在口令长度及修改期限上做出具体要求 防止被盗用 限制在Web服务器上开账户 定期进行用户检查和清理 2 尽量在不同的服务器上运行不同的服务 如Mail服务和Web服务等 程序 尽量使FTP Email等服务器与Web服务器分开 去掉FTP sendmail tftp NIS NFS finger netstat等一些无关的应用 这样在一个系统被攻破后 不会影响到其他的服务和主机 3 关闭Web服务器上的不必须的特性服务 否则 有可能遭到该特性所导致的安全威胁 在Web服务器上去掉一些绝对不用的Shell等解释器 如在CGI程序中没用到Perl时 就尽量把Perl在系统解释器中删除掉 4 定期查看服务器中的日志 logs 文件 应该定期地记录Web服务器的活动 IIS网站日志文件的保存路径和文件名 网站的安全保护的三条原则 1 实用的原则 针对每个网站特殊的架构 设计实用的保护措施 2 积极预防的原则 对网站系统进行安全评估 权衡考虑各类安全资源的价值和对它们实施保护所需要的费用 通过评估 确定不安全情况发生的几率 采用必要的软硬件产品 加强网站日常安全监控 3 及时补救的原则 在攻击事件发生后应尽快恢复系统的正常运行 并找出发生攻击事件问题的原因 将损失降至最低 并研究攻击发生后应对措施 9 1网站面临的安全威胁和风险概述9 2SQL注入攻击9 3跨站脚本攻击9 4网页挂马及防范 目录 SQL注入攻击 攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码 作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作 这就是所谓的SQL注入攻击 SQLInjection SQL注入是一种来自于应用层的攻击 它使用浏览器从正常的WWW端口访问 而且表面看起来跟一般的Web页面访问没什么区别 所以目前普通的防火墙都不会对SQL注入发出警报 如果管理员没查看IIS日志的习惯 可能很长时间都不能发现入侵行为 SQL注入攻击的特点 1 广泛性 SQL注入攻击利用的就是SQL语法 因此只要是利用SQL语言的Web应用程序如果未对输入的SQL语句做严格的处理都会存在SQL注入漏洞2 技术难度不高 SQL注入技术公布后 只要稍懂SQL语言的人都可以理解和模仿各种形式的SQL注入攻击3 危害性大 SQL注入攻击成功后 轻者只是更改网站页面信息 重者通过网络渗透等攻击技术 可以控制网站和服务器 并对其挂马以危害大量的网站访问者 SQL注入攻击的特点 自1998年诞生以来 SQL注入攻击并不是什么新颖的攻击方法 但却高居每年网站攻击手段统计表的榜首 SQL注入攻击已成为当今网站最大的安全威胁 SQL注入攻击的方法 为了让浏览器能返回详细的错误信息 以方便进行SQL注入 我们必须在IE浏览器的 工具 菜单中选择 Internet选项 高级 显示友好HTTP错误信息 把前面的勾去掉 最简单的SQL注入示例 username request form Username 获取用户在表单中输入的用户名password request form Password DimstrSQL select fromuserswhereusername username andpassword password 根据用户输入的用户名和密码进行查询 执行该SQL查询语句的代码如果用户输入的用户名和密码分别是 admin 和 123 那么构造的查询语句就是 select fromuserswhereusername admin andpassword 123 最简单的SQL注入示例 攻击者可以通过精心构造用户的输入 形成特殊的查询语句来进行攻击 比如用户在登录表单的用户名框中输入admin 而在密码框中输入 or 1 1 select fromuserswhereusername admin andpassword or 1 1 其他常见SQL注入方法 例如 攻击者如果知道保存用户名和密码的表是 users 则他可以通过构造如下的输入 形成特殊的查询来进行攻击 攻击者在登录表单的用户名框中输入 droptableusers 形成的查询语句为 select fromuserswhereusername droptableusers 其他常见SQL注入方法 通过SQL注入还可以执行各种命令 方法如下 Select fromSometablewheresomefield SelectShell cmd exe cdir 提示 Access允许用 来创建VBA函数 导致命令被执行 其实这只是Access内置的一个特殊函数而已 相类似的还有cudir和Command函数 针对SQLServer数据库的攻击 查询当前目录下的文件 执行Execmasterxp cmdshell dir 这将执行dir命令 当SQLServer是以系统账户或管理员账户运行时 攻击者将由此获得系统管理员的权限 删除文件 http localhost WebSecurity Detail aspx id 1 Execmaster dbo xp cmdShell delc 1 rar 猜解所有数据库名称 http localhost abc asp p YYand selectcount frommaster dbo sysdatabaseswherename 1anddbid 6 0 针对SQLServer数据库的攻击 通过复制cmd exe程序创建UNICODE漏洞http localhost abc asp p YY Execmaster dbo xp cmdShell copyc winnt system32 cmd exec inetpub scripts cmd exe 便制造了一个UNICODE漏洞 通过此漏洞的利用方法 便完成了对整个计算机的控制 当然首先要知道WEB虚拟目录 SQL注入攻击的检测与防范 1 SQL注入漏洞检测方法1 判断能否进行注入 3 判断是否为SQLServer数据库在浏览器地址栏中 防范SQL注入攻击 1 输入验证 2 执行最小权限 3 避免返回详细的错误信息给用户 4 使用强类型的变量和数据库列定义 5 对于SQLServer的安全配置 IIS的自定义错误信息选项卡 防止数据库被下载的方法 为了防止Access数据库被下载 有以下几条措施 1 将数据库改名 2 将数据库的读取权限去掉 3 为数据库文件设置重定向URL 4 将数据库文件放在网站目录之外 去除数据库文件的读取权限 为数据库文件设置重定向URL 9 1网站面临的安全威胁和风险概述9 2SQL注入攻击9 3跨站脚本攻击9 4网页挂马及防范 目录 跨站脚本攻击XSS 跨站脚本攻击XSS CrossSiteScripting 是一种迫使Web站点回显可执行代码的攻击技术 而这些可执行代码是由攻击者产生 最终会被用户浏览器加载不同于大多数攻击一般只涉及攻击者和受害者 XSS涉及到三方 即攻击者 被攻击者利用的网站与受害者客户端 XSS的攻击目标通常是为了盗取客户端的Cookie或者其他网站用于识别客户端身份的敏感信息 跨站脚本攻击的原理 首先B S程序为用户提供一个表单界面 等待用户的输入 如论坛 Web2 0网站 提供博客服务的网站等 如果用户在表单中输入了一些恶意的JavaScript脚本 而服务器端程序又没有对用户输入的内容进行任何检查和过滤 就将其保存到数据库中 当其他用户访问该B S程序的某个网页时 这个网页如果读取了数据库中保存的恶意代码 将其加载到网页中 那么其他用户访问该网页时就会受到该恶意代码的攻击 XSS攻击示例 比如一个恶意用户在论坛的个性签名表单中输入如下代码 并提交给服务器时 XSS攻击示例 当然这只是一个示范 不会对其他用户的安全造成什么影响 但如果攻击者通过document cookie获取用户的Cookie信息 然后再通过如下代码将用户的Cookie信息转发给攻击者 document location XSS攻击的分类 反射型 ReflectedXSS 存储型 StoredXSS 基于DOM型 DOM basedXSS http server cgi bin testcgi exe alert Cookie document cookie XSS攻击的危害 钓鱼欺骗 网站挂马 身份盗用 盗取网站用户信息 垃圾信息发送 劫持用户Web行为 XSS蠕虫 XSS攻击与SQL注入攻击的比较 防范XSS攻击 验证输入 1 输入验证 在接受用户输入或者存储数据之前 验证数据的长度 类型以及业务规则 或禁止用户输入HTML和JavaScript脚本代码 2 强输出编码 在将用户提交的数据显示给用户以前 确保用户所提供的数据被适当编码 如HTML或XML 微软的Anti XSS库就是采用的这种方法 3 指定输出编码格式 如ISO8859 1或UTF8 4 使用 黑名单 方法探测用户输入数据中是否含有XSS或者为输出编码 5 小心一致性错误 在验证之前 需要解码用户的输入并使其与应用内部表达一致 确保不对同一输入解码两次 否则 可能产生危险输入 Ajax面临的XSS攻击 目前 采用Ajax AsynchronousJavaScriptandXML 异步JavaScript和XML 技术的网站正越来越多 由于Ajax技术中大量采用复杂且功能强大的JavaScript和XML代码 其更容易受到XSS攻击 对Ajax的XSS攻击方式可扩展到URL 表单文本域 embed域 CSS RSS和XML六种载体 因此防范和检测XSS攻击的难道增大 9 1网站面临