企业Web漏洞分析和检测.docx

Web漏洞与信息安全网站安全的重要性网站作为企业的门户，是展示企业形象的一种方式，其对外展示形象之时无疑是将自己暴露于网络之中。这就使得别有用心之人能够扫描网站的开放端口、然后根据端口提示的应用程序扫描该程序的漏洞、然后根据程序的漏洞进一步打开服务器的大门，最后将企业的网站作为他随意进入、任意修改的猎物。2014年的毒胶囊事件刚刚曝出之时，制药企业龙头修正药业的网站便随即被攻克，黑客将企业的网站变成了全体网民发泄之所。这使得修正药业在处理公共危机之时，不得不专门腾出手来处理突发的信息安全危机。所以传统企业需要关注常被忽略的网络安全问题。网站常见漏洞下面列出一些常见的网站安全问题，及其分析：（1） 物理路径泄露：物理路径泄露一般是由于WEB服务器处理用户请求出错导致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点，那就是被请求的文件肯定属于CGI脚本，而不是静态HTML页面。（2） CGI源代码泄露：CGI源代码泄露的原因比较多，例如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。（3） 目录遍历：目录遍历对于WEB服务器来说并不多见，通过对任意目录附加“./”，或者是在有特殊意义的目录附加“./”，或者是附加“./”的一些变形，如“.”或“./”甚至其编码，都可能导致目录遍历。（4） 执行任意命令：执行任意命令即执行任意操作系统命令，主要包括两种情况。一是通过遍历目录，如前面提到的二次解码和UNICODE解码漏洞，来执行系统命令。另外一种就是WEB服务器把用户提交的请求作为SSI指令解析，因此导致执行任意命令。（5） 缓冲区溢出：缓冲区溢出漏洞是WEB服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTP Header域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。（6） 拒绝服务： 拒绝服务产生的原因多种多样，主要包括超长URL，特殊目录，超长HTTP Header域，畸形HTTP Header域或者是DOS设备文件等。由于WEB服务器在处理这些特殊请求时不知所措或者是处理方式不当，因此出错终止或挂起。（7） 条件竞争：这里的条件竞争主要针对一些管理服务器而言，这类服务器一般是以system或root身份运行的。当它们需要使用一些临时文件，而在对这些文件进行写操作之前，却没有对文件的属性进行检查，一般可能导致重要系统文件被重写，甚至获得系统控制权。（8） 跨站脚本执行漏洞：由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和 HTML 标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改 cookie 到虚假广告在内的种种攻击行为。（9） SQL注入：对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。针对Web程序的主要攻击方式（这里特指使用PHP语言开发的）包括：（1） 命令注入攻击（Command Injection），PHP在设计之时使用特定函数（system、exec、passthru等）来执行外部的应用程序或者函数，漏洞性质（开发时遗留）、隐蔽性强、威胁到服务器。（2） Eval注入攻击（Eval Injection），PHP的eval函数可能将用户输入的字符串参数作为PHP程序代码来执行，容易被黑客利用当作攻击对象，漏洞性质（开发时遗留）、隐蔽性强、威胁服务器安全。（3） 客户端脚本攻击（Script Insertion），攻击者可以将可执行的脚本代码插入到表单、图片等对象内，其他用户打开这些对象后，黑客植入的脚本会被执行，进而开始攻击。漏洞性质（发布信息审核不严），隐蔽性强、威胁到网站其他用户。（4） 跨站脚本攻击（Cross Site Scripting，XSS），黑客通过在动态网站的链接中插入恶意代码，能够在其他用户在打开含有恶意代码的链接时发动攻击。漏洞信息（发布信息审核不严）、可以检测、威胁到其他用户。（5） SQL注入攻击（SQL Injection）黑客利用客户端网页中输入的数据，如登录名和密码，在输入的数据中加入SQL语句，从而达到非法登录或者修改服务器数据库的目的。漏洞性质（信息审核不严）、容易检测、威胁到服务器。（6） 跨站请求伪造攻击（Cross Site Request Forgeries，CSRF），黑客利用电子邮件或者图片中隐藏的链接，让目标用户在不注意的情况下点击这个链接，有CSRF漏洞的网站可以将这个请求作为正常的请求来执行它。漏洞性质（发布信息审核不严）、可以检测、威胁到网站用户（7） 会话劫持攻击（Session Hijacking），黑客使用某种方法截取到网站合法用户的session id，然后在该用户的登录期间，黑客使用目标客户的session id来伪装登录网站。漏洞性质（信息传输不安全以及服务器会话审核机制不严谨）、隐蔽性强、威胁到网站用户。（8） Session固定攻击（Session Fixation）类似于会话劫持。（9） HTTP响应拆分攻击（HTTP Response Splitting），黑客使用图片或者电子邮件向目标用户发送链接，用户在点击链接之时向服务器发送被拆分的两个HTTP请求，从而达到隐藏执行自己请求的目的。漏洞性质（信息审核不严），隐蔽，威胁到网站用户。（10） 文件上传攻击（File Upload Attack），黑客利用网站的上传文件功能上传病毒、后门而达到攻击服务器的目的。漏洞性质（上传信息审核不严），常见，威胁服务器（11） 目录穿越漏洞攻击（Directory Traversal），黑客能够在Web应用程序所在的根目录以外的文件夹上，任意地存取被限制的文件夹、执行命令或查找数据。漏洞性质（程序开发漏洞）、常见、威胁服务器。（12） 远程文件包含攻击（Remote Inclusion），黑客利用Web应用程序有加载远程文件的特性，让Web应有程序执行黑客网站中的程序文件进行攻击。漏洞性质（程序设计漏洞）、常见、威胁服务器。（13） 动态函数注入攻击（Dynamic Variable Evaluation）（14） URL攻击（URL Attack）（15） 表单提交欺骗攻击（Spoofed Form Submissions）（16） HTTP请求欺骗攻击（Spoofed HTTP Requests）网站漏洞发现程序员在系统开发之时除了需要规避一些常见的程序设计漏洞外，需要借助一些漏洞扫描工具来发现和修补漏洞，网站安全人员或者黑客常用的漏洞扫描器有： Nmap（命令行）或者Zenmap（图形界面）Nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统。 Netsparker Community Edition这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。 Nikto Nikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描，包含超过3300种有潜在危险的文件CGIs；超过625种服务器版本；超过230种特定服务器问题。 Websecurify这是个简单易用的开源工具，此程序还有一些人插件支持，可以自动检测网页漏洞，运行后可生成多种格式的检测报告。 Wapiti这是一个用Python编写的开源的工具，可以检测网页应用程序，探测网页中存在的注入点。 N-Stalker Free Version此工具可一次检测100个以上的页面，包括跨页脚本的检测。 Skipfish是谷歌开发网站完全扫描工具，强大易用。轻量级的安全测试工具，处理速度很快，每秒可处理2000个请求。 Scrawlr它是HP的一款免费软件，可检测SQL注入漏洞。 Watcher它一个是Fiddler的插件，可在后台静默运行，可检测跨域提交等。 X5s跟前一个一样也是Fiddler的插件，用于检测存在XSS漏洞，在网页提供给用户输入的地方是否有过滤等字符。 Exploit-Me这个是火狐的插件，由XSS-Me，SQL Inject Me 和 Access-Me 这3个构成，当浏览网页时就会开始检测，可检测XSS漏洞，SQL注入漏洞等。 WebScarab它是一款代理软件，有很多功能，可以检测XSS跨站脚本漏洞、SQL注入漏洞等。 Acunetix Free Version相对于专业版来说有一些功能限制，不过还是可以用的，可检测网站上的XSS漏洞。网站安全建议随着黑客技术的发展，网络带宽的增加和计算机网络的普及。以防火墙为代表的传统网络安全技术已不能满足企业的安全需求。新的安全技术如入侵检测、蜜罐、取证和物理隔离日益受到人们的重视。入侵检测是以防火墙为核心的网络安全体系的重要补充。入侵检测系统能够通过对网络中的数据或主机的日志等信息进行提取和分析，发现入侵和攻击行为，并通过与防火墙联动或攻击做出相应；蜜罐技术是一种诱骗攻击者的有效而实用的方法，它不仅可以转移入侵者的攻击，保护主机和网络不受入侵，而且可以为入侵的取证和研究提供重要的线索和信息；计算机取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取，是保障网络安全的重要手段；物理隔离技术将内网和外网在物理上断开，解决了许多保密单位对机密信息的安全需求。如何有效的防治安全，关键是确立安全的体系结构和设计检查单。防火墙技术作为安全防护体系结构的基础，其作为安全防护体系的基础可以屏蔽网络中90%以上的攻