应用服务器安全防范技术.ppt

第五章应用服务器安全防范技术,信息网络安全培训,邮件地址：web_admin网站地址：,本章学习目标,学习完本章，您应该能够：,WEB服务器入侵分析WEB服务器漏洞评估和分析WEB应用程序漏洞扫描和评估FTP服务器入侵分析安全电子邮件服务器配置,本章学习重点,常规的WEB服务器入侵方法WEB应用程序漏洞扫描和评估FTP服务器入侵分析安全电子邮件服务器（垃圾邮件）,本章内容提要,常规的WEB服务器入侵方法,WEB应用程序漏洞扫描和评估,FTP服务器入侵分析,WEB服务器常见漏洞介绍,WEB服务器存在的主要漏洞包括物理路径泄露，CGI源代码泄露，目录遍历，执行任意命令，缓冲区溢出，拒绝服务，条件竞争和跨站脚本执行漏洞，和CGI漏洞有些相似的地方，但是更多的地方还是有着本质的不同。不过无论是什么漏洞，都体现着安全是一个整体的真理，考虑WEB服务器的安全性，必须要考虑到与之相配合的操作系统。,WEB服务器常见漏洞介绍,【物理路径泄露】物理路径泄露一般是由于WEB服务器处理用户请求出错导致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点，那就是被请求的文件肯定属于CGI脚本，而不是静态HTML页面。还有一种情况，就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径，这应该算是设计上的问题。,WEB服务器常见漏洞介绍,【CGI源代码泄露】CGI源代码泄露的原因比较多，例如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。【目录遍历】目录遍历对于WEB服务器来说并不多见，通过对任意目录附加“./”，或者是在有特殊意义的目录附加“./”，或者是附加“./”的一些变形，如“.”或“./”甚至其编码，都可能导致目录遍历。前一种情况并不多见，但是后面的几种情况就常见得多，去年非常流行的IIS二次解码漏洞和UNICODE解码漏洞都可以看作是变形后的编码。,WEB服务器常见漏洞介绍,【执行任意命令】执行任意命令即执行任意操作系统命令，主要包括两种情况。一是通过遍历目录，如二次解码和UNICODE解码漏洞，来执行系统命令。另外一种就是WEB服务器把用户提交的请求作为SSI指令解析，因此导致执行任意命令。【缓冲区溢出】缓冲区溢出漏洞想必大家都很熟悉，无非是WEB服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTPHeader域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。,WEB服务器常见漏洞介绍,【拒绝服务】拒绝服务产生的原因多种多样，主要包括超长URL，特殊目录，超长HTTPHeader域，畸形HTTPHeader域或者是DOS设备文件等。由于WEB服务器在处理这些特殊请求时不知所措或者是处理方式不当，因此出错终止或挂起。正常的拒绝服务攻击。【条件竞争】这里的条件竞争主要针对一些管理服务器而言，这类服务器一般是以system或root身份运行的。当它们需要使用一些临时文件，而在对这些文件进行写操作之前，却没有对文件的属性进行检查，一般可能导致重要系统文件被重写，甚至获得系统控制权。,常规的WEB服务器入侵实例,缓冲器溢出CGI漏洞SQL注入CGI源代码泄漏（Inc文件泄露）暴力破解钓鱼攻击DNS欺骗,缓冲区/堆栈溢出技术,如果计算机程序的编码没有对缓冲区做适当的检查，看它们是否能完全装入新的数据内容，结果就可能造成缓冲区溢出的产生。入侵者用精心编写的入侵代码使缓冲区溢出，并将被调用的过程的返回地址覆盖为入侵者所希望运行的那段代码的地址，这样当该过程返回时，程序就开始执行入侵者设定的代码了。远程缓冲区溢出类别：Exploits,缓冲区溢出演示WebDAV,WebDAV（Web分布式创作和版本控制）是一种通过HTTP将内容发布到IIS服务器（IIS5或IIS6）或从IIS服务器发布内容的方法。由于WebDAV基于RFC并且是通过HTTP实现的，它不需要进行任何修改就可以通过大多数防火墙。这样，您不需要使用专门的协议（例如FTP）或专门的COM对象就可以发布到Web服务器和从Web服务器进行发布。,缓冲区溢出演示WebDAV,IIS5.0默认提供了对WebDAV的支持，通过WebDAV可以通过HTTP向用户提供远程文件存储的服务。但是作为普通的HTTP服务器，这个功能不是必需的IIS5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据，远程攻击者利用这个漏洞对WebDAV进行缓冲区溢出攻击，可能以WEB进程权限在系统上执行任意指令。IIS5.0的WebDAV使用了ntdll.dll中的一些函数，而这些函数存在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着，入侵者可以获得主机的完全控制能力。,WEBDAV防范,IIS没有内置的基于每个站点启用或禁用WebDAV的方法。在IIS5中，默认情况下会为所有网站启用WebDAV。要禁用它，请使用URLScan阻止传入的WebDAV请求（默认情况下阻止）。您也可以参考知识库文章如何对IIS5.0禁用WebDAV。对于IIS6，使用IIS管理器中的Web服务扩展节点即可启用或禁用WebDAV。默认情况下，IIS6中禁用WebDAV。,系统漏洞Unicode解码目录遍历漏洞,IISUnicode解码目录遍历漏洞发布日期：2000/10/20影响的系统：MicrosoftIIS4.0/5.0对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”,它会首先将其解码变成:0 xc10 xhh，然后尝试打开这个文件，Windows系统认为0 xc10 xhh可能是unicode编码，因此会首先将其解码，如果0 x00(0 xc1-0 xc0)*0 x40+0 xhh%c0%hh-(0 xc0-0 xc0)*0 x40+0 xhh%c1%1c-(0 xc1-0 xc0)*0 x40+0 x1c=0 x5c=/,系统漏洞Unicode解码目录遍历漏洞,攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。RainForestPuppy测试发现对于英文版的IIS4.0/5.0,此问题同样存在，只是编码格式略有不同，变成%c0%af或者%c1%9c.,CGI漏洞Unicode解码目录遍历漏洞,显示目录:22/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+dir+c:cmd.exe?/c+”之后就是DOS命令增加一个目录：22/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+md+c:hacker删除网页22/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+del+c:wwwrootdefault.asp.bak,CGI漏洞Unicode解码目录遍历漏洞,增加一个目录：22/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+md+c:hacker管道工具“”“”的功能“”“”是将命令产生的输出重新定向,比如写到某个文件或输出到打印机中。“”产生的内容将追加进文件中，“”则将原文件内容覆盖。修改主页：IIS加载程序检测到有cmd.exe或者串就要检测特殊字符“%”如果发现有这些字符就会返回500错误，所以不能直接使用cmd.exe加管道符等。所以要在CMD后面加上22/scripts/.%c1%1c./winnt/system32/cmd.exe?/c+echo+你被黑了,哈哈！+c:wwwrootdefault.asp,CGI漏洞Unicode解码目录遍历漏洞,利用这样的方法我们可以建立.bat.txt.asp.htm.html等文件，这对于一个存在这漏洞的网站可以说是致命打击的开始。尤其是能写.bat文件，如果我们在autoexe.bat里面加入formatdel等命令时。结果会如何？常用使用增加用户使用TFTP下载后门程序等。,CGI漏洞防范：,给系统打补丁关闭不需要的脚本和服务用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(form)并进行象检索(Searchindex)或form-mail之类在主机上直接操作命令时，或许会给WEB主机系统造成危险。因此，从CGI角度考虑WEB的安全性，主要是在编制程序时，应详细考虑到安全因素。尽量避免CGI程序中存在漏洞。,CGI源代码泄漏：Inc文件泄露,攻击原理：当存在ASP（动态网页，PHP）的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。,CGI源代码泄漏：Inc文件泄露,实例inc泄漏BAK文件泄漏,Inc文件泄露防范,程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。Inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。用IIS解析INC文件删除备份文件去掉目录浏览功能,SQLInjection入侵,SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。SQL注入的原理，就是从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取你想到得到的资料。,SQL注入,SQLInjection入侵实例,22/hacker/login.asp输入：or1=1,如果（1=1ora=PASSWORD）那么可以进入系统否则哼哼Q,SQLInjection,判断数据库类型22/hacker/detail.asp?id=1and(selectcount(*)fromsysobjects)=0sqlserver成功22/hacker/detail.asp?id=1and(selectcount(*)frommsysobjects)=0这个可以不一定，一般判断是否是ACCESS,SQLInjection中级,22/hacker/detail.asp?id=1输入特别的URL，猜测表名22/hacker/detail.asp?id=1and(selectcount(*)fromadmin)=0正确，存在这个表名22/hacker/detail.asp?id=1and(selectcount(*)fromTbl_admin)=0返回错误，不存在表,SQLInjection中级,表名猜出来后，将Count(*)替换成Count(字段名)，用同样的原理猜解字段名。有人会说：这里有一些偶然的成分，如果表名起得很复杂没规律的，那根本就没得玩下去了。说得很对，这世界根本就不存在100%成功的黑客技术，苍蝇不叮无缝的蛋，无论多技术多高深的黑客，都是因为别人的程序写得不严密或使用者保密意识不够，才有得下手。,SQLInjection中级,已知表Admin中存在username字段，首先，我们取第一条记录，测试长度(selecttop1len(username)fromAdmin)0在得到username的长度后，用mid(username,N,1)截取第N位字符，再asc(mid(username,N,1)得到ASCII码，比如：id=1and(selecttop1asc(mid(username,1,1)fromAdmin)0一个一个得到用户名,SQLInjection防范,注入漏洞可谓是“千里之堤，溃于蚁穴”，这种漏洞在网上极为普遍，通常是由于程序员对注入不了解，或者程序过滤不严格，或者某个参数忘记检查导致。过滤掉特殊数据库字符串，例如例如：MM_rsUser.Source=MM_rsUser.Source&FROMCustomersWHERECustomerID=&Replace(MM_valUsername,)&ANDCustomerName=&Replace(Request.Form(textUserPWD),)&程序员写代码时特别考虑，例如，前面的登陆，先可以采取取密码，然后校对密码对付中极的SQL入侵，在程序中可以采取，判断传递过来的字符串，转换成数字型等，关键在于程序员在编程时，特别考虑SQLInjection的入侵。,HTTPPOST暴力破解,22/hacker/UserLogin.asp失败：22/hacker/Login2.asp成功：22/hacker/Login2.asp,利用弱口令入侵,通常口令的加密方法不可逆(MD5)暴力(穷举)破解,HTTPPOST暴力破解防范,使用人能辨析的图片做为效验码程序中可以采用登陆次数限制，例如限制为每天登陆5次。,“网络钓鱼”的主要手法,“网络钓鱼(Phishing)”作为一种网络诈骗手段，算不上新鲜事物，而且没有太多技术含量，主要是利用人们的心理来实现诈骗。如曾出现过的某假冒银行网站，网址为，而真正银行网站是，犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。,“网络钓鱼”的主要手法,又如2004年7月发现的某假公司网站（网址为），而真正网站为，诈骗者利用了小写字母l和数字1很相