Web的攻击与防御

1、第七章 WEB攻击与防御 1 目录 Web 安全的兴起 Web 安全风险的表现 为什么会产什么web安全风险 常见的web安全攻击技术 web安全防御技术 2 Web Web 安全的兴起安全的兴起 在早期的互联网中，web并非主流的互联网应 用，相对来说，基于SMTP、POP3、FTP、IRC 等协议的用户拥有绝大多数用户，因此黑客 们攻击的主要目标是网络、操作系统以及软 件等领域，web安全领域的攻击预防与技术均 处于非常原始的阶段。随着时代的发展，运 营商和防火墙对网络的封锁使得暴漏在网络 上的非web服务越来越少，且web技术的成熟 使得web应用的功能越来越强大，最终成为互 联网的主流

2、，而黑客的目光也逐渐转移到web 上，随之而来的就是web安全的问题。 3 Web Web 安全的兴起安全的兴起 在web1.0时代，人们更多的是关注服务 器端动态脚本的安全问题，比如将一个可执 行脚本上传到服务器上，从而获得权限 4 Web Web 安全的兴起安全的兴起 伴随着，web2.0的兴起，XSS、CSRF（跨站点 请求伪造）等攻击已经变得更为强大，web攻击的思 路也从服务器端转向了客户端，转向了浏览器和用 户。 “魔高一尺道高一丈”，互联网发展到今天对 web安全的要求也是越来越高，越来越复杂。 5 Web Web 安全的兴起安全的兴起 SQL注入的出现是web安全史上的一个重要

3、里程 碑，黑客们发现通过SQL注入攻击，可以获取更多的 重要敏感数据，甚至能够通过数据库获取系统访问 权限，这种效果并不比直接攻击系统软件差。 XSS（跨站脚本攻击）的出现则是web安全史上的 另外一个里程碑，实际上XSS出现时和SQL注入差不 多，真正引起人们重视则是在03年以后，在经历了 MySpace的XSS蠕虫事件后，XSS的重视程度提高了很 多。 6 WebWeb安全的定义安全的定义 黑客利用网站操作系统的漏洞和Web服务程序的 SQL注入漏洞等得到Web服务器的控制权限，轻则篡 改网页内容，重则窃取重要内部数据，更为严重的 则是在网页中植入恶意代码，使得网站访问者受到 侵害。 7

4、什么是什么是webweb安全风险呢？安全风险呢？ 8 某银行网站篡改 9 敏感数据泄密泄密敏感数据泄密泄密 10 企业敏感信息泄密企业敏感信息泄密 11 “广告联盟广告联盟”放置放置“黑链黑链” 12 钓鱼网站 真正的中国工商银行网站 假冒的中国工商银行网站 13 CSDNCSDN泄密门泄密门 14 百度被黑百度被黑 百度被黑 背景：5小时无法提供任 何互联网服务 漏洞：DNS服务器被劫持 影响：国内最大互联网企 业也在劫难逃！ 15 为什么会发生Web安全风险？ 16 WebWeb安全风险分析安全风险分析 要保护Web服务，先要了解Web系统架构，下图是 Web服务的一般性结构图，适用于互联

5、网上的网站， 也适用于企业内网上的Web应用架构： 17 WebWeb安全风险分析安全风险分析 18 WebWeb安全风险分析安全风险分析 用户使用通用的Web浏览器，通过接入网 络(网站的接入则是互联网)连接到Web服务器 上。用户发出请求，服务器根据请求的URL的 地址连接，找到对应的网页文件，发送给用 户，两者对话的“官方语言”是Http。网页 文件是用文本描述的，HTML/Xml格式，在用 户浏览器中有个解释器，把这些文本描述的 页面恢复成图文并茂、有声有影的可视页面。 19 WebWeb安全风险分析安全风险分析 通常情况下，用户要访问的页面都存在Web服务 器的某个固定目录下，是一些

6、.html或.xml文件，用 户通过页面上的“超连接”(其实就是URL地址)可以 在网站页面之间“跳跃”，这就是静态的网页。 后来人们觉得这种方式只能单向地给用户展示 信息，信息发布还可以，但让用户做一些比如身份 认证、投票选举之类的事情就比较麻烦，由此产生 了动态网页的概念；所谓动态就是利用flash、Php、 asp、Java等技术在网页中嵌入一些可运行的“小程 序”，用户浏览器在解释页面时，看到这些小程序 就启动运行它。 20 WebWeb安全风险分析安全风险分析 这些“小程序”可以嵌入在页面中，也 可以以文件的形式单独存放在Web服务器的目 录里，如.asp、.php、jsp文件等，并

7、且可以 在开发时指定是在用户端运行，还是在服务 器端运行；用户不再能看到这些小程序的源 代码，服务的安全性也大大提高。这样功能 性的小程序越来越多，形成常用的工具包， 单独管理，Web业务开发时，直接使用就可以 了，这就是中间件服务器，它实际上是Web服 务器处理能力的扩展。 21 WebWeb安全风险分析安全风险分析 静态网页与“小程序”都是事前设计好的，一 般不经常改动，但网站上很多内容需要经常的更新， 如新闻、博客文章、互动游戏等，这些变动的数据 放在静态的程序中显然不适合，传统的办法是数据 与程序分离，采用专业的数据库。Web开发者在Web 服务器后边增加了一个数据库服务器，这些经常变

8、 化的数据存进数据库，可以随时更新。 22 WebWeb安全风险分析安全风险分析 除了应用数据需要变化，用户的一些状态信息、属性信息也 需要临时记录： Cookie：把一些用户的参数，如帐户名、口令等信息存放在客 户端的硬盘临时文件中，用户再次访问这个网站时，参数也一同 送给服务器，服务器就知道你就是上次来的那个“家伙”了 Session：把用户的一些参数信息存在服务器的内存中，或写在 服务器的硬盘文件中，用户是不可见的，这样用户用不同电脑访 问时的贵宾待遇就同样了，Web服务器总能记住你的“样子”，一 般情况下，Cookie与Session可以结合使用 Cookie在用户端，一般采用加密方式

9、存放就可以了； Session在服务器端，信息集中，被篡改问题将很严重，所以一般 放在内存里管理，尽量不存放在硬盘上。 23 WebWeb安全风险分析安全风险分析 Web服务器上有两种服务用数据要保证“清白”， 一是页面文件(.html、.xml等)，这里包括动态程序 文件(.php、.asp、.jsp等)，一般存在Web服务器的 特定目录中，或是中间件服务器上；二是后台的数 据库，如Oracle、SQL Server等，其中存放的数据 的动态网页生成时需要的，也有业务管理数据、经 营数据。 24 序号序号内容内容说明说明 1跨站脚本漏洞Web应用程序直接将来自使用者的执行请求送回浏览器执行，

10、使得攻击 者可获取使用者的Cookie或Session信息而直接以使用者身份登陆 2注入类问题Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做 过滤，SQL 注入, 命令注入等攻击包括在内 3任意文件执行Web应用程序引入来自外部的恶意文件并执行 4不安全的对象直接引用攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重 要资料 5跨站请求截断攻击已登入Web应用程序的合法使用者执行恶意的HTTP指令，但Web应用程式 却当成合法需求处理，使得恶意指令被正常执行 6信息泄露Web应用程序的执行错误信息中包含敏感资料，可能包括系统文件路径， 内部IP地址等 7用户验证

11、和Session管理缺 陷 Web应用程序中自行撰写的身份验证相关功能有缺陷 8不安全的加密存储Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将 密钥储存于容易被获取之处 9不安全的通信Web应用经常在需要传输敏感信息时没有使用加密协议 10没有对URL路径进行限制某些网页因为没有权限控制，使得攻击者可透过网址直接存取 WEBWEB面临的安全威胁面临的安全威胁TOP10TOP10 25 SQL注入（SQL injection） 跨站脚本攻击 恶意代码 已知弱点和错误配置 隐藏字段 后门和调试漏洞 参数篡改 更改cookie 输入信息控制 缓冲区溢出 十大常见的WEB应用攻击 2

12、6 什么是什么是SQLSQL？ 结构化查询语言(Structured Query Language)简称 SQL，结构化查询语言是一种数据库查询和程序设计 语言，用于存取数据以及查询、更新和管理关系数 据库系统。结构化查询语言是高级的非过程化编程 语言，允许用户在高层数据结构上工作。它不要求 用户指定对数据的存放方法，也不需要用户了解具 体的数据存放方式，所以具有完全不同底层结构的 不同数据库系统, 可以使用相同的结构化查询语言 作为数据输入与管理的接口。 27 SQLSQL功能功能 1.数据查询 2.数据操作：插入、修改、删除表中的行 3.事务处理：传输、提交、恢复修改的数据等 4.数据控制

13、：控制对数据库对象的访问 5.数据定义：数据库中创建、删除表、为表加索引 6.指针控制：用于对一个或多个表单操作 28 SQL注入 技术 概述 就攻击技术本质而言，它利用的工具是SQL的语法，针对的是 应用程序开发者编程中的漏洞，当攻击者能操作数据，向应用 程序中插入一些SQL语句时，SQL Injection攻击就发生了。 实际上，SQL Injection攻击是存在于常见的多连接的应用程 序中的一种漏洞，攻击者通过在应用程序预先定义好的SQL语 句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授 权的任意查询,篡改和命令执行。 就风险而言，SQL Injection攻击也是位居前列，

14、和缓冲区溢 出漏洞相比，其优势在于能够轻易的绕过防火墙直接访问数据 库，甚至能够获得数据库所在的服务器的系统权限。 在Web应用漏洞中，SQL Injection 漏洞的风险要高过其他所 有的漏洞。 安全 风险 29 攻击特点 攻击的广泛性：由于其利用的 是SQL语法,使得攻击普遍存在； 攻击代码的多样性：由于各种 数据库软件及应用程序有其自 身的特点，实际的攻击代码可 能不尽相同； 影响范围 数据库：MS-Sql Server、Ora cle、Mysql、DB2、Informix 等所有基于SQL语言标准的数 据库软件； 应用程序：ASP、PHP，JSP、C GI、CFM等所有应用程序； 3

15、0 SQLSQL注入攻击实例注入攻击实例 通过Web页面查询job表中的招聘信息，job表的设计 如下： 31 SQLSQL注入攻击实例注入攻击实例 Web程序实现： protected void Page_Load(object sender, EventArgs e) if (!IsPostBack) / Gets departmentId from http request. string queryString = Request.QueryStringdepartmentID; if (!string.IsNullOrEmpty(queryString) / Gets data fr

16、om database. gdvData.DataSource = GetData(queryString.Trim(); / Binds data to gridview. gdvData.DataBind(); 32 SQLSQL注入攻击实例注入攻击实例 查询第一项记录代码 SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE (job_id = 1) 33 SQLSQL注入攻击实例注入攻击实例 现在要求我们获取Department表中的所有数据，而 且必须保留WHERE语句，那么只要确保WHERE恒真就 OK了，SQL示意代码

17、如下： SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE (job_id = 1) OR 1 = 1 上面等同于 SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs 34 SQLSQL注入攻击实例注入攻击实例 猜测表单名是不是Job SELECT job_id, job_desc, min_lvl, max_lvl FROM jobs WHERE job_id=1or 1=(select count(*) from job) - 35 猜测失败，首先它证明 了该表名不是job，

18、而且 它还告诉我们后台数据 库是SQL Server，不是 MySQL或Oracle，这也 设计一个漏洞把错误信 息直接返回给了用户 跨站脚本-介绍 跨站脚本漏洞产生原理 由于WEB应用程序没有对用户的输入和输出进行严格的过滤和转换， 就导致在返回页面中可能嵌入恶意代码。 什么是跨站脚本攻击 XSS又叫CSS(Cross Site Script) ，跨站脚本攻击。它指的是恶意 攻击者往WEB页面里插入恶意html代码，当用户浏览该页之时，嵌入 其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。 跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现，因此这 种攻击能在一定程度上隐藏

19、身份。 XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常呼略 其危害性。 36 跨站脚本攻击传播途径 EMAIL IM 聊天室 留言板 论坛 交互性平台 37 跨站攻击的危害 窃取 Cookie 劫持帐户 执行 ActiveX 执行 Flash 内容 强迫您下载软件 对硬盘和数据采取操作 38 跨站脚本跨站脚本- -介绍介绍 现在让我们通过具体的例子来看看XSS攻击是如何发生的，假 设现在有一个招聘网站，它提供在该网站已 注册的用户发布招聘信息和发送招聘信息到注册用户的功能。 通过该网站的发布招聘信息功能，我们把招聘信息发送到该网 站的服务器中，然后服务器会把信息发送到注册用户中，这

20、样我 们就实现了发布信息的目的了，然而当一些不怀好意好意的用户 他们很可能利用该网站存在的漏洞对用户进行攻击。 不怀好意的用户会把恶意代码，如：JavaScript, VBScript, ActiveX, HTML或 Flash等，把它们嵌入到发布的信息中去，然后 发送到服务器中，如果服务器没有很好的校验信息，直接把信息 转发到用户，这将导致一场XSS攻击灾难。 39 跨站点请求伪造（跨站点请求伪造（CSFRCSFR） 跨站点请求伪造（CSFR） CSRF，全称Cross-site request forgery，中文翻 译成跨站请求伪造。 利用这个漏洞，攻击者假冒正常的用户，以用户的 名义发

21、送恶意请求。这些请求可能是发送邮件，发 帖留言，盗账号，电子商城购买物品，甚至网银转 账等一系列操作。 40 WebWeb安全风险分析安全风险分析 41 点击劫持点击劫持 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可 见的iframe，覆盖在一个网页上，然后诱使用户恰好点击在iframe 页面的一些功能性按钮上。 2008年，安全专家Robert Hansen与Jeremiah Grossman发现了一种 被他们称为“ClickJacking”（点击劫持）的攻击，两位发现者准 备在当年的OWASP安全大会上公布并进行演示，但包括Adobe在内的 所有厂商，都要求在漏洞修补前不要公

22、开此问题。 42 WEBWEB木马病毒木马病毒- -利用漏洞类型利用漏洞类型 浏览器本身缺陷 第三方ActiveX控件漏洞 文件格式漏洞 43 WEBWEB木马病毒木马病毒- -盗号木马和网页木马盗号木马和网页木马 n盗号木马 l 在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的 专用木马。 l QQ盗号木马:数十款，流行网游:均发现相应的盗号木马 l 免杀机制：继承可执行程序加壳/变形等技术方法 n网页木马 l 本质上并非木马，而是Web方式的渗透攻击代码 l 一般以JavaScript, VBScript等脚本语言实现 l 免杀机制 l 通过大小写变换、十六进制编码、unicode

23、编码、base64编码、e scape编码等方法对网页木马进行编码混淆 l 通过通用（screnc等）或定制的加密工具（xxtea等）对网页木 马进行加密 l 修改网页木马文件掩码、混淆文件结构、分割至多个文件等 44 WEBWEB木马病毒木马病毒- ARP- ARP欺骗木马欺骗木马 nARP欺骗挂马:危害度更高的挂马网络构建策略 并不需要真正攻陷目标网站：知名网站通常防护严密 ARP欺骗：对同一以太网网段中，通过ARP欺骗方法进行中间人攻击， 可劫持指定网络流量并进行任意修改 ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向链接代码，从 而使得目标网站被“虚拟”挂马 n服务器端

24、ARP欺骗挂马 在目标网站同一以太网中获得访问入口 进行ARP欺骗挂马 目标网站虽未被攻陷，但所有网站访问者遭受网页木马的威胁 案例：07年10月份Nod32中国官方网站, C.I.S.R.T网站等 45 分布式拒绝攻击分布式拒绝攻击(DDOS)-(DDOS)-介绍介绍 分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是 发起攻击的源是多个。通常，攻击者使用下载的工具渗透无保护的 主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软 件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到 从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝 服务攻击。 分布式拒绝服务攻

25、击是指主控端理由僵尸机器同时对一个目标发起 几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没 有影响，而分布于全球的几千个攻击将会产生致命的效果。 46 分布式拒绝攻击分布式拒绝攻击- -攻击步骤一攻击步骤一 Scanning Program 不安全的计算机 Hacker 攻击者使用扫描工 具探测扫描大量主 机以寻找潜在入侵 目标。 1 Internet 47 分布式拒绝攻击分布式拒绝攻击- -攻击步骤二攻击步骤二 Hacker 被控制的计算机(代理端) 黑客设法入侵有安全 漏洞的主机并获取控 制权。这些主机将被 用于放置后门、sniffe r或守护程序甚至是客 户程序。 2 Int

26、ernet 48 分布式拒绝攻击分布式拒绝攻击- -攻击步骤三攻击步骤三 Hacker 黑客在得到入侵计 算机清单后，从中选出 满足建立网络所需要的 主机，放置已编译好的 守护程序，并对被控制 的计算机发送命令。 3 被控制计算机（代理端 ） Master Server Internet 49 分布式拒绝攻击分布式拒绝攻击- -攻击步骤四攻击步骤四 Hacker Using Client program, 黑客发送控制命令给主 机，准备启动对目标系统的 攻击 4 被控制计算机（代理端 ） Targeted System Master Server Internet 50 分布式拒绝攻击分布式拒

27、绝攻击- -攻击步骤五攻击步骤五 Internet Hacker 主机发送攻击信号给 被控制计算机开始对 目标系统发起攻击。 5 Master Server Targeted System 被控制计算机（代理端 ） 51 分布式拒绝攻击分布式拒绝攻击- -攻击步骤六攻击步骤六 Targeted System Hacker 目标系统被无数的 伪造的请求所淹没，从 而无法对合法用户进行 响应，DDOS攻击成功 。 6 Master Server User Request Denied Internet 被控制计算机（代理端 ） 52 WebWeb安全技术安全技术 一、服务器端安全技术一、服务器端安

28、全技术 服务器端安全最基本的是接入网入口的安全网关UTM ，其中IPS功能与防 DDOS功能是Web服务器系统级入侵的直接防护，但UTM是通用的边界安全网关，非 “专业的”Web入侵防护，一般作为安全的入门级防护。 网页防篡改技术的基本原理：是对Web服务器上的页面文件(目录下文件)进 行监控，发现有更改及时恢复。所以该产品实际是一个“修补”的工具，不能阻 止攻击者的篡改，就来个守株待兔，专人看守，减少损失是目标，防篡改属于典 型的被动防护技术。 网页防篡改产品的部署：建立一台单独的管理服务器，然后在每台Web服务 器上安装一个Agent程序，负责该服务器的“网页文件看护”，管理服务器是管 理

29、这些Agent看护策略的。 网页防篡改对保护静态页面有很好的效果 53 WebWeb安全技术安全技术 54 WebWeb安全技术安全技术 a)第一代技术，把Web服务器主目录下的文件做一个备份， 用一个定时循环进程，把备份的文件与服务使用的文件逐个 进行比较，不一样的就用备份去覆盖。网站更新发布时，则 同时更新主目录与备份。这种方法在网站大的情况下，网页 数量巨大，扫描一遍的时间太长，并且对Web服务器性能也 是挤占。 b)第二代技术，采用了Hash算法，对主目录下的每个文件做 Hash，生成该文件的“指纹”，定时循环进程直接计算服务 用文件的Hash指纹，然后进行指纹核对，指纹一般比较小，

30、比较方便；指纹具有不可逆的特点，不怕仿制。 55 WebWeb安全技术安全技术 c)第三代技术，既然网站上页面太多，三级以下页面的访问量， 一般使用呈指数级下降，没人访问当然也不会被篡改，在这些页 面重复扫描是不划算的。改变一下思路：对文件读取应该没有危 险，危险的是对文件的改写操作。若只对文件被改变时才做检查， 就可以大大降低对服务器资源的占用；具体做法是：开启一个看 守进程，对Web服务器的主目录文件删改操作进行监控，发现有此 操作，判断是否有合法身份，是否为授权的维护操作，否则阻断 其执行，文件不被改写，也就起到了网页防篡改的目的。这个技 术也称为事件触发防篡改。 这种技术需要考验对服务

31、器操作系统的熟悉程度，但黑客也是 高手，你的看护进程是用户级的，黑客可以获得高级权限，绕过 你的“消息钩子”，监控就成了摆设。 56 WebWeb安全技术安全技术 d)第四代技术，既然是比谁的进程权限高，让操作系统干这个活 儿，应该是最合适的，黑客再牛也不可能越过操作系统自己“干 活”。因此，在Windows系统中，提供系统级的目录文件修改看护 进程(系统调用)，防篡改产品直接调用就可以了，或者利用操作 系统自身的文件安全保护功能，对主目录文件进行锁定(Windows 对自己系统的重要文件也采取了类似的防篡改保护，避免病毒的 侵扰)，只允许网站发布系统(网页升级更新)才可以修改文件，其 他系统

32、进程也不允许删改。 网页防篡改系统可以用于Web服务器，也可以用于中间件服务 器，其目的都是保障网页文件的完整性。 57 WebWeb安全技术安全技术 web防火墙 防止网页被篡改是被动的，能阻断入侵行为才是主动型 的，Web防火墙，主要是对Web特有入侵方式的加强防护，如 DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非 网络层的入侵，从技术角度都应该称为Web IPS，而不是Web 防火墙。这里之所以叫做Web防火墙，是因为大家比较好理 解，业界流行的称呼而已。由于重点是防SQL注入，也有人 称为SQL防火墙。 58 WebWeb安全技术安全技术 59 WebWeb安全技术

33、安全技术 Web防火墙的主要技术的对入侵的检测能力，尤其是 对Web服务入侵的检测，主要有以下几种方式： 代理服务：代理方式本身就是一种安全网关，基于会话的 双向代理，中断了用户与服务器的直接连接，适用于各种加 密协议，这也是Web的Cache应用中最常用的技术。代理方式 防止了入侵者的直接进入，对DDOS攻击可以抑制，对非预料 的“特别”行为也有所抑制。Netcontinuum(梭子鱼)公司的 WAF就是这种技术的代表。 60 WebWeb安全技术安全技术 特征识别：识别出入侵者是防护的前提。特征就是攻击者 的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见 的“真表达(1=1

34、)”应用信息没有“标准”，但每个软件、 行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式， 麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也 容易相象，误报的可能性也大。虽然目前恶意代码的特征指 数型地增长，安全界声言要淘汰此项技术，但目前应用层的 识别还没有特别好的方式。 61 WebWeb安全技术安全技术 算法识别：特征识别有缺点，人们在寻求新的方式。对攻 击类型进行归类，相同类的特征进行模式化，不再是单个特 征的比较，算法识别有些类似模式识别，但对攻击方式依赖 性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。 算法识别是进行语义理解，而不是靠“长相”识别。 模式匹

35、配：是IDS中“古老”的技术，把攻击行为归纳成 一定模式，匹配后能确定是入侵行为，当然模式的定义有很 深的学问，各厂家都隐秘为“专利”。协议模式是其中简单 的，是按标准协议的规程来定义模式；行为模式就复杂一些， 62 WebWeb安全技术安全技术 Imperva公司的WAF产品在提供入侵防护的同时，还 提供了另外一个安全防护技术，就是对Web应用网页 的自动学习功能，由于不同的网站不可能一样，所 以网站自身页面的特性没有办法提前定义，所以 imperva采用设备自动预学习方式，从而总结出本网 站的页面的特点。 63 WebWeb安全技术安全技术 通过一段时间的用户访问，WAF记录了常用网页的访

36、问模式，如一 个网页中有几个输入点，输入的是什么类型的内容，通常情况的长度是 多少学习完毕后，定义出一个网页的正常使用模式，当今后有用户突 破了这个模式，如一般的帐号输入不应该有特殊字符，而XML注入时需要 有“”之类的语言标记，WAF就会根据你预先定义的方式预警或阻断； 再如密码长度一般不超过20位，在SQL注入时加入代码会很长，同样突破 了网页访问的模式。 网页自学习技术，从Web服务自身的业务特定角度入手，不符合我 的常规就是异常的，也是入侵检测技术的一种，比起单纯的Web防火墙来， 不仅给入侵者“下通缉令”，而且建立进入自家的内部“规矩”，这一 种双向的控制，显然比单向的要好。 从安全

37、角度来说，网页自学习技术与入侵防护结合使用，是理想的选 择。 64 WebWeb安全技术安全技术 Web数据库审计 有效恢复是安全保障的一个很重要的理念。动态网页的防护 难点是用数据库现场生成的，因此对数据库的修改就变得很关键， Web数据库审计产品的目的就是对数据的所有操作进行记录，当发 现问题时，这些操作可以回溯。 打个比方，你在游戏中的装备被别人给“划走”了，过了一 周，你发现了，但一周中，游戏在继续，你的装备有很多新动态， 合理与不合理变化交织在一起。此时，若管理人员知道确定是 “某人”的篡改，就可以把他的动作进行“逆向”操作，你的游 戏仍可以继续，不受影响；若通过协商，需要恢复到篡改

38、前的某 个状态，则在数据库中先取得篡改前最近一次的备份数据，再使 用数据库的审计记录，一直“操作”到篡改前的状态，游戏就可 以继续了。这种技术与数据库的实时同步备份技术是类似的。 65 WebWeb安全技术安全技术 当然数据库的操作量很大，全部记录需要很大的数据空间， 所以，Web服务中重要数据库操作才进行详细审计，审计的 目的是为了运营状态的可恢复。常见的Web审计数据： 帐户操作：涉及权限的改变 运营操作：涉及“财与物”的变化 维护操作：涉及“特殊权限”人的动作 66 WebWeb安全技术安全技术 Web木马检查 Web安全不仅是维护网站自己安全，通过网站入 侵用户电脑的危害也十分棘手。网

39、页容易被挂上木 马，或被XSS攻击利用，是否有工具可以对所有的网 页进行安全检查呢？这里用到了“爬虫”技术。 67 WebWeb安全技术安全技术 68 WebWeb安全技术安全技术 “爬虫”技术最早是搜索引擎“发明”的，搜索网站放出N个小“爬 虫”，在世界各地的网站上循环扫描，收集网站上的新信息，建立供世 界人民查找的数据库，这样大家就可以从Google、百度等搜索门户上搜 到你想要的任何东东。由于“爬虫”来自网站外部，所以可以模拟用户 打开网站的实际效果，所以“爬虫”很快被网站用来测试自身性能的 “用户体验”工具，比如网页打开的速度，用户互动的等待时间等。 所谓“爬虫”就是这样一些进程，按照

40、一定的规则(横向优先搜索、 纵向优先搜索)，将网站上所有的页面打开一遍，在对网页上关心的事情 进行检查。由于是以用户的身份“浏览”网页，所以没有静态与动态页 面的差别。 69 WebWeb安全技术安全技术 Web木马检查工具就是基于这个原理开发的，不 同于搜索爬虫的是，在网页检查时，重点查看网页 是否被挂木马，或被XSS利用。因为网站内的URL链 接去向应该可追溯的，所以对XSS的检查是很有效的。 70 WebWeb安全技术安全技术 二、客户端安全技术二、客户端安全技术 1 浏览器端的安全 同源策略（Same Origin Policy）是一种约定， 是浏览器最核心也是最基础的安全功能。 可以说web是构建在同源策略的基础之上的，浏览器 只是针对同源策略的一种实现。 浏览器的同源策略，限制了来自不同源的浏览器的同源策略，限制了来自不同源的 documentdocument或脚本，对当前或脚本，对当前documentdo