web应用的漏洞分类

1、Web应用是指采用B/S架构、通过HTTP/HTTP黝、议提供服务的统称。随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器侧的动态处理。此时，如果Java、PHR ASP等程序语言的编程人员的安全意识不足，对程序参数输入等检查不严格等， 会导致Web应用安全问题层出不穷。本文根据当前 Web应用的安全情况，列举了 Web应用程序常见的攻击原理及危害，并给出如何避免遭受Web攻击的建议。1 We匝用漏洞原理Web应用攻击是攻击者通过浏览器或攻击工具，在UR或者

2、其它输入区域（如表单等），向 Web服务器发送特殊请求，从中发现 Web应用程序存在的漏洞，从而进一步操纵和控制网站，查看、修改未授权的信息。1.1We成Z用的漏洞分类1、信息泄露漏洞信息泄露漏洞是由于 Web服务器或应用程序没有正确处理一些特殊请求，泄露Web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。造成信息泄露主要有以下三种原因：Web服务器配置存在问题，导致一些系统文件或者配置文件暴露在互联网中；Web服务器本身存在漏洞，在浏览器中输入一些特殊的字符，可以访问未授权的文件或者 动态脚本文件源码；Web网站的程序编写存在问题，对用户提交请求没有进行适当的过滤，直

3、接使用用户提交 上来的数据。2、目录遍历漏洞目录遍历漏洞是攻击者向 Web服务器发送请求，通过在 URL中或在有特殊意义的目录中附加“ ./ ”、或者 附加“./ ”的一些变形（如“ ”或"./ ”甚至其编码），导致攻击者能够访问未授权的目录，以及在 Web服务器的根目录以外执行命令。3、命令执行漏洞命令执行漏洞是通过 URL发起请求，在 Web服务器端执行未授权的命令，获取系统信息，篡改系统配置，控 制整个系统，使系统瘫痪等。命令执行漏洞主要有两种情况:通过目录遍历漏洞，访问系统文件夹，执行指定的系统命令；攻击者提交特殊的字符或者命令，Web程序没有进行检测或者绕过 Web应用程序

4、过滤，把用户提交的请求作为指令进行解析，导致执行任意命令。4、文件包含漏洞文件包含漏洞是由攻击者向 Web服务器发送请求时，在URL加非法参数，Web服务器端程序变量过滤不严， 把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件， 也可以是远端的某个恶意 文件。由于这种漏洞是由 PHP变量过滤不严导致的，所以只有基于PHP发的Web应用程序才有可能存在文 件包含漏洞。5、SQL注入漏洞SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断，攻击者通过Web页面的输入区域（如URL表单等），用精心构造的SQL语句插入特殊字符和指令，通过和数据库交互获得私密信息或

5、者篡 改数据库信息。SQL注入攻击在 We畋击中非常流行，攻击者可以利用SQL注入漏洞获得管理员权限，在网页上加挂木马和各种恶意程序，盗取企业和用户敏感信息。6、跨站脚本漏洞跨站脚本漏洞是因为 Web应用程序时没有对用户提交的语句和变量进行过滤或限制，攻击者通过Web页面的输入区域向数据库或 HTMIM面中提交恶意代码，当用户打开有恶意代码的链接或页面时，恶意代码通过浏 览器自动执行，从而达到攻击的目的。跨站脚本漏洞危害很大，尤其是目前被广泛使用的网络银行，通过跨 站脚本漏洞攻击者可以冒充受害者访问用户重要账户，盗窃企业重要信息。根据前期各个漏洞研究机构的调查显示，SQL注入漏洞和跨站脚本漏洞

6、的普遍程度排名前两位，造成的危害也更加巨大。1.2SQLK入攻击原理SQL注入攻击是通过构造巧妙的 SQL语句，同网页提交的内容结合起来进行注入攻击。比较常用的手段有使 用注释符号、恒等式（如 1 = 1）、使用union语句进行联合查询、使用insert或update语句插入或修改 数据等，此外还可以利用一些内置函数辅助攻击。通过SQL注入漏洞攻击网站的步骤一般如下：第一步：探测网站是否存在 SQL注入漏洞。第二步：探测后台数据库的类型。第三步：根据后台数据库的类型，探测系统表的信息第四步：探测存在的表信息第五步：探测表中存在的列信息。第六步：探测表中的数据信息。1.3跨站唧本攻击原理跨站脚

7、本攻击的目的是盗走客户端敏感信息，冒充受害者访问用户的重要账户。跨站脚本攻击主要有以下三种形式：1、本地跨站脚本攻击B给A发送一个恶意构造的 WebURL A点击查看了这个 URL并将该页面保存到本地硬盘（或 B构造的网页 中存在这样的功能）。A在本地运行该网页，网页中嵌入的恶意脚本可以 A电脑上执行A持有的权限下的所 有命令。2、反射跨站脚本攻击A经常浏览某个网站，此网站为 B所拥有。A使用用户名/密码登录B网站，B网站存储下A的敏感信息（如 银行帐户信息等）。C发现B的站点包含反射跨站脚本漏洞，编写一个利用漏洞的 URL域名为B网站，在 URL后面嵌入了恶意脚本（如获取 A的cookie文

8、件），并通过邮件或社会工程学等方式欺骗 A访问存在恶 意的URL当A使用C提供的URL访问B网站时，由于B网站存在反射跨站脚本漏洞，嵌入到 URL中的恶意 脚本通过Web服务器返回给A,并在A浏览器中执行，A的敏感信息在完全不知情的情况下将发送给了 Co3、持久跨站脚本攻击B拥有一个 Web站点，该站点允许用户发布和浏览已发布的信息。C注意到B的站点具有持久跨站脚本漏洞，C发布一个热点信息，吸引用户阅读。A 一旦浏览该信息，其会话 cookies或者其它信息将被 C盗走。持久性跨站脚本攻击一般出现在论坛、留言簿等网页，攻击者通过留言，将攻击数据写入服务器数据库中，浏览 该留言的用户的信息都会被

9、泄漏。2Web应用漏洞的防御实现对于以上常见的 Web应用漏洞漏洞，可以从如下几个方面入手进行防御：1）对Web应用开发者而言大部分We时用常见漏洞，都是在 Web用开发中，开发者没有对用户输入的参数进行检测或者检测不严格造成的。所以， Web应用开发者应该树立很强的安全意识，开发中编写安全代码；对用户提交的URL查询关键字、HTTP头、POST#据等进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码 的字符，阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码，可以消除绝大部分的 Web应用安全问题。2）对Web网站管理员而言作为负责网站日常维护管理工作 Web管理员，

10、应该及时跟踪并安装最新的、支撑 Web网站运行的各种 软件的安全补丁，确保攻击者无法通过软件漏洞对网站进行攻击。除了软件本身的漏洞外，Web服务器、数据库等不正确的配置也可能导致 Web应用安全问题。Web网站 管理员应该对网站各种软件配置进行仔细检测，降低安全问题的出现可能。此外，Web管理员还应该定期审计 Web服务器日志，检测是否存在异常访问，及早发现潜在的安全问 题。3）使用网络防攻击设备前两种为事前预防方式，是比较理想化的情况。然而在现实中，Web应用系统的漏洞还是不可避免的存在：部分Web网站已经存在大量的安全漏洞，而We研发者和网站管理员并没有意识到或发现这些安全漏 洞。由于We

11、b应用是采用HTT呦议，普通的防火墙设备无法对 Web类攻击进行防御，因此可以使用 IPS入 侵防御设备来实现安全防护。3 H3C IPS Web攻击防御H3CIPS入侵防御设备有一套完整的 Web攻击防御框架，能够及时发现各种已经暴露的和潜在的 We敏击。 下图为对于Web攻击的总体防御框架。报r化削图1 : Web攻击防御框架H3CIPS采用基于特征识别的方式识别并阻断各种攻击。IPS设备有一个完整的特征库，并可定期以手工与自动的方式对特征库进行升级。当网络流量进入IPS后，IPS首先对报文进行预处理，检测报文是否正确，即满足协议定义要求，没有错误字段；如果报文正确，则进入深度检测引擎。该

12、引擎是IPS检测的核心模块，对通过IPS设备的Web流量进行深层次的分析，并与 IPS攻击库中的特征进行匹配， 检测We硫量是否存在异常；如果发现流量匹配了攻击特征，IPS则阻断网络流量并上报日志；否则，网络流量顺利通过。此Webt击防御框架有如下几个特点：1）构造完整的 We敏击检测模型，准确识别各种 Web攻击针对Web攻击的特点，考虑到各种 Web攻击的原理和形态，在不同漏洞模型之上开发出通用的、层次化的 Web攻击检测模型，并融合到特征库中。这些模型抽象出 Web攻击的一般形态，对主流的攻击能够准确识别， 使得模型通用化。2）检测方式灵活，可以准确识别变形的Web攻击在实际攻击中，攻击

13、者为了逃避防攻击设备的检测，经常对We畋击进行变形，如采用 URL编码技术、修改参数等。H3C根据Web应用漏洞发生的原理、攻击方式和攻击目标，对攻击特征进行了扩展。即使攻击者修IPS的防御改攻击参数、格式、语句等内容，相同漏洞原理下各种变形的攻击同样能够被有效阻断。这使得 范围扩大，防御的灵活性也显著增强，极大的减少了漏报情况的出现。3）确保对最新漏洞及技术的跟踪，有效阻止最新的攻击随着Web攻击出现的频率日益增高，其危害有逐步扩展的趋势。 这对IPS设备在防御的深度和广度上提出了更高的要求，不仅要能够防御已有的Web攻击，更要有效的阻止最新出现的、未公布的攻击。目前， H3C已经建立起一套

14、完整的攻防试验环境，可以及时发现潜在We豉全漏洞。同时还在继续跟踪最新的 Web攻击技术和工具，及时更新 Web攻击的特征库，第一时间发布最新的Web®洞应对措施，确保用户的网络不受到攻击。4）保证正常业务的高效运行检测引擎是IPS整个设备运行的关键，该引擎使用了高效、准确的检测算法，对通过设备的流量进行深层次 的分析，并通过和攻击特征进行匹配，检测流量是否存在异常。如果流量没有匹配到攻击特征，则允许流量 通过，不会妨碍正常的网络业务，在准确防御的同时保证了正常业务的高效运行。4 结束语互联网和Web技术广泛使用，使Web应用安全所面临的挑战日益严峻，Web系统时时刻刻都在遭受各种攻击的威胁，