计算机网络的攻击与防范

PAGEI计算机网络的攻击与防范PAGE2课题名称：计算机网络的攻击与防范摘要伴随着计算机信息互联网技术的高速发展，计算机信息网络已成为了人们获取和不断对外交流信息的极其重要的手段。最能体现的是今年数字经济和数字货币的兴起，其中有很多是敏感的支付信息，甚至是国家机密，黑客利用信息网络中存在的漏洞，例如(数据信息的泄漏、机密信息的窃取、敏感数据的篡改、计算机木马病毒等)。隐藏在全球各地的黑客因为利益的驱使，也大大的刺激了计算机网络高等级技术犯罪案件的发生，例如勒索病毒的爆发，使得全球各行各业的企业损失十分惨重。各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一，从而构成了对网络安全的迫切需求。关键词：黑客、攻击、漏洞、Web渗透、安全防护.AbstractWiththerapiddevelopmentofInternettechnology，computernetworkhasbecomethemostimportantmeansforpeopletoobtainandexchangeinformation.Especiallythisyear，withtheriseofdigitaleconomyanddigitalcurrency，manyofthemaresensitivepaymentinformation，evenstatesecrets.Hackerstakeadvantageoftheloopholesintheinformationnetwork，suchasinformationleakage，informationstealing，datatampering，datadeletionandaddition，computerviruses，etc.Drivenbytheinterestsofhackersfromallovertheworld，italsogreatlystimulatestheoccurrenceofcomputerhigh-techcrimecases，suchastheoutbreakofblackmailvirus，whichmakesenterprisesinallwalksoflifeintheworldlosealot.Thecomputersystem，especiallythenetworksystem，isfacingagreatthreat，andhasbecomeoneoftheserioussocialproblems，whichconstitutesanurgentneedfornetworksecurity.Keywords:HackerAttackVulnerabilityWebPenetrationSecurityProtection 计算机网络的攻击与防范PAGE5江南大学本科毕业论文PAGE4目录摘要 3Abstract 41网络的概念 71.1计算机网络的定义 71.2网络发展现状 71.3网络的分类 71.3.1局域网 71.3.2城域网 71.3.3广域网 81.4网络未来前景 81.4.1多极化 81.4.2智能化 81.4.3网络化 82网络的攻击 92.1网络攻击的含义 92.2网络攻击的种类 92.3网络攻击的危害 93黑客攻击的流程 113.1基础信息收集 113.1.1whois信息 123.1.2Dig探测DNS 123.1.3Nslookup查询 133.1.4robots.txt文件 133.1.5网站备份压缩文件 143.1.6DS_store导致文件泄露 143.1.7SVN导致文件泄露 153.2脆弱漏洞发现 153.2.1SQL注入漏洞 153.2.2凭证弱口令漏洞 163.2.3Web上传漏洞 173.2.4XML外部实体注入漏洞 183.2.5跨站脚本攻击漏洞 183.2.6敏感信息泄露漏洞 193.2.7业务逻辑漏洞 204漏洞升级利用 254.1二次注入 254.2撞库攻击 254.3Webshell利用 264.4中间件漏洞 274.5XSS获取凭证 285内网主机漫游 295.1攻击外网服务器 295.2攻击办公网的系统 296痕迹清理藏匿 307安全的防护体系 317.1Web层面的防护 317.1.1常见漏洞防护 317.1.2系统错误配置 317.1.3权限安全管控 317.2硬件层面的防护 317.2.1网络安全设备 317.2.2安全审计设备 327.2.3其他安全设备 327.3安全意识的培养 337.3.1办公环境安全 337.3.2上网行为安全 337.3.3日常物理安全 33致谢 34参考文献 35 1网络的概念1.1计算机网络的定义计算机网络是有完备的操作系统、网络系统的管理软件和良好的网络通信的协议管理和密切的配合，通过利用信号通信线路把相互独立的的在不同空间距离的位置的多台计算机设备和其对应的外部设备进行相互通信连接，以至于可以实现网络资源的互相共享和网络资源信息的互相传输的计算机资源网络系统。1.2网络发展现状计算机网络技术已经极大的应用于我们生活的各个领域，因为网络产品和系统自身的缺陷以及缺乏足够的安全意识，使得网络存在被入侵的可能性，系统被攻破的风险，从而导致机密信息泄露，从而导致计算机网络架构变得十分脆弱，影响了计算机网络的安全和稳定的运行。这也是目前我们的计算网络技术一直以来存在的不足和今后需要大力发展的重点方向。1.3网络的分类虽然网络的种类的划分标准和依据不一样，但是根据空间距离的分类是一种大家普遍认可的网络分类标准。根据各种网络类型的不同一般可以划分为局域网络，城域网络，广域网络和互联网络，简单的来看，局域网络其实是一个小的区域，城域网络是区域间的网络互联。1.3.1局域网局域网是因为计算机互联网络发展的普及性和广泛性得到了充分而广泛的大量实践和应用，每个企业或者家庭都具备自己的局域网。局域网在网络设备的数量上没有太多的限制，少的可以有几台多的可达到几百台，几千台，甚至一些大型企业达到几万台。局域网络一般位于一栋大楼或者一个机房。1.3.2城域网城域网是城市内部的计算机设备进行的互连，但是有一个很重要的区别是不在同一个地理区域。1.3.3广域网远程互联网网络，非常有效的传输距离在空间距离上比城域网络覆盖空间距离的更远且更广阔的，是在不同地理位置或者不同空间距离上的各个城市之间的网络互联，包含的有效范围非常广。由于空间距离较远。在传输信息资源数据时因为数据衰减度相对来说是比较严重的，所以这种远距离网络一般需要租用专线网络资源，从而保证了数据在远距离传输过程中的无损性和快速性。1.4网络未来前景计算机技术依然是当今世界上发展速度最快的科学技术之一，因为网络产品设备的不断升级更新换代。当前计算机正朝着计算速度巨型化、设备体积微型化、处理思想智能化等方向不断发展，由于计算机本身的计算性能越来越快，其所应用范围也越来越广泛，使计算机以及计算机网络成为工作、学习和生活中必不可少的得力工具。1.4.1多极化个人微型计算机已遍及全世界，由于各种体积计算机应用的不断深耕，人们对巨型机计算机、大型机计算机的需求量也在不断的呈上升趋势，形成了一种普遍化的形势。1.4.2智能化智能化是使我们的具备计算的设备有模拟人的思想和思维过程的一种能力，这也是目前正在研制的新一代计算机设备所要实现的目标和理想。机器智能化的研究包括自动感知、图像识别、人像识别、自动思维判断、涉及反应系统、学习系统等。目前，已研制出多种具有人的感知和思考的智能设备，这些技术已得到论证和认可，比如具备自主驾驶功能的特斯拉汽车。1.4.3网络化计算机网络化，是指用当今现代通信的技术和计算机组网互联技术把分布在不同空间距离的、不同地理位置的计算机设备进行相互连接，组成了一个功能强大、覆盖面广、同时在不同空间距离的计算机设备之间可以互相通信的网络结构。2网络的攻击2.1网络攻击的含义网络攻击是对计算机设备的操作系统、网络基础设施、以及应用在系统上的一些应用，发起的各种类型的攻击手段。对计算机网络来说，存在破坏、非法揭露、擅自修改、使计算机软件或者提供的服务失去对应的功能、同时在没有得到目标企业或者所有者授权的情况下窃取或未经过授权而去访问不属于自己计算机的信息数据，都被认为存在网络攻击。图2-1：黑客攻击场景2.2网络攻击的种类针对网络攻击，可以分为Web攻击和系统攻击。2.3网络攻击的危害依附于Web服务为载体的互联网应用越来越普遍，每个企业在建设信息化的过程中的各种应用都架设在对应的网络服务发布平台上，但是随之而来的就需要是面临网络安全威胁，入侵者通过利用操作系统的补丁漏洞和Web服务应用程序的一系列高风险的漏洞，比如非法文件上传漏泂、SQL语句注入漏洞等得到Web服务器的管理员的控制权限，通过修改数据和上传病毒文件，达到控制某企业的网络系统。这也使得越来越多的企业，政府和高校持续不断的关注的网络安全问题，同时关注度也逐渐升温。3黑客攻击的流程3.1基础信息收集信息收集是利用各种互联网公开的可搜寻的方式来获取对入侵者有用的、有价值的目标信息，以便入侵者在之后的渗透攻击过程中更好的开展下一步操作。相对通俗的就是比如说攻击目标的站点网络地址、中间件信息、脚本语言信息、端口开放情况、电子邮箱等等。比较重要的环节，如果在这里没做好信息搜集的工作，入侵者很难进行下一步的有利于渗透测试的工作。入侵者拿到了要攻击的目标之后，接下来会收集域名所对应的IP地址，DNS地址等一系列与网站域名相关的信息，掌握这些信息之后从而发动下一步攻击。图3-1：黑客攻击时采取的信息收集流程图3.1.1whois信息whois可以用来检查一个域名是否已经被注册或者被其他人持有，查询结果包含了注册域名所属者的足够详细且丰富的数据信息。因为这个的查询相对来说也是比较简单和方便的，例如站长之家，万网等等都提供了whois的查询，通过whois查询我们可以获取所属域名管理员的手机号码、姓名、家庭住址和域名注册商等信息。使用查询得到所属域名管理员的号码、姓名、家庭住址等，利用这些信息可以对注册的其他域名进行漏洞挖掘同时还可以应用社会工程学进行下一步攻击。利用邮箱反查：/reverse?ddlSearchMode=1利用所有者反查：/reverse?ddlSearchMode=1使用微步在线：https://x.threat使用/使用爱站网：/通过万网查询：/图3-2：whois查询网站信息3.1.2Dig探测DNSdig可以来查询对应的域名的DNS服务器，其中包括NS的记录，A解析的记录，MX的邮箱记录等相关DNS信息的一种查询工具。DNS的记录说明：A记录:A类型记录是域名所去对应的IP网络地址。CNAME：将注册的很多几个不同的域名全部解析记录到一个域名系统上，用这个唯一的域名记录作为独立的解析管理，有利于所有者自行设置，和A记录不同的是，CNAME别名记录的设置也可以是一个域名的描述而并不一定是IP地址。MX：能让自己的邮箱收到所需要的内容电子邮件，可以去添加MX记录类型。图3-3：dig查询网站DNS信息3.1.3Nslookup查询nslookup是对域名查询的命令，在linux和windows平台上可以查询到域名对应的iP地址类型。在所有已安装TCP/IP协议的计算机电脑上面都可以应用这个查询命令。主要用来判断和确定域名管理系统的基本网络架构的基础的信息。图3-4：nslookup查询网站DNS信息3.1.4robots.txt文件一个搜索引擎的蜘蛛系统在访问需要爬行的站点时，那么会先访问检查这个站点根目录下会不会存在一个文件，那就是robots.txt，当发现一旦存在，蜘蛛机器人就会依据这个文件中的内容来确定所要爬行的范围；若是该文件不存在，蜘蛛机器人将能够访问网站上没有被强口令保护的一些后台管理页面，从而暴露攻击面。例如/robots.txt，该文件用于告诉了搜索引擎蜘蛛机器人，哪些页面可以去爬行访问，哪些页面不要去访问。为了让搜索引擎不要访问收录一些敏感的关键的页面，在网站的robots.txt文件里面做了屏蔽访问的规则。图3-5：robots.txt文件泄露3.1.5网站备份压缩文件网站管理员在对网站应用进行增删改时、应用系统进行升级等操作前，会把所运行的网站应用系统或一些关键的网站页面进行本地备份，但是因为各种各样的原因会将网站备份的文件临时存放到网站目录下，管理员在完成复制或者压缩文件转移后未进行删除，压缩的文件也未做任何访问控制和管理，就会使得压缩文件可以被直接的访问而且并被下载。可能为.rar、zip、.7z、.tar.gz等。图3-6：网站备份压缩文件下载3.1.6DS_store导致文件泄露DS_Store是Mac计算机下Finder文件管理器用来保存文件文件夹的数据文件，因为每个文件夹都会一一对应一个文件结构。因为开发设计人员在完成开发去上线代码的时候没有及时去删除文件夹中隐藏的DS_store，就会导致网站文件目录结构的文件泄漏、由此以至于源代码网站文件结构的信息等敏感数据信息的泄露。图3-7：DS_store文件泄露3.1.7SVN导致文件泄露Subversion，简称SVN，足够开放的源代码版本控制软件系统。大多数管理维护人员对SVN的运行机制和原理不是很熟悉，直接把SVN存储库检出到本地的web目录下，并且忘记删除或者没有屏蔽.svn目录文件夹，从而可以导致入侵者拿到一个站点的网站的源代码文件，从而进行源代码审查，发现更多有利用下一步入侵的信息。图3-8：SVN文件泄露3.2脆弱漏洞发现3.2.1SQL注入漏洞在输入的字符串之中使用了SQL语句查询语句，由于设计不良的网站程序当中忽略了用户输入的字符检查，这些被带入数据库执行的恶意指令就会被误会的认为是正常的SQL语句从而运行，因此整个应用系统遭到人为破坏或是数据泄漏。只要支持处理SQL语句查询的数据库服务器，都会有可能受到对应的攻击。SQL注入攻击是一个非常普遍的而且是非常有效的攻击方式，且SQL注入方式与绕过防火墙的手段变幻多端。据统计，在日常漏洞中，SQL语句注入漏洞占比约10%左右，虽不算高占比，但是危害很大，因此很多企业网络被攻破及其数据被泄漏的新闻层出不穷。注入的类型有：第一种是盲注，第二种报错页面注入和union查询语句注入，第三种是内联语句查询注入和拼接查询注入。其次按照攻击方法分，分为GET型的SQL语句方式注入、POST型的SQL语句方式注入、Cookie型身份的SQL语句方式注入等。图3-9：网站存在sql注入3.2.2凭证弱口令漏洞弱口令通俗来讲就是口令太简单，很简单的被其他用户猜测到或被口令爆破工具破解的口令，如仅包含非常简单数字或字母的口令，“123456789”、“abcdefg123”等，这种口令很容易被入侵者破解。对于管理员来说，他们大多采用用administrator，66666，root，root123。对于互联网用户来说，用户喜欢使用asdzxc，asdfg1234，这种字母的顺序构成的弱口令。除了这些之外，出生的日期、目标的姓名组合成的密码也是用户喜欢使用的弱口令模式。对于企业来说，后台管理页面的用户弱口令更加严重。直接暴露在外网的SSH，3389，MySql业务弱口令很严重。对于普通用户来说，网银、支付或者其他存在很多个人信息的互联网应用存在的弱口令也很严重。图3-10：tomcat后台存在弱口令登录3.2.3Web上传漏洞上传漏洞就是因为网站程序开发者没有对上传的文件作黑名单或者白名单过滤或者过滤机制不严格，导致恶意用户可以上传动态脚本页面，从而通过上传的脚本获取到网站的控制权。文件上传漏洞和SQL注入漏洞相比，所导致的破坏性程度更加高，体现的漏洞风险更加严重，一旦Web应用程序系统存在一个文件上传漏洞，攻击者上传的文件是对应网站语言的Web恶意脚本，比如：php语言、jsp语言或者asp语言等。服务器的Web容器进行了解释并执行用户上传的脚本，从而就会导致入侵者上传的代码被执行。入侵者甚至可以直接上传一个webshell控制页面到服务器上完全控制系统或致使系统瘫痪。常见利用点上传头像、上传相册、上传附件、添加文章图片、前台留言资料上传、编辑器文件上传、后台添加模板类。图3-11：某网站存在文件上传漏洞3.2.4XML外部实体注入漏洞 在应用程序解析XML输入语句的时候，因为没有去禁止外部实体的代码加载过程，以至于导致可加载恶意的外部文件和恶意的代码，造成了任意文件的读取、导致命令执行、以及出现内网端口的扫描、发起ddos洪水攻击等一些列危害。图3-12：某网站存在XML注入漏洞3.2.5跨站脚本攻击漏洞跨站脚本攻击是指在网页中嵌入客户端恶意代码，通常是JavaScript，当用户访问了被嵌入恶意代码的网页时，恶意代码就会在用户的浏览器上执行。JavaScript可以用来获取用户的Cookie、动态修改网页内容、URL跳转等。那么意味着存在跨站脚本漏洞的网站，用户的Cookie可能被盗取，页面会被篡改，或者被导航到其他网站导致用户被黑客攻击。图3-13：网页存在跨站脚本攻击漏洞3.2.6敏感信息泄露漏洞网站的一些配置错误，也可能是网站历史遗留导致，目前更多的问题都是企业员工的安全意识不足导致，有些用户为了方便对自己的账户设置了简单的口令导致口令容易被攻击者直接破解，有时候一部分程序员为了方便会把代码托管在github平台，一些包含账号密码这样敏感信息的文件也被上传并且没有设置访问权限，导致敏感信息泄露。图3-14：某网站存在用户敏感信息泄露3.2.7业务逻辑漏洞业务逻辑漏洞是一种普遍的而且是非常广泛的软件功能的设计缺陷，软件设计者或软件开发者在开发的过程中作出的自我认为的特殊假设存在很明显或隐含的一种思想的错误，入侵者会想办法去了解设计者与开发者作出的可能假设，从而进行攻破。密码找回漏洞目前的大部分设计里，依然是采用用户名和密码的方式来进行用户认证的。用户忘记了密码需要去找回这也是一个普遍常见的一个逻辑场景。所以需要给用户提供一个忘记密码的场景下重新获得账号控制权的方式。这个功能设计的一个场景其实是一个用户并不拥有某个账号的密码，需要通过某些方法向网站系统证明自己是这个账号的所有者。我们在设计找回密码功能的时候，是提供一个认证用户的途径。基本上都是通过密码来认证用户的所属性。找回密码的情况是在没有密码的基础上正确认证用户。常见的密码找回的方式有回答用户自己去提前设置好的问题，然后通过绑定的手机或者邮箱发送验证码验证用户的所属性，通过绑定的邮件发送重置密码的链接或者重置的验证码等。所以一般找回密码功能都是基于账号拥有者具备该账户关联的手机和邮箱的所有权进行设计的。密码找回功能出现逻辑漏洞，利用漏洞修改他人帐号密码。比如重置了管理权限的账户密码，可能导致修改页面，服务器被黑掉，可能使得订单与收货地址信息的泄露，涉及用户的隐私、账户被盗刷等。图3-15：某网站存在任意用户密码重置-验证身份图3-16：某网站存在任意用户密码重置-密码弱口令图3-17：某网站存在任意用户密码重置-重置成功交易支付漏洞通过抓取数据包或者直接修改前端的代码，然后对订单信息中的商品的价格或者商品的数量进行任意修改，而程序没有做有效的验证的判断，形成0元支付逻辑漏洞。支付逻辑漏洞存在的场景有很多种，但形成漏洞的最根本原因是，用户提交的订单信息：商品价格、商品的数量、商品的ID，程序没有对用户提交的商品价格与数据库中的商品价格进行比对，以及对商品数量进行正负值的判断处理，而是直接将用户提交订单信息提交到支付的接口。充值的时候，程序只判断订单有没有充值成功，但没有判断金额，例如:生成订单跳至支付宝页面，在原网站上点支付失败，这时可以修改订单，改成更大的金额(订单号没变)，回到支付宝支付页面，支付成功。程序并没有重新核对支付宝的实际金额，只是把订单改为已支付。图3-18：某网站存在一分钱看电影漏洞-结算界面图3-19：某网站存在一分钱看电影漏洞-修改数据包图3-20：某网站存在一分钱看电影漏洞-金额篡改成功越权访问漏洞越权访问，是指应用在做增删改查时权限检查存在不严格性，入侵者在获得一个比较低的用户权限账号后，然后通过数据包的分析去想办法绕过应用的权限检查，以及访问或者去操作本就无权限访问的比较高权限页面或者应用功能。目前所有的应用系统都存在着两种越权操作风险类型：水平越权和垂直越权。水平越权：指入侵者会不断尝试去访问与其拥有相同的权限用户资源。例如有一个商城网站，用户（A）登录后可以对自己的商品进行发布、查看、删除等操作。当我们在删除其中一个订单的时候，数据包请求链接：/shop.php?order=delete&id=3order参数是要执行的动作delete删除，id为订单id号。当A用户想恶意攻击时，将id号改为了4，发送了如下URL：/shop.php?order=delete&id=4因为id为4的商品不属于A用户，A将id改为4删除成功，此时程序没有对请求进行相关的权限请求作判断，导致其他人可操作。垂直越权：对于垂直越权一般来说可以分为两种风险类型，一个是向上去越权，一个是向下去越权。向上指使用一个低级别的权限账户入侵者去尝试访问高级别权限用户的资源，向下指一个高级别的权限账户尝试访问低级权限用户的资源。例如一个用户的个人信息管理页是user.php，网站管理员管理的用户信息的页面基本上是admin.php，但管理页面没有相关的权限验证，导致任何人输入管理页面地址都可以访问。图3-21：某第三方网站存在用户信息越权-添加/修改乘客图3-22：某第三方网站存在用户信息越权-遍历PartnerId图3-23：某第三方网站存在用户信息越权-获取成功（4）未授权访问漏洞这个漏洞我们可以理解为需要去做安全访问管理配置或者应用的安全权限认证的地址、以及授权访问的页面可能存在缺陷从而导致其他未登录应用系统的用户可以直接访问从而使得比较重要的权限可被操作、用户信息或后台设置等比较敏感的用户信息泄露。比如：后台页面未授权访问、zabbix未授权访问、dedecms未授权访问、thinkphp未授权访问、wordpress未授权访问、docker未授权访问等。图3-24：Jenkins服务存在未授权访问4漏洞升级利用4.1二次注入二次SQL注入，称为二阶SQL注入，其原理和普通SQL注入相同，通过精心构造的网络请求获取数据库返回结果，二次注入是利用存储在数据库中的合法内容，追加构造SQL查询语句，达到SQL注入攻击的目的。普通级别的SQL注入通过HTTP协议等网络数据交互的过程中，容易被防火墙拦截、网站的安全策略规则、网站前端的javascript安全规则检测到，虽然绕过的语句构造方法众多，但是大多都在攻击过程中被网页转义或被安全设备拦截。但是由于二次注入攻击，可以一定程度上绕过一些javascript的策略拦截，可以利用已经组合好的并且存入数据库中的合法语句的内容，利用正常的流程去修改一些没有权限的数据内容，比如其他用户的账号口令。另外，也可以避免一些简单的单引号、双引号等进行一次转义就会拦截的影响。二次注入攻击，入侵的成本相对来说更低，利用手段方式相对来说更加多变，一般的防火墙或者安全策略比较难检测。图4-1：二次注入攻击原理4.2撞库攻击撞库是入侵者通过不断的收集互联网开放系统已经泄露的用户和用户的密码信息，从而做成针对攻击目标用户的定制的字典列表，通过不断的大量登陆的相关网站后，会得到可以常登录的用户账户及其口令。一些用户为了自我的方便，在不同网站使用相同的账户和口令，因此入侵者可以利用获得用户在A网站应用系统的账户从而去不断尝试登入B网站应用系统，这就是所谓的撞库风险。在成功拖库后，第二个攻击操作的链条浮出水面：“洗库”。所谓洗库就是通过一系列的技术手段对拖出来的库进行有效分类，筛选，如批量使用拖库得到的账号密码尝试登录。通过洗库，可以精准获取可以登录的有效账号信息，并形成社工库或密码字典库，用以加快后续持续攻击速度与精度。在完成洗库操作后，黑客会利用形成的社工库或密码字典库，再去其他的网站进行登录尝试，这种行为就是本文标题所描述的“撞库”。图4-2：撞库攻击获取用户信息4.3Webshell利用我们可以理解为web应用系统的管理工具，在一般情况下，应用系统的运维人员可以利用webshell去针对web应用服务器进行运行维护管理和应用系统的系统上线更新等操作，那么入侵者还可以通过webshell来去管理web应用服务器系统。使得两者在操作上并没有了太多的区别，只是在说法上可能就不一样了，应用系统管理员使用时我们可以叫应用服务器管理工具，但是在入侵者手里就叫做后门控制管理程序。非常之典型的webshell主要包括以下功能类别：服务器环境刺探、文件资源管理、服务器文件编辑、可以执行系统命令、可以读取系统注册表及其关键文件等，以执行命令为例，webshell可以调用脚本文件的内部函数执行操作系统shell命令。图4-3：某网站存在webshell利用4.4中间件漏洞中间组件漏洞是最会被忽略而被web应用系统管理员不重视的漏洞，那么产生的原因也很简单，这并不是因为应用的程序代码上所存在的漏洞，而是属于应用系统在部署环境上由于配置不正确或者在使用次环境是不当造成的一种漏洞风险。网站的开发人员以及网站的运行维护人员对中间件安全风险意识的丢失也是重要的原因之一。图4-4：某网站IIS存在PUT文件上传4.5XSS获取凭证当入侵者在发现网站存在反射性跨站脚本攻击漏洞时，入侵者会先向存在反射性跨站脚本攻击漏洞的网页中去写入恶意的脚本代码。当受害用户去访问到含有恶意的脚本代码的网页时候，被写入的恶意脚本代码得到了相应的执行。很多时候受害者请求服务器的协议中都会包含有鉴别访问此网站的用户身份的Cookie身份密钥信息，网站也相应的就会得到包含受害用户的Cookie身份密钥信息。去插入的带有恶意的脚本代码基本上都是经过大量精心构造的，与此同时在身份密钥接受的服务器端或者入侵者使用的XSS身份密钥凭证获取平台上，就会产生一个包含用户身份密钥信息的Cookie身份文本。通过使用受害用户携带的Cookie身份钥匙信息，把自己伪装成受害用户的身份信息登录网站应用系统，进行访问和使用。图4-5：利用XSS获取登陆用户的Cookie5内网主机漫游当入侵者获得一个企业或者一个公司的内网权限后，会从内网得到最有价值的数据信息，关键的商业机密等，这就是所谓的内网渗透。其危害可以说十分巨大，不仅涉及到企业的内部源代码泄露和重要的机密的信息数据泄露等。由于各种各样的信息数据泄漏会直接导致的更为严重的后果，给入侵者更多的可乘之机，比如进入内网网络系统，木马控制服务器，长期控制传输数据等。对于内网，入侵者一般采用两种攻击思路和方法：5.1攻击外网服务器通过攻击获取企业外网服务器的大量高权限账户，接着会利用入侵成功的企业外网服务器作为二层跳板机器，去攻击内网中的其他企业服务器，最后获得关键的有用的机密的企业信息数据，随后使用后门程序将机密的信息数据传发送到入侵者电脑上，利用这种方式实现长期不间断的控制对方计算机网络系统。5.2攻击办公网的系统企业办公网络电脑、企业办公网无线网络等上网方式，大多采用社会工程学，用病毒或者木马进行控制，再获取其电脑上的机密信息数据，或者是内网电脑及其企业服务器各种登录账号和口令密码。

6痕迹清理藏匿为了避免被网站管理者发现并且反追踪，入侵者一般会使用各种藏匿自己的行踪的技术方法，最常用的就是使用代理网络以及使用跳板机器。当然为了方便网站管理员了解掌握服务器的运行状态，Windows和Linux提供了完整的的日志记录和审计功能，把系统的服务、权限的设置、软件的运行等相关事件详细的记录在日志之中。所以，通过观察、分析系统日志，不但可以了解黑客对系统做了哪些改动，甚至还可能会找出入侵者的来源。图6-1：Windows日志清理图6-2：Linux日志清理脚本7安全的防护体系7.1Web层面的防护由于各大企业逐渐对信息安全的越来越重视，基于Web的入侵攻击成本不断的高于防御成本消耗，以至于在企业业务中Web应用系统的安全漏洞越来越少，导致很常见的基础漏洞也在慢慢消失。每个漏洞的消失也会有新的漏洞类型以及新的入侵攻击的方法出现，入侵攻击的门槛也在逐渐的变得困难。7.1.1常见漏洞防护常见的Web漏洞可以使用扫描器进行自查，比如市面上常见的AppScan、NetSpark、绿盟扫描器等。7.1.2系统错误配置大多数企业应用站点的信息安全管理和控制做的比较好，但是一些小的细微之处处理不得当，也包含一些比较大的厂家，应用系统站点不出现基础漏洞，但是支持网站站点运行的服务器中间软件因为站点维护管理员的不合理使用就会出现一些的漏洞产生。因此需要定时进行服务器操作系统做安全检查是重中之重。7.1.3权限安全管控网站站点的运行在一般情况下都不会采用管理员权限，网站管理员会新创建一个比较低的权限账号来运行web应用服务，管理员使用低登记权限的用户去启动web服务权限有很大限制，无法去创建文件修改文件或删除文件具备高权限用户才能做到的一些操作，因此会对脚本类的病毒文件的插入运行具有一定的防止的作用，互联网企业需要做到对整个网络服务站点进行安全细致的用户权限管理和控制。7.2硬件层面的防护7.2.1网络安全设备（1）防火墙（Firewall）防火墙的功能主要是多个互联的网络之间做一种防护，在更多的企业中使用的是一个企业的内网与互联网的映射、数据包检查、互联端口的nat等。（2）防毒墙(Anti-viruswall）防御的对象更具有针对性，增加了木马病毒特征库，需要对信息数据的指纹特征与木马病毒的指纹特征进行完整的安全性的比对，同时需要定期进行文件比对和查杀病毒。（3）入侵防御(IPS)将数据包进行检测，对蠕虫、病毒、木马、DDOS洪水等具有极大危险性的入侵攻击进行完整的处理。（4）WAF(WebApplicationFirewall)安全产品的安全规则策略为web应用系统安全防护的产品。绝大部分应用于入侵手段防御，主要针对应用层的数据包类型的攻击，比如：SQL语句注入，跨站脚本攻击、非法的目录遍历、中间件容器漏洞攻击、泛洪攻击等。7.2.2安全审计设备（1）网络安全审计针对互联网的一些行为制定一套有效的网络行为审计、行为预