1. Web 安全的回顾 Web 站点目前已经成为组织甚至个人重要的身份, 与此同时, 越来越多的应用也正以基于 Web 的方式提供给用户, 这使得 Web 安全成为组织和每个人都需要关心的问题从二十世纪九十年代末呈萌芽状态的针对网站的攻击开始, 到如今每天都有数以千计收 ( 甚至更多 ) 的网

Size: px

Start display at page:

Download "1. Web 安全的回顾 Web 站点目前已经成为组织甚至个人重要的身份, 与此同时, 越来越多的应用也正以基于 Web 的方式提供给用户, 这使得 Web 安全成为组织和每个人都需要关心的问题从二十世纪九十年代末呈萌芽状态的针对网站的攻击开始, 到如今每天都有数以千计收 ( 甚至更多 ) 的网"

罔挥应
6 years ago
Views:

1 白皮书 Web 安全 McAfee 汤城李明关键词 Web 安全 SQL 注入 XSS 入侵防护迈克菲摘要本文简要回顾了 Web 安全的发展阶段, 阐述了主要的 Web 安全漏洞的原理危害以及利用方式, 阐述了迈克菲安全实验室的 Web 攻击检测技术, 并指出这种技术的具体实现及优点

2 1. Web 安全的回顾 Web 站点目前已经成为组织甚至个人重要的身份, 与此同时, 越来越多的应用也正以基于 Web 的方式提供给用户, 这使得 Web 安全成为组织和每个人都需要关心的问题从二十世纪九十年代末呈萌芽状态的针对网站的攻击开始, 到如今每天都有数以千计收 ( 甚至更多 ) 的网站被黑,Web 安全已经成为网络安全领域中最热门的话题和主要的挑战之一如果回顾 Web 安全的发展, 根据其不同时期攻击针对的主要目标, 我们可以将其分为三个主要阶段 : 第一个阶段为站点安全, 主要是从九十年代末到二零零二年左右, 主要是针对 Web 服务器以及 cgi 漏洞的攻击, 这类攻击在初出现的时代具有较强的破坏性, 但是防范比较容易 ; 第二个阶段是数据库安全, 主要是从二零零三年开始一直持续到现在, 这一阶段攻击的主力是 SQL 注入 (SQL Injection) 跨站脚本和 PHP 漏洞等攻击, 这些攻击的目标往往是针对组织的重要资产, 目前还是 Web 安全主要的防范对象, 也是本文主要阐述的内容 ; 第三个阶段是 Web2.0 安全, 从二零零八年开始, 目前方兴未艾, 这一阶段主要是针对 Web2.0 的交互性社交和流媒体等特点进行的攻击, 这类工具主要针对个人用户, 本文将不做进一步详细阐述一般而言, 它们在技术上并没有特别大的更新, 但是传播手段更巧妙隐蔽, 更难以防范 2. Web 漏洞的分类常见的 Web 安全漏洞类型在 CVE 漏洞库中所占比图 1 所示 : 图 1 从图 1 可以看出在 CVE 漏洞库中,Web 安全漏洞按类型排名前三的分别是 : 1. Cross Site Script 跨站脚本漏洞 2. SQL 注入漏洞 3. PHP 文件包含漏洞

3 图 2 是从 2001 年到 2009 年, 这三种最常见的 Web 安全漏洞每年在 CVE 漏洞中所占的比例 : 图 2 从这里我们可以看出 SQL Injection 和 XSS 漏洞从 2005 年以来一直占有很高的比例, 而且可以预计在未来的几年内, 这两种漏洞依然会维持在一个较高的比例, 而一度比例较高的 PHP File Inclusion 在近几年呈逐年下降的趋势 OWASP 最近发布的 TOP Ten 2010 也可以印证这一趋势, 排名前两位的依然是 Injection 和 Cross Site Script 漏洞, 由此可见未来的 Web 安全的主要任务依然是针对这两种最常见漏洞的防御, 本文也将主要以这两种漏洞为例来讨论 Web 安全的攻防 3. Web 漏洞的原理 3.1 SQL 注入漏洞 SQL Injection 漏洞本质上是用户的输入的字符串没有经过有效的过滤或者处理, 直接进入 SQL 语句进入数据库进行查询, 从而导致攻击者可以构造 SQL 语句进行查询 SQL Injection 漏洞有以下威胁 : 数据表中的数据外泄, 例如个人机密数据, 帐户数据, 密码等数据结构被黑客探知, 得以做进一步攻击数据库服务器被攻击, 系统管理员帐户被窜改取得系统较高权限后, 有可能得以在网页加入恶意链接以及 XSS 经由数据库服务器提供的操作系统支持, 让黑客得以修改或控制操作系统破坏硬盘数据, 瘫痪全系统 SQL Injection 攻击通常分为以下步骤 : 3

4 图 3 SQL Injection 的探测和攻击都已经实现高度自动化自动化探测有多种扫描软件, 广泛使用的有 : Acunetix Web Vulnerability Scanner,HP Web Inspect 等 ; 自动化攻击工具比较为大家熟知的有 Pangolin 等 3.2 跨站脚本漏洞 Cross Site Script(XSS) 跨站脚本漏洞本质上是用户的输入未经有效的过滤或者处理就被输出到网页上, 导致攻击者可以通过构造在网页上执行代码其原理如下图所示 : 图 4

5 跨站脚本漏洞有以下常见的威胁 : 盗取用户认证信息, 冒充用户登录, 盗取用户信息欺诈钓鱼攻击盗取用户密码注入恶意代码, 以用户的身份执行跨站脚本蠕虫, 自动化传播, 攻击大量的用户跨站脚本漏洞的扫描也已经完全自动化, 前面提到的扫描器 Acunetix Web Vulnerability Scanner,HP Web Inspect 都支持跨站脚本漏洞的扫描 3.3 PHP 文件包括漏洞 PHP 文件包含漏洞的原理是 PHP 程序把用户输入作为文件名或者部分作为文件名来进行文件包含操作, 导致攻击者可以通过构造畸形的 HTTP 请求参数, 从而在服务器端执行任何 PHP 代码这种漏洞的威胁是可以造成黑客对 Web 服务器的入侵并且植入 PHP 后门前面提到的 Web 自动化扫描工具也能很好的支持对 PHP 文件包含漏洞的扫描检测 4 防御 Web 攻击 IPS/IDS 产品一般都是通过规则匹配的方式检测针对 Web 的攻击, 下面主要讲讲 McAfee Intru-Shield 在防御 Web 攻击的优势 4.1 全面的规则覆盖 McAfee Intru-Shield 对 SQL 注入漏洞的全面的规则覆盖 : 5

6 4.2 纵深防御 Web 攻击通常不是孤立的攻击行为, 在攻击发起之前会有信息获取, 漏洞探测行为, 在攻击成功之后会有更多的行为来达到攻击的的最终目标, 整个攻击完成后还会放置后门而通常 IPS/IDS 产品只是针对具体的针对利用的利用行为进行检测,McAfee Intru-Shield 除了覆盖利用行为之外还对前期的信息获取探测行为以及攻击成功后的后续利用行为进行了多层次的纵深检测, 这样做有以下的优势 : 对前期行为的检测可以更早的发现潜在的攻击可能对攻击后续行为的检测可以发现新攻击方式未公开漏洞以及非常规性漏洞的利用 McAfee Intru-Shield 在 Web 攻击的四个主要攻击阶段都进行检测 : 下面以一次完整的 SQL 注入攻击为例, 来说明 McAfee Intru-Shield 对整个 Web 攻击过程的检测, Pangolin 是一个著名的国产 SQL 注入渗透测试工具, 我们将使用 Pangolin 对我们的搭建的有漏洞的示例网站进行攻击, 该网站采用 ASP+SQL Server 的构架第一步, 通过错误信息获取服务器信息

7 McAfee Intru-Shield 检测到错误信息泄露 : 第二步, 使用 Pangolin 进行 SQL 注入探测探测过程抓包如图 : 检测情况 : 第三步, 后续攻击如图所示,Pangolin 支持信息获取, 数据抓取, 系统命令执行, 写文件, 读注册表, 目录列表等攻击功能, 这里仅举系统命令执行和读注册表为例系统命令执行 : 检测情况 :

8 注册表读取 : 检测情况 : 第四步, 上传的 WebSHELL 通过 Pangolin 的写文件的功能写入了海洋 ASP WebSHELL, 并且通过浏览器访问该 WebSHELL 如下图针对 WebSHELL 的检测情况 :

9 4.3 扫描器特征识别基于 Web 的攻击的探测过程有大量的重复性工作, 所以一般的 Web 攻击都是从使用 Web 漏洞扫描器进行扫描开始,McAfee Intru-Shield 针对常见的 Web 漏洞扫描器进行特征识别, 对扫描器的扫描行为进行阻断, 使得扫描没有结果, 从而能够有效的阻止攻击如图所示, 对使用 Acunetix Web Vulnerability Scanner 扫描行为的检测报警 4.4 跟踪国内安全漏洞 McAfee Labs 有专门中国本地研究团队跟踪国内最新的安全漏洞以及安全威胁的趋势, 对于国内的安全漏洞能够迅速响应, 并在第一时间发布签名, 保护国内用户的安全 2010 年 1 月国内民间安全研究网站发布了国内最著名的两个 PHP 论坛产品 (Discuz! 和 PHPWind) 的 PHP 文件包含 0day 漏洞 : McAfee 研究人员第一时间分析了这两个漏洞并且发布了 IPS 签名来检测和阻断这两个 0day 漏洞的利用 : 参考文献 : McAfee 迈克菲和 / 或此处提及的其他迈克菲产品是 McAfee, Inc. 和 / 或其分支机构在美国和 / 或其他国家 / 地区的注册商标或商标与安全相关的 McAfee 红色是 McAfee 品牌产品的特有代表色此处所有其他非迈克菲产品已注册和 / 或未注册商标均是其相应所有者的专有财产, 仅供参考 2010 McAfee, Inc. 保留所有权利 9

天津天狮学院关于修订2014级本科培养方案的指导意见

天津天狮学院关于修订2014级本科培养方案的指导意见目录天津天狮院关于修订 2014 级本科培养方案的指导意见...1 金融类专业...9 金融专业培养方案...9 保险专业培养方案...14 人力资源管理专业培养方案...19 劳动与社会保障专业培养方案...24 工商管理类专业...29 市场营销专业