Web安全分为两大类。
Web服务器安全性(Web服务器本身的安全性和软件配置)。
Web APP应用程序的安全性(在web服务器上运行的Java、ActiveX、PHP和ASP码的安全性)。
Web服务器面临的攻击
Web服务器攻击利用Web服务器软件和配置中常见的漏洞。 这些漏洞包括:
缓冲区溢出
遍历文件目录
脚本权限
文件目录浏览
Web服务器软件默认安装的示例代码
运行在web服务器上的其他软件(如SQL数据库软件)的漏洞
让我们详细讨论上诉的漏洞。
1 .缓冲器溢出
缓冲区溢出将恶意代码注入到APP应用程序中,破坏APP应用程序堆栈——中存储APP应用程序代码的位置——,并使原始代码的一部分与另一个代码分开,例如运行木马程序或远程APP应用程序以下是用c语言编写的缓冲区溢出漏洞的简单示例代码。
char aTmp[100];
扫描(' % s ',aTmp );
在第一行中,程序员声明一个长度为100的数组aTmp。 在第二行中,scanf方法从控制台读取数据并将其存储在aTmp数组中。 代码不会检查%s变量是否适合输入数据的大小。 程序员编码过程不会检查输入字符串的大小,因此如果输入的字符数超过100个,缓冲区将溢出。 精简结构的输入可能包含程序集代码,这部分程序集代码可以获得与源程序相同的执行权限。
2 .目录遍历
目录路径意味着您访问了原本假设或不允许的目录(或文件夹)。 例如,Microsoft IIS网站的默认文件夹为C:inetpub,攻击者可用的目录遍历漏洞,并读取不应在该文件夹外访问的文件。 详细而言,如果您有一个名为“www.bad.com”的网站,则该服务器代码包含目录路径漏洞。 攻击者可以通过输入以下URL来利用此漏洞:
33558www.bad.com//Autoexec.bat
URL中的“. /”指示服务器浏览名为" C:"目录的目录。 Web服务器可以将正斜杠转换为反斜杠。 因此,如果IIS服务器的默认目录是" C:inetpub ",则该URL将移动到" c:"目录,攻击者将在" c:autoexec.bat "文件中除非将服务器配置为避免遍历目录,否则您可能有权访问所有目录。 在这种情况下,Web服务器将显示" autoexec.bat "文件的内容或攻击者选择的其他文件。
值得注意的是,已经以IIS为例使用; 但是,该漏洞的使用不是针对IIS服务器的,其他Web服务器也存在目录路径漏洞。
3 .脚本权限
要运行通信接口(CGI )、Perl或其他服务端APP应用程序,管理员必须将可执行权限授予与服务器端APP应用程序相同的目录。 一些管理员将此权限授予错误的位置。 因为我通常不理解它带来的问题。 请参阅以下示例,考虑当管理员将此权限授予c驱动器下的所有目录时会发生什么。
3358 www.bad.com//win nt/system32/cmd.exe/cdir
先破解这个神秘的网址吧。 某些字符(如空格和斜线)不能显示在URL中。 因为URL仅限于编码为7位的ASCII代码。 但是,在某些情况下,可能会使用这些字符。 可能的方法是用十六进制字符表示,或使用base 16编码,如ASCII。 Base 16使用字母a、b、c、d、e和f表示大于9的数字。 例如,字母a表示十六进制数字10,f表示15,10表示数字16。 所以,前面的例子:
空格使用ASCII代码表示十进制的32,使用十六进制表示20,因此为。
斜线(/)使用ASCII代码表示十进制的47,使用十六进制表示2f,因此为/。
在Web服务器上进行分析后,为以下URL。
./winnt/system32/cmd.exe /c dir
这是指示运行" cmd.exe "并运行" dir "命令。 “cmd.exe”位于C:winntsystem32中
文件夹中的命令外壳程序。 “Dir”命令列出当前目录中的所有文件,并将结果返回给用户。 当然,这是一个简单的示例,攻击者可以运行更复杂的命令来删除、执行或修改Web服务上的数据。
图1是IIS目录权限配置的屏幕截图。 最佳做法是只对包含必须运行的服务端APP应用程序的文件夹(而不是包含攻击者可用软件的文件夹,如“cmd.exe”和其他嵌入式操作系统命令)设置可执行权限。
图1 IIS脚本权限控制台的屏幕捕获
它是站点访问者执行的命令,而不是可能帮助攻击者的软件,如cmd.exe和其他嵌入式操作系统命令。
4 .目录浏览
目录引用通常无效,但如果启用,则会显示目录中的所有文件,并显示可以引用的子目录。 有时攻击者会知道可以使用Web服务的文件的存在
器上文件和程序的漏洞。为此,不建议启用Web 服务器上的目录浏览。5.默认示例
默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏洞。针对这些漏洞保护的最佳办法是不要安装示例,如果已经安装了,最好把它们删除掉。
6.其他服务
攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序,而没有其他的服务。运行数据库和其他的软件应部署在单独的服务器上,这样服务器受防火墙保护,只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器,他们也能够干扰或攻陷Web站点。
7.Web服务器软件的固有漏洞
每个Web服务器软件,包括IIS和Apache,由于缺乏安全的编码技术,该软件的程序员已经提供了内置漏洞。例如,IIS的.htr漏洞,允许攻击者看到驻留在服务器上的文件的内容。几乎每周都会发布主要的Web服务器软件平台中的新漏洞。
Web服务器的保护
针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。采取下列措施将提高Web服务器的安全性。
· 给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样,即使攻击者控制了Web 服务器,他们只能获得运行该软件对应的用户账户的权限。这样,攻击计算机或网络上的其他软件可行方案就极为有限了。
· 安装最新的安全补丁并时刻关注漏洞的最新动态。
· 删除默认示例并避免安装类似的示例。
· 通过删除不需要的应用程序,安全配置同一台计算机上的其他网络服务,确保操作系统已安装最新的安全补丁来保证承载Web服务器的计算机的安全。
· 确保只给需要执行的脚本单独的目录运行的权限。
· 在Web服务器上每个目录中,都提供一个index.html文件,以避免需要目录浏览。
第三方安全产品
商业和免费的产品也可以帮助抵御与Web服务器相关的不同漏洞。主要有以下产品:
· 软硬件防火墙
· Web应用防火墙(WAFs)
· 病毒防御软件
· 基于ISAPI的安全产品
· 安全日志
· 反馈分析软件
· 入侵检测系统和入侵检测防御系统
· 漏洞扫描软件
· 输入验证
软硬件防火墙。防火墙过滤掉不属于正常 Web会话的流量。所有Web服务器都应配备技术先进的第四代防火墙。第四代防火墙可以区分出普通的Web浏览器合法的流量和攻击者的恶意攻击流量。直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护。
Web应用防火墙。Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。WAFs能够提供基于内容的攻击的良好保护,因为他们会解析HTTP会话的实际内容,寻找与正常使用模式不匹配的已知错误或异常行为。这些设备可以是非常有效的防范大多数攻击。
病毒防御软件。Web服务器上应该安装防御毒软件。如果攻击者利用安全漏洞企图控制Web 服务器,并且漏洞已知,病毒防御软件能够检测到并阻止。
基于ISAPI的安全产品。此类产品截取URL请求,过滤掉可能的攻击,如缓冲区溢出。Web服务器供应商通常会免费提供基于ISAPI的安全产品。
反馈分析软件。反馈分析软件解析Web服务器的响应并与已知的正常网站响应进行比较。如果网站含有恶意代码或者被修改,响应将不匹配原始的已知的正常响应,这样能够检测出未经授权的网站更改。
入侵检测与防御。入侵检测系统(IDS)一般用于入侵的后期处理,因为系统保留事件的详细记录。而入侵预防系统(IDP)能够阻止某些已知的不良行为。
漏洞扫描软件。管理员应运行漏洞扫描程序定期来测试Web服务器的安全性,因为假如扫描仪发现了安全漏洞,攻击者很可能也会发现同样的漏洞。有很多免费或商业的漏洞扫描软件。其中有些是基于Web,有些是硬件程序,剩下的是纯软件。
输入验证。输入验证产品检查提交到Web站点每个数据是否存在异常、SQL注入命令或缓冲区溢出攻击代码。
安全日志。安全日志可以提供Web服务器攻击入侵的证据。除了存放在在 Web 服务器上,还应该将它们存储网络上安全的位置以防止攻击者更改日志或删除记录。