防止入侵從Web應(yīng)用安全漏洞做起 |
發(fā)布時間: 2012/9/13 17:19:46 |
在Internet大眾化及Web應(yīng)用技術(shù)飛速演變的今天,在線安全所面臨的挑戰(zhàn)日益嚴峻。伴隨著在線信息和服務(wù)的可用性的提升,以及Web的攻擊和破壞的增長,安全風險達到了前所未有的高度。由于眾多安全工作集中在網(wǎng)絡(luò)本身上面,Web應(yīng)用程序幾乎被遺忘了。也許這是因為應(yīng)用程序過去常常是在一臺計算機上運行的獨立程序,如果這臺計算機安全的話,那么應(yīng)用程序就是安全的。如今,情況大不一樣了,Web應(yīng)用程序在多種不同的機器上運行:客戶端、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器。而且,因為他們一般可以讓所有的人使用,所以這些應(yīng)用程序成為了眾多攻擊活動的后臺旁路。 由于Web服務(wù)器提供了幾種不同的方式將請求轉(zhuǎn)發(fā)給應(yīng)用服務(wù)器,并將修改過的或新的網(wǎng)頁發(fā)回給最終用戶,這使得非法闖入網(wǎng)絡(luò)變得更加容易。 而且,許多程序員不知道如何開發(fā)安全的應(yīng)用程序。他們的經(jīng)驗也許是開發(fā)獨立應(yīng)用程序或Intranet Web應(yīng)用程序,這些應(yīng)用程序沒有考慮到在安全缺陷被利用時可能會出現(xiàn)災(zāi)難性后果。 其次,許多Web應(yīng)用程序容易受到通過服務(wù)器、應(yīng)用程序和內(nèi)部已開發(fā)的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火墻安全措施,因為端口80或443(SSL,安全套接字協(xié)議層)必須開放,以便讓應(yīng)用程序正常運行。Web應(yīng)用程序攻擊包括對應(yīng)用程序本身的DoS(拒絕服務(wù))攻擊、改變網(wǎng)頁內(nèi)容以及盜走企業(yè)的關(guān)鍵信息或用戶信息等。 總之,Web應(yīng)用攻擊之所以與其他攻擊不同,是因為它們很難被發(fā)現(xiàn),而且可能來自任何在線用戶,甚至是經(jīng)過驗證的用戶。迄今為止,該方面尚未受到重視,因為企業(yè)用戶主要使用防火墻和入侵檢測解決方案來保護其網(wǎng)絡(luò)的安全,而防火墻和入侵檢測解決方案發(fā)現(xiàn)不了Web攻擊行動。 常見的Web應(yīng)用安全漏洞 下面將列出一系列通常會出現(xiàn)的安全漏洞,并且簡單解釋一下這些漏洞是如何產(chǎn)生的。 已知弱點和錯誤配置 已知弱點包括Web應(yīng)用使用的操作系統(tǒng)和第三方應(yīng)用程序中的所有程序錯誤或者可以被利用的漏洞。這個問題也涉及到錯誤配置,包含有不安全的默認設(shè)置或管理員沒有進行安全配置的應(yīng)用程序。一個很好的例子就是你的Web服務(wù)器被配置成可以讓任何用戶從系統(tǒng)上的任何目錄路徑通過,這樣可能會導(dǎo)致泄露存儲在Web服務(wù)器上的一些敏感信息,如口令、源代碼或客戶信息等。 隱藏字段 在許多應(yīng)用中,隱藏的HTML格式字段被用來保存系統(tǒng)口令或商品價格。盡管其名稱如此,但這些字段并不是很隱蔽的,任何在網(wǎng)頁上執(zhí)行“查看源代碼”的人都能看見。許多Web應(yīng)用允許惡意的用戶修改HTML源文件中的這些字段,為他們提供了以極小成本或無需成本購買商品的機會。這些攻擊行動之所以成功,是因為大多數(shù)應(yīng)用沒有對返回網(wǎng)頁進行驗證;相反,它們認為輸入數(shù)據(jù)和輸出數(shù)據(jù)是一樣的。 后門和調(diào)試漏洞 開發(fā)人員常常建立一些后門并依靠調(diào)試來排除應(yīng)用程序的故障。在開發(fā)過程中這樣做可以,但這些安全漏洞經(jīng)常被留在一些放在Internet上的最終應(yīng)用中。一些常見的后門使用戶不用口令就可以登錄或者訪問允許直接進行應(yīng)用配置的特殊URL。 跨站點腳本編寫 一般來說,跨站點編寫腳本是將代碼插入由另一個源發(fā)送的網(wǎng)頁之中的過程。利用跨站點編寫腳本的一種方式是通過HTML格式,將信息帖到公告牌上就是跨站點腳本編寫的一個很好范例。惡意的用戶會在公告牌上帖上包含有惡意的JavaScript代碼的信息。當用戶查看這個公告牌時,服務(wù)器就會發(fā)送HTML與這個惡意的用戶代碼一起顯示?蛻舳说臑g覽器會執(zhí)行該代碼,因為它認為這是來自Web服務(wù)器的有效代碼。 參數(shù)篡改 參數(shù)篡改包括操縱URL字符串,以檢索用戶以其他方式得不到的信息。訪問Web應(yīng)用的后端數(shù)據(jù)庫是通過常常包含在URL中的SQL調(diào)用來進行的。惡意的用戶可以操縱SQL代碼,以便將來有可能檢索一份包含所有用戶、口令、信用卡號的清單或者儲存在數(shù)據(jù)庫中的任何其他數(shù)據(jù)。 更改cookie 更改cookie指的是修改存儲在cookie中的數(shù)據(jù)。網(wǎng)站常常將一些包括用戶ID、口令、帳號等的cookie存儲到用戶系統(tǒng)上。通過改變這些值,惡意的用戶就可以訪問不屬于他們的帳戶。攻擊者也可以竊取用戶的cookie并訪問用戶的帳戶,而不必輸入ID和口令或進行其他驗證。 輸入信息控制 輸入信息檢查包括能夠通過控制由CGI腳本處理的HTML格式中的輸入信息來運行系統(tǒng)命令。例如,使用CGI腳本向另一個用戶發(fā)送信息的形式可以被攻擊者控制來將服務(wù)器的口令文件郵寄給惡意的用戶或者刪除系統(tǒng)上的所有文件。 緩沖區(qū)溢出 緩沖區(qū)溢出是惡意的用戶向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。該系統(tǒng)包括存儲這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū),則部分數(shù)據(jù)就會溢出到堆棧中。如果這些數(shù)據(jù)是代碼,系統(tǒng)隨后就會執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個字段中的數(shù)據(jù)足夠的大,它就能創(chuàng)造一個緩沖器溢出條件。 直接訪問瀏覽 直接訪問瀏覽指直接訪問應(yīng)該需要驗證的網(wǎng)頁。沒有正確配置的Web應(yīng)用程序可以讓惡意的用戶直接訪問包括有敏感信息的URL或者使提供收費網(wǎng)頁的公司喪失收入。 Web應(yīng)用安全兩步走 Web應(yīng)用攻擊能夠給企業(yè)的財產(chǎn)、資源和聲譽造成重大破壞。雖然Web應(yīng)用增加了企業(yè)受攻擊的危險,但有許多方法可以幫助減輕這一危險。首先,必須教育開發(fā)人員了解安全編碼方法。僅此項步驟就會消除大部分Web應(yīng)用的安全問題。其次,堅持跟上所有廠商的最新安全補丁程序。如果不對已知的缺陷進行修補,和特洛伊木馬一樣,攻擊者就能很容易地利用你的Web應(yīng)用程序穿過防火墻訪問Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等等。將這兩項步驟結(jié)合起來,就會大大減少Web應(yīng)用受到攻擊的風險。同時管理人員必須采取嚴格措施,以保證不讓任何東西從這些漏洞中溜過去。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |