Web入侵现状及防护

Web入侵现状及防护

Web应用作为Internet上最重要的应用形式,是推动Internet发展的关键力量。随着服务端脚本技术、组件技术等技术手段的成熟,基于Web平台构建的应用信息系统成为了Internet信息系统的主流,而且逐渐成为电信、金融、财税等关键领域公共信息系统的首选,其HTTP协议网络数据流量占到整个Internet TCP数据流量的70％左右,重要性无容置疑。目前,Internet上部署运行着各种各样的Web信息系统,这些系统的安全在很大程度上关系到整个Internet的正常运转。近年来,由于Web应用攻击方法的不断曝光和Web应用重要性不断提高,对Web信息系统的攻击事件数量大增。绝大多数Web攻击事件的根源在于Web信息系统中存在有安全漏洞。安全漏洞(Vulnerability)是系统设计实现中有意无意引入的可能造成安全危害的错误或缺陷,Web信息系统中最常见的安全漏洞是SQL注入和跨站脚本。恶意入侵者可利用这些安全漏洞,进行网站篡改、数据窃取、执行指令、安装木马、传播病毒等破坏活动。

本文主要对当前Web应用系统的安全现状进行分析,并针对存在的安全问题提出一些预防应对措施。

一、WEB服务器面临威胁

在了解WEB服务器的安全状况之前，首先要让大家了解网站安全的另一面——黑客攻击。97至98年互联网开始在中国兴起之时，黑客就已经诞生了，在98年印尼排华事件中，中国黑客对印尼ZF网站的打击行动通过媒体的渲染，让黑客一词进入了广大中国网民的眼帘。随着几次黑客大战的爆发以及媒体对黑客的渲染，让更多人加入了黑客这个队伍。那么黑客都是通过怎样的技术手段实施攻击的呢?97年到2002年以来，除了比较有名的UNICODE漏洞之外，黑客们

大部分都是利用系统的各种溢出漏洞来实施入侵，包括像ipc共享空连接漏洞，ida/idq,printer漏洞，rpc漏洞等等。2003年，中国互联网开始从01年的互联网寒冬逐渐走向复苏，盛大、分众传媒、空中网等一系列IT企业分别在纳斯达克

上市成功更进一步激起了更多IT从业人员开始开设网站和成立IT公司，梦想有一日能上纳斯达克拿美国股民的钱。网站数量的激增以及大家对网络安全的轻视，导致通过WEB的各种漏洞来进行入侵的事件越来越多。SQL注入漏洞随着黑客高手们一次又一次地使用在拿国内外游戏数据库和游戏网站的权限，并高价卖出，买车买房子之时，SQL注入以及相关技术在黑客的群体中普及开来。黑客们在

比尔.盖茨先生弥补了大部分系统漏洞之后，开始转移方向，发现基于网站的各

种脚本漏洞能非常轻易的使用，而且能够通过提权来获取系统权限。于是，基于web的脚本漏洞成功黑客们的最爱。随后流氓软件开始在中国的互联网大地

上盛行了起来，互联网的网站应用领域的黑客入侵技术开始流行了起来。最典型的就是黑客的网站挂马技术，这种技术就是利用网站的漏洞建立或者上传一个ASP木马的方式来获取网站的WEBSHELL权限，然后通过WEBSHELL权限

通过提权获取系统权限，再接着就是在服务器的网站里面加入一些恶意的脚本代码，让你的电脑在访问网站的时候，不知不觉的中病毒和黑客程序，最后你电脑里面的重要资料，QQ号，网络游戏帐号，网上银行帐户里面的现金都会不翼而飞。据专业权威机构统计，02年中国境内网站被入侵的比例不到10%，而到

了06年，中国境内网站被入侵的比例是85%。黑客技术的普及化以及巨大商业利益的窃取网上银行的资金，QQ号码倒卖，网络游戏装备和帐号的倒卖等地下黑客产业链的形成是导致网站遭遇安全事件的主因。

影响Web安全的因素包括:(1)由于Web服务器存在的安全漏洞和复杂性,

使得依赖这些服务器的系统经常面临一些无法预测的风险。(2)Web程序员在程序设计上或者代码开发工程中引入的缺陷,也可能造成Web系统的安全漏洞。(3)用户是通过浏览器和Web站点进行交互的,由于浏览器本身的安全漏洞,使得非法用户可以通过浏览器攻击Web站点。

二、Web 入侵的常见特征分析

目前,Web 服务器程序中的某些漏洞以及B/S 体系语言中的先天缺陷造成了Web 服务器的不安全。例如, 在服务器漏洞方面,以Windows 为平台的IIS 系统存在Unicode 漏洞,入侵者通过向服务器发送某些包含特殊字符的代码,使服务器泄漏系统的重要信息,为其入侵创造了条件。如"http :/ / server/script s/ . . %c1 %1c. . / winnt/ system32/cmd. exe ? / c + dir+ c :\ "请求就可能泄漏Web服务器C 盘根目录的文件信息,以此遍历文件系统,即可对系统造成极大威胁。

Web 语言方面的漏洞通常是由程序员的程序设计不严密造成的。例如SQL 注入攻击就是利用提交数据的机会发送精心构造的SQL 语句,以此泄漏重要的数据库信息。入侵者利用此方式获得管理员权限后就可以控制整个站点。动态生成Sql 命令时没有对用户输入的数据进行验证而受到攻击黑客会利用特殊查询语句得到更多的数据表数据,甚至数据表的全部。另外，入侵者一般是通过asp 程序的上传功能的漏洞进入后台上传ASP 木马程序的。当木马一旦上传上去就有可能取得网站的管理权限, 修改或删除文件、数据库,篡改网站的主页。

三、WEB的各种攻击手段

1、SQL注入漏洞的入侵

这种是ASP+ACCESS的网站入侵方式，通过注入点列出数据库里面管理

员的帐号和密码信息，然后猜解出网站的后台地址，然后用帐号和密码登录进去找到文件上传的地方，把ASP木马上传上去，获得一个网站的WEBSHELL。

2、ASP上传漏洞的利用

这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式，不少网站都限制了上传文件的类型，一般来说ASP为后缀的文件都不允许上传，但是这种限制是可以被黑客突破的，黑客可以采取COOKIE欺骗的方

式来上传ASP木马，获得网站的WEBSHELL权限。

3、后台数据库备份方式获得WEBSHELL

这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能，备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP，那么利

用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马，然后

用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件，从而达到能够获取网站WEBSHELL控制权限的目的。

4、网站旁注入侵

这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站。

5、sa注入点利用的入侵技术

这种是ASP+MSSQL网站的入侵方式，找到有SA权限的SQL注入点，然后用SQL数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别