Web服务器的八种防御方式(一)

Web服务器的八种防御方式(一)

一、WEB服务器面临威胁

在了解WEB服务器的安全状况之前，首先要让大家了解网站安全的另一面——黑客攻击。97至98年互联网开始在中国兴起之时，黑客就已经诞生了，在98年印尼排华事件中，中国黑客对印尼政府网站的打击行动通过媒体的渲染，让黑客一词进入了广大中国网民的眼帘。随着几次黑客大战的爆发以及媒体对黑客的渲染，让更多人加入了黑客这个队伍。那么黑客都是通过怎样的技术手段实施攻击的呢？97年到2002年以来，除了比较有名的UNICODE漏洞之外，黑客们大部分都是利用系统的各种溢出漏洞来实施入侵，包括像ipc共享空连接漏洞，ida/idq,printer漏洞，rpc漏洞等等。2003年，中国互联网开始从01年的互联网寒冬逐渐走向复苏，盛大、分众传媒、空中网等一系列IT企业分别在纳斯达克上市成功更进一步激起了更多IT从业人员开始开设网站和成立IT 公司，梦想有一日能上纳斯达克拿美国股民的钱。网站数量的激增以及大家对网络安全的轻视，导致通过WEB的各种漏洞来进行入侵的事件越来越多。SQL 注入漏洞随着黑客高手们一次又一次地使用在拿国内外游戏数据库和游戏网站的权限，并高价卖出，买车买房子之时，SQL注入以及相关技术在黑客的群体中普及开来。黑客们在比尔.盖茨先生弥补了大部分系统漏洞之后，开始转移方向，发现基于网站的各种脚本漏洞能非常轻易的使用，而且能够通过提权来获取系统权限。于是，基于web的脚本漏洞成功黑客们的最爱。随后流氓软件开始在中国的互联网大地上盛行了起来，互联网的网站应用领域的黑客入侵技术开始流行了起来。最典型的就是黑客的网站挂马技术，这种技术就是利用网站的漏洞建立或者上传一个ASP木马的方式来获取网站的WEBSHELL权限，然后通过WEBSHELL权限通过提权获取系统权限，再接着就是在服务器的网站里面加入一些恶意的脚本代码，让你的电脑在访问网站的时候，不知不觉的中病毒和黑客程序，最后你电脑里面的重要资料，QQ号，网络游戏帐号，网上银行帐户里面的现金都会不翼而飞。据专业权威机构统计，02年中国境内网站被入侵的比例不到10％，而到了06年，中国境内网站被入侵的比例是85％。黑客技术的普及化以及巨大商业利益的窃取网上银行的资金，QQ号码倒卖，网络游戏装备和帐号的倒卖等地下黑客产业链的形成是导致网站遭遇安全事件的主因。

二、WEB的各种攻击手段

1、SQL注入漏洞的入侵

这种是ASP+ACCESS的网站入侵方式，通过注入点列出数据库里面管理员的帐号和密码信息，然后猜解出网站的后台地址，然后用帐号和密码登录进去找到文件上传的地方，把ASP木马上传上去，获得一个网站的WEBSHELL。

2、ASP上传漏洞的利用

这种技术方式是利用一些网站的ASP上传功能来上传ASP木马的一种入侵方式，不少网站都限制了上传文件的类型，一般来说ASP为后缀的文件都不允许

上传，但是这种限制是可以被黑客突破的，黑客可以采取COOKIE欺骗的方式来上传ASP木马，获得网站的WEBSHELL权限。

3、后台数据库备份方式获得WEBSHELL

这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能，备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP，那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的ASP木马，然后用这个恢复库备份和恢复的功能把这个木马恢复成ASP文件，从而达到能够获取网站WEBSHELL控制权限的目的。

4、网站旁注入侵

这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站。

5、sa注入点利用的入侵技术

这种是ASP+MSSQL网站的入侵方式，找到有SA权限的SQL注入点，然后用SQL 数据库的XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号，然后通过3389登录进去，或者在一台肉鸡上用NC开设一个监听端口，然后用VBS 一句话木马下载一个NC到服务器里面，接着运行NC的反向连接命令，让服务器反向连接到远程肉鸡上，这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。

6、sa弱密码的入侵技术

这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码，然后用SQLEXEC之类的工具通过1433端口连接到远程服务器上，然后开设系统帐号，通过3389登录。然后这种入侵方式还可以配合WEBSHELL来使用，一般的

ASP+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中，这个可以用WEBSHELL来读取配置文件里面的SA密码，然后可以上传一个SQL木马的方式来获取系统的控制权限。

7、提交一句话木马的入侵方式

这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版，论坛系统等功能提交一句话木马到数据库里面，然后在木马客户端里面输入这个网站的数据库地址并提交，就可以把一个ASP木马写入到网站里面，获取网站的WEBSHELL权限。

8、论坛漏洞利用入侵方式

这种技术是利用一些论坛存在的安全漏洞来上传ASP木马获得WEBSHELL权限，最典型的就是，动网6.0版本，7.0版本都存在安全漏洞，拿7.0版本来说，注册一个正常的用户，然后用抓包工具抓取用户提交一个ASP文件的COOKIE，

然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个ASP木马，获得网站的WEBSHELL。

前言对于这些功能，我们要冷眼看待：

一方面，要看看这些额外的功能企业是否需要。如有些防火墙产品中会集成VPN等功能。但是，企业是否需要这项功能呢？网络管理员要事先考虑清楚。因为VPN服务不仅在防火墙上可以实现，而且在路由器上也可以实现。如果企业对于VPN有比较高的性能要求的话，甚至可以部署一个专用的VPN服务器等等。若在防火墙上实现VPN功能，笔者个人认为，有着画蛇添足的味道。在管理上，没有其他实现方式那边简便与人性化。

另一方面，一些额外的功能会耗费防火墙的资源。上面笔者说过，在实验室中测试产品的时候，往往只是测试单一的功能。如测试吞吐量的话，会把其他功能关闭掉。若把防火墙的功能都启用起来的话，则某个指标的数字可能需要打个两折了。所以，花哨功能多了，就会大大影响防火墙的性能。这就好像一个巨无霸，网络管理员必须为他提供更好的硬件配置，才能够让其正常的运行。从硬件资源争夺的角度上讲，笔者也不赞成在防火墙上实现太多的服务。只有专才会精。

所以，在防火墙产品的选购时，功能并不是越多越好，而是要看其是否实用。当在一个防火墙服务器上实现太多的服务，结果就是这些服务对硬件资源的吞噬，最后导致防火墙性能的下降。笔者在防火墙上，往往不会部署过多的应用服务。这就好像不要把鸡蛋都放在一个篮子中的原理一样。万一防火墙服务器出现故障，那么VPN、访问控制列表等功能都将实效。当企业对网络的稳定性要求比较高的话，越加不能够把多个服务集成在防火墙服务器上。稍有不测，网络管理员就会搬起石头，砸自己的脚。

在防火墙选购时，过度关注防火墙的辅助功能，这是网络管理员工作上的一个误区之一。有经验的网络管理员，都要走出这个误区。以免给自己以及企业造成不可估量的损失。

误区1：功能花哨却不实用。

信息化技术现在越来越复杂，而且防火墙的竞争也越来越激烈。所以，防火墙厂商为了提供自己产品的市场竞争力，就往往在自己的防火墙产品中集成比较多的功能，以增加市场的卖点。

误区2：太过于相信实验数据。

在防火墙的产品说明中，往往会有一些性能、功能方面的参考数字。如吞吐量有6G，抗病毒能力有多强等等。对于这些数字我们在防火墙选购的时候不能够太过于迷信。而应该以辩证的眼光去看待这些数字。