安全攻击及防范手册详解.doc

2010年8月 概述 简介 当今世界，Internet(因特网)已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。随着WEB技术应用的范围越来越广泛，WEB技术相关的安全漏洞越来越多的被挖掘出来，而针对WEB站点的攻击已经成为了最流行的攻击途径。Java安全性编程实例》 《网站系统安全开发手册》 《企业级Java安全性(构建安全的J2EE应用)》 WEB安全隐患及预防措施 会话标识未更新可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务不要接受外部创建的会话标识 始终生成新的会话，供用户成功认证时登录。 防止用户操纵会话标识请勿接受用户浏览器登录时所提供的会话标识 request.getSession().invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期 注意： 框架2.0已经修改了登陆验证类，登陆成功后会清理掉当前session，重新创建一个新的session。凡是使用框架2.0的项目均可统一增加此功能。 不充分帐户封锁 描述 程序没有使用锁定功能，可以穷举密码蛮力攻击恶意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。 由于该技术包含大量登录尝试，未限制允许的错误登录请求次数的应用程序很容易遭到这类攻击。可能会升级用户特权并通过 Web 应用程序获取管理许可权请确定允许的登录尝试次数（通常是 3-5 次），确保超出允许的尝试次数之后，便锁定帐户。 为了避免真正的用户因帐户被锁定而致电支持人员的麻烦，可以仅临时性暂挂帐户活动，并在特定时间段之后启用帐户。帐户锁定大约 10 分钟，通常阻止蛮力攻击。发现应用程序会使用可预期的认证凭证（例如：admin+admin、guest+guest）。 攻击者很容易预测用户名和密码，登录应用程序，从而获取未获授权的特权。可能会升级用户特权并通过 Web 应用程序获取管理许可权不应使用易于预测的凭证（例如：admin+admin、guest+guest、test+test 等），因为它们可能很容易预测，可让用户不当进入应用程序。预测登录错误消息凭证枚举可能会升级用户特权并通过 Web 应用程序获取管理许可权已解密的登录请求可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息以加密方式传给服务器用户名密码社会保险号码信用卡号码驾照号码电子邮件地址电话号码邮政编码 onkeypress=javascript:hiddenPass(event) onkeyup=this.value=this.value.replace(/./g,*);/li liinput id=password type=hidden name=password/li div js代码 function hiddenPass(e){ e = e ? e : window.event; var kcode = e.which ? e.which : e.keyCode; var pass = document.getElementById(password1); var j_pass = document.getElementById(password); if(kcode!=8) { var keychar=String.fromCharCode(kcode); j_pass.value=j_pass.value+keychar; j_pass.value=j_pass.value.substring(0,pass.length); } 技术实现 饶过AppScan软件扫描 绕过软件扫描有两种方式，如下： 修改密码输入框名字和类型 经过不断扫描测试分析，如果密码输入框的名字不包含password、pwd等关键字的话，大部分页面就不会扫描出漏洞。如果还能扫描出漏洞的话，那就在修改密码输入框名字的基础上，把输入框的type的属性值为password的值改为text，然后用Javascript函数来模拟实现星号代替输入值的密码输入效果即可饶过该扫描。 示例步骤如下： 在原来的密码输入框前添加一个新的输入控件： 如：input type=text id=code name=code value= siz