WEB应用程序漏洞发掘原理.pdfVIP

WEB 应用程序漏洞发掘原理 黄玮 北京邮电大学信息工程学院，北京（100876 ） E-mail ：huangwei1983@ 摘 要：Web 应用程序由于其良好的跨平台性和交互性特点，正在得到越来越普遍的应用。 伴随着Web 应用程序发展的过程中，各种针对Web 应用程序的攻击也在逐步的发展。本文 就目前Web 应用程序所面临的各种安全威胁从漏洞发掘的角度进行了归纳和分析，从漏洞 产生原因上去介绍构建安全Web 应用程序需要注意的问题。 关键词：WEB 应用程序，漏洞，安全 中图分类号：TP393 1. 引言 Web 应用程序在发展的开始仅仅局限于静态页面的展示，用户可以做的仅仅是“浏览网 页” 。直到20 世纪 90 年代初期开始，基于服务器端的脚本和 CGI 技术的发展，使得Web 应用第一次实现了用户交互。今天我们所看到的和经常使用的 Web 应用程序，如 Gmail， Google Maps，Blog 等等，都得归功于Web 2.0 技术带给我们的全新的Web 应用程序用户体 验。 图1 Web 应用发展简史 图1 简要的总结了Web 应用程序从最初的静态页面到今天的Web 2.0 技术的发展历程。 从图上我们可以看出，Web 应用程序发展的一个重要的趋势就是越来越高的用户交互性。 不论是AJAX 技术也好，还是Flash 也罢，Web 应用程序从来都没有像今天这样发展的越来 越接近桌面应用程序。更高的用户输入响应速度，完善和灵活的用户UI 设计，客户端“0 维 护”成本，等等，越来越多的理由让我们去普及和应用最新的Web 技术去获得更高的用户交 互性体验。而作为Web 2.0 技术发展的基础，从微软的ASP.NET 到Sun 的JSF 框架，再到 最新的PHP 的Smarty 模版技术，“动态网页”仍然将在今后很长一段时间内主导Web 应用程 - 1 - 序的主流。 然而，自从在Web 应用程序中引入了“交互性”，各种针对Web 应用程序的攻击和漏洞 利用也开始随着“交互性” 的发展而迅速发展。这里面既有 Web 应用程序的基础——HTTP 协议和其他相关TCP/IP 协议的脆弱性，也有Web 应用程序本身在编码实现时候的不规范性， 更有Web 应用程序部署和管理上的疏忽和大意原因。 2. Web 应用程序风险分类及漏洞发掘原理 [1] 根据SANS Institute 2006 年的一份最新的安全报告 ，在过去的一年中，互联网上的安 全攻击目标中，Web 应用程序已经成为跨平台的应用程序中最频繁遭受攻击的对象。对比 2005[2]和2004[3]年的情况，Web 应用程序风险经历了从Web 服务器的频繁遭受攻击，到针 对 PHP 、ASP 等动态脚本网页技术本身的漏洞攻击，再到现在的不局限于具体动态网页实 现技术的各种跨站脚本攻击(XSS)和各种数据注入攻击(Data Injection)，攻击的目标和手段不 断的变化，但基本的漏洞利用原理仍然无非是2 个方面，一个就是Web 应用程序对用户输 入和请求参数的校验漏洞，而另一个则是Web 应用服务部署和管理的缺乏安全意识和粗心 大意。 2.1. 输入和参数校验 在各种Web 应用程序的漏洞利用中，排除Web 应用程序服务器本身的安全漏洞，对用 户提交的表单请求和 GET 请求中参数的过滤不严格导致的 Web 应用程序漏洞构成了当今 Web 应用程序漏洞利用的主要方式。下面重点讨论各种可能的漏洞利用情况。 2.1.1. 缓冲区溢出漏洞 这种漏洞利用多见于针对CGI 脚本构建的动态Web 应用程序，具体的CGI 脚本可能是 C，漏洞利用一般是通过构造超长请求字符串来测试是否