浅析WEB攻击和防护技术.docVIP

浅析WEB攻击和防护技术 　　摘要： 随着计算机技术的飞速发展，网络技术也得到广泛的应用，但随之而来的就是网络安全问题的出现。在研究与实践的基础上，详细总结并论述目前较为流行的网络攻击方法的原理及其有针对性的防护技术，对加强网络安全，实现安全上网有重要意义。 　　关键词： Web攻击；安全防护；网络技术 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2011）0210030－01 　　 　　随着信息化技术的发展，网络技术得到了广泛的应用，其中Web成为主流的网络和应用技术。但网络安全问题目前已成为世界范围内不容忽视的问题。 　　1 网络安全现状 　　CNCERT/CC网络安全监测系统对流量数据进行的抽样统计显示，Web应用流量占整个TCP流量的81.1%。但随之而来的网络安全问题也成为了人们关注的焦点。信息安全国际权威机构SANS曾经年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，近几年网络攻击案例屡见不鲜，高中生黑掉瑞安建设局网、云南晋宁县政府网站被黑首页满屏“躲猫猫”、湖北荆州商务局网站被黑、男子入侵地震局网站篡改数据散布地震谣言等等。由此可见，研究web攻击与防护技术，做好网络安全，事关重大。通过多年网络安全工作的研究与实践，总结出目前网络上普遍存在的攻击方法，并针对这些攻击方法，研究出有效的防护技术。 　　2 攻防原理与方法 　　1）SQL注入：利用WEB应用对用户输入验证设计上的疏忽，或验证的不严格，从而使用户输入的数据中包含对某些数据库系统有特殊意义的符号或命令，让WEB应用用户有机会直接对后台数据库系统下达指令，实施入侵行为。SQL注入的产生主要是由动态字符串构建和不安全的数据库配置产生，其中动态字符串构建主要是由不正确的处理转义字符、不正确的处理类型、不正确的处理联合查询、不正确的处理错误和不正确的处理多次提交构成。不安全的数据库配置产生主要是由默认预先安装的用户、以root，SYSTEM或者Administrator权限系统用户来运行和默认允许很多系统函数（如xp_cmdshell，OPENROWSET等）构成。 　　主要防护方法两种： 　　① 代码级防护：主要有使用参数化的语句、验证输入、编码输出、规范化和其他技巧，包括使用存储过程、使用抽象层、加密敏感数据、避免明显的对象名字、设置数据库蜜罐等。 　　② 平台级别防护：在运行期间实施保护，安全配置数据库和使用WAF、使用URL/Level策略等。 　　2）跨站脚本攻击（XSS）攻击者向Web页面中插入恶意的日丁ML代码没有被网站过滤，当用户浏览该页面时，嵌入其中的日丁ML代码就会执行，从而达到恶意用户的特殊目的这类攻击不会对网站主机木身有任何威胁，恶意攻击者使用某些语言（脚木）跨过网站主机对使用者进行攻击，所以才被称为跨站脚木攻击。主要涉及到三方：即攻击者、客户端与网站。攻击方法为先锁定目标，在存在漏洞网页的URL中插入脚木程序（获取cookie并发送）构造URL；执行XSS，将URL通过邮件等发送给用户（钓鱼）；当用户点击链接时，攻击者得到脚木信息；处理接收到的cookie，使用Websleuth之类的工具得到cookie中的帐尸界码等信息。还有一种方式，将正常网站的页面拷贝挂载在恶意程序。 　　最佳的防护应该结合验证所有输入数据和对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。 　　3）远程文件包含也有称之为远程代码包含，一些恶意用户利用网站服务器对文件包含过滤不严格而强行使网站上的代码包含恶意用户自己的文件，以实现执行特定脚木，达到对网站进行攻击的目的。PHP常见的包含文件的函数有include（），require（）和inclladeonce（）、reqmreonce（）等所有的cgi程序都可能受到这样的攻击。Web应用程序引入来自外部（远程）的恶意文件或者将未经确认的输入字符串联成文件或流函数并执行其内容造成的漏洞。 　　主要防护方法为完善错误信息，避免“包含文件”信息泄露对输入变量进行过滤，对特殊字符进行替换、编码，如“/”。 　　4）目录遍历攻击指攻击者利用系统漏洞访问合法应用之外的数据或文件目录，导致数据泄露或被篡改。最常见的就是利用“双句点代表父目录”机制进行攻击：“../../../../../..//etc/passwd”。防护方法主要是利用应用配置文档，阻止含有路径穿越的访问，并强迫只能访问设计发布的网页，从而阻止非法访问不合法的网页或目录。以及修补web服务器漏洞。 　　5）操作系统命令注入攻击利用WEB应用对用户输入验证设计上的疏失，或者说验证的不严格，在HTML代码中，使用一些函数调用操作系统命令，对系统进行操作，造成入侵行为