F5 ASM WEB攻击防护手册 V1.0.pptVIP

LIU YONG y.liu@ F5 GZ officeAUG 2010 F5 ASM WEB攻击防护手册 V1.0 前言 本文主要是为了帮助兄弟们更好的理解和配置ASM的防护策略，并通过webgoat进行演示ASM对WEB主流攻击的防护和配置。 本文的配置基于V10.1，webgoat的版本为5.2 准备工作 PART ONE 设备基本部署配置 ASM的基本部署配置请参见阿亮哥的《ASM安装手册v2》 Webgoat 安装 Webgoat 安装 包可以从官网下载，地址为：/p/webgoat/downloads/list 解压缩后，修改webgoat 目录下的/tomcat/conf/server_80.xml文件，找到connector address的地方，将IP设置为你的网卡配置的IP地址，端口也可以进行修改。 运行webgoat.bat将webgoat部署到配置好的IP的80端口上。 webgoat用户 guest，密码guest,其他帐号可以查看webgoat 目录下的readme.txt文件。 攻击工具 使用webscrab，或者paros 其中webscrab工作在8008端口，需要在浏览器的proxy配置中将代理服务器的配置设置为:8008 ASM初始化配置 ASM的初始化配置和LTM相关部分的配置不在此次讨论的范围内，不熟悉的兄弟可以参考本人的其他ASM相关文档 主流攻击的ASM防护 PART TWO Injection攻击 Injection攻击 很多网络应用都是使用操作系统、数据库和其他外部程序来运行他们的功能，Injection的缺陷使得攻击者将恶意编码从一个网络应用传递到另一个系统。 这些攻击包括通过系统调用来调用操作系统、shell commands和通过SQL（如SQL injection）调用后端数据库。所有的用perl、python或其他语言编写的脚本，都能够写进那些脆弱的应用和执行程序。任何时候，当网络应用程序使用任何类型的解码器时，都有可能导致Injection的攻击。 攻击举例 SQL注入 正常的请求： GET /view_account.cfm?acct_id=28 HTTP/1.1 SELECT * FROM accounts WHERE acct_id = 28 非法的请求： GET /view_account.cfm?acct_id=28 OR 1=1 HTTP/1.1 SELECT * 　FROM accounts 　WHERE acct_id = 28 OR 1=1 ASM防护SQL注入 防护原则：主要是在针对 parameter的防护中，启用扫描，扫描parameter提交的内容，跟后台的attack signature进行比对，发现匹配的，则进行过滤。 具体的配置如下： 在attack signature中选择所要启用的攻击指纹，也可以在option—attack signatureattack signature set中自定义攻击指纹集，这里我们自定义了一个叫webgoat_sql的指纹集，包含了所有的SQL注入的攻击。 同时，还有要注意的地方就是要取消对应的parameter的staging的选项。当然也包括wildcast的parameter。 SQL防护结果 跨站点脚本攻击 攻击描述： 跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。 跨站点脚本：范例 ASM防护的原则 防护原则描述： 主要是对用户提交的URL或parameter中的内容进行扫描，如果有发现类似/script这样的字段，或者是经过多重编码后的类似字段，（即将攻击的代码转成别的代码比如ASCII码），ASM就会屏蔽该用户的请求。 由于在XSS的防护时，攻击者可能会把攻击代码进行二次转码的方式来达到欺骗防护工具的目的，所以我们也要在ASM的配置的时候，在Evasion technique（入侵技术）的选项中打开一些选项。如下： 防护XSS的配置 由于XSS的防护也主要