企业Web漏洞分析和检测.pdfVIP

Web漏洞与信息安全 网站安全的重要性 网站作为企业的门户，是展示企业形象的一种方式，其对外展示形象之时无 疑是将自己暴露于网络之中。这就使得别有用心之人能够扫描网站的开放端口、 然后根据端口提示的应用程序扫描该程序的漏洞、然后根据程序的漏洞进一步打 开服务器的大门，最后将企业的网站作为他随意进入、任意修改的猎物。2014 年的毒胶囊事件刚刚曝出之时，制药企业龙头修正药业的网站便随即被攻克，黑 客将企业的网站变成了全体网民发泄之所。这使得修正药业在处理公共危机之时， 不得不专门腾出手来处理突发的信息安全危机。所以传统企业需要关注常被忽略 的网络安全问题。 网站常见漏洞 下面列出一些常见的网站安全问题，及其分析： （1） 物理路径泄露：物理路径泄露一般是由于WEB服务器处理用户请求出错导 致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦 或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点， 那就是被请求的文件肯定属于CGI脚本，而不是静态HTML 页面。 （2） CGI源代码泄露：CGI源代码泄露的原因比较多，例如大小写，编码解码， 附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。 （3） 目录遍历：目录遍历对于WEB服务器来说并不多见，通过对任意目录附加 “../”，或者是在有特殊意义的目录附加 “../”，或者是附加 “../” 的一些变形，如 “..\”或 “..//”甚至其编码，都可能导致目录遍历。 （4） 执行任意命令：执行任意命令即执行任意操作系统命令，主要包括两种情 况。一是通过遍历目录，如前面提到的二次解码和UNICODE解码漏洞，来 执行系统命令。另外一种就是WEB服务器把用户提交的请求作为SSI指令 解析，因此导致执行任意命令。 （5） 缓冲区溢出：缓冲区溢出漏洞是WEB服务器没有对用户提交的超长请求没 有进行合适的处理，这种请求可能包括超长URL，超长HTTP Header域， 或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务， 这一般取决于构造的数据。 （6） 拒绝服务： 拒绝服务产生的原因多种多样，主要包括超长URL，特殊目 录，超长HTTP Header域，畸形HTTP Header域或者是DOS设备文件等。 由于WEB服务器在处理这些特殊请求时不知所措或者是处理方式不当，因 此出错终止或挂起。 （7） 条件竞争：这里的条件竞争主要针对一些管理服务器而言，这类服务器一 般是以system或root身份运行的。当它们需要使用一些临时文件，而在 对这些文件进行写操作之前，却没有对文件的属性进行检查，一般可能导 致重要系统文件被重写，甚至获得系统控制权。 （8） 跨站脚本执行漏洞：由于网页可以包含由服务器生成的、并且由客户机浏 览器解释的文本和 HTML 标记。如果不可信的内容被引入到动态页面中， 则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措 施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就 可以在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、 ActiveX、HTML 或 Flash 等内容，普通用户一旦点击了网页上这些攻击 者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用 户设置、窃取和篡改 cookie 到虚假广告在内的种种攻击行为。 （9） SQL注入：对于和后台数据库产生交互的网页，如果没有对用户输入数据 的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可 以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查 询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果， 获得某些他想得知的敏感数据，如管理员密码，保密商业资料等。 针对Web程序的主要攻击方式 （这里特指使用PHP语言开发的）包括： （1） 命令注入攻击 （Command Injection），PHP 在设计之时使用特定函数 （system、exec、passthru 等）