企业Web漏洞分析和检测.docx

Web漏洞与信息安全 网站安全的重要性 网站作为企业的门户，是展示企业形象的一种方式，其对外展示形象之时无疑是将自己暴露于网络之中。这就使得别有用心之人能够扫描网站的开放端口、然后根据端口提示的应用程序扫描该程序的漏洞、然后根据程序的漏洞进一步打开服务器的大门，最后将企业的网站作为他随意进入、任意修改的猎物。2014年的毒胶囊事件刚刚曝出之时，制药企业龙头修正药业的网站便随即被攻克，黑客将企业的网站变成了全体网民发泄之所。这使得修正药业在处理公共危机之时，不得不专门腾出手来处理突发的信息安全危机。所以传统企业需要关注常被忽略的网络安全问题。 网站常见漏洞 下面列出一些常见的网站安全问题，及其分析： 物理路径泄露：物理路径泄露一般是由于WEB服务器处理用户请求出错导致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点，那就是被请求的文件肯定属于CGI脚本，而不是静态HTML页面。 CGI源代码泄露：CGI源代码泄露的原因比较多，例如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。 目录遍历：目录遍历对于WEB服务器来说并不多见，通过对任意目录附加“../”，或者是在有特殊意义的目录附加“../”，或者是附加“../”的一些变形，如“..\”或“..//”甚至其编码，都可能导致目录遍历。 执行任意命令：执行任意命令即执行任意操作系统命令，主要包括两种情况。一是通过遍历目录，如前面提到的二次解码和UNICODE解码漏洞，来执行系统命令。另外一种就是WEB服务器把用户提交的请求作为SSI指令解析，因此导致执行任意命令。 缓冲区溢出：缓冲区溢出漏洞是WEB服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTP Header域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。 拒绝服务： 拒绝服务产生的原因多种多样，主要包括超长URL，特殊目录，超长HTTP Header域，畸形HTTP Header域或者是DOS设备文件等。由于WEB服务器在处理这些特殊请求时不知所措或者是处理方式不当，因此出错终止或挂起。 条件竞争：这里的条件竞争主要针对一些管理服务器而言，这类服务器一般是以system或root身份运行的。当它们需要使用一些临时文件，而在对这些文件进行写操作之前，却没有对文件的属性进行检查，一般可能导致重要系统文件被重写，甚至获得系统控制权。 跨站脚本执行漏洞：由于网页可以包含由服务器生成的、并且由客户机浏览器解释的文本和 HTML 标记。如果不可信的内容被引入到动态页面中，则无论是网站还是客户机都没有足够的信息识别这种情况并采取保护措施。攻击者如果知道某一网站上的应用程序接收跨站点脚本的提交，他就可以在网上上提交可以完成攻击的脚本，如JavaScript、VBScript、ActiveX、HTML 或 Flash 等内容，普通用户一旦点击了网页上这些攻击者提交的脚本，那么就会在用户客户机上执行，完成从截获帐户、更改用户设置、窃取和篡改 cookie 到虚假广告在内的种种攻击行为。 SQL注入：对于和后台数据库产生交互的网页，如果没有对用户输入数据的合法性进行全面的判断，就会使应用程序存在安全隐患。用户可以在可以提交正常数据的URL或者表单输入框中提交一段精心构造的数据库查询代码，使后台应用执行攻击着的SQL代码，攻击者根据程序返回的结果，获得某些他想得知的敏感数据，如管理员密码，必威体育官网网址商业资料等。 针对Web程序的主要攻击方式（这里特指使用PHP语言开发的）包括： 命令注入攻击（Command Injection），PHP在设计之时使用特定函数（system、exec、passthru等）来执行外部的应用程序或者函数，漏洞性质（开发时遗留）、隐蔽性强、威胁到服务器。 Eval注入攻击（Eval Injection），PHP的eval函数可能将用户输入的字符串参数作为PHP程序代码来执行，容易被黑客利用当作攻击对象，漏洞性质（开发时遗留）、隐蔽性强、威胁服务器安全。 客户端脚本攻击（Script Insertion），攻击者可以将可执行的脚本代码插入到表单、图片等对象内，其他用户打开这些对象后，黑客植入的脚本会被执行，进而开始攻击。漏洞性质（发布信息审核不严），隐蔽性强、威胁到网站其他用户。 跨站脚本攻击（Cross Site Scripting，XSS），黑客通过在动态网站的链接中插入恶意代码，能够在其他用户在打开含有恶意代码的链接时发动攻击。漏洞信息（发布信息审核不严）、可以检测、威胁到其他用户。 SQL注入攻击（SQL Injection）黑客利