IIS6安全及安固.ppt

IIS的安全问题 1、操作系统命令注入攻击 2、目录遍历攻击 3、认证和会话管理失效 认证和会话管理失效概述 Broken Authentication and Session Management Web应用程序中的身份验证相关功能存在缺陷，可能导致认证信息或会话管理数据泄漏，造成使用者或管理者的身份被盗用 典型攻击类型：Session Fixation、Session Hijack 认证和会话管理失效--原理 Session存储在服务器端，并通过Session ID与各个用户关联。对于大部分的WEB应用，除非程序通知服务器删除一个Session，否则服务器会一直保留。程序一般都是在用户点击退出按钮时发出指令去删除Session，而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器很少有机会知道浏览器已经关闭。 因此，Session ID就自然成为了攻击者诱人的目标，他们通过获得Session ID，就有机会劫持用户身份。攻击者往往通过窃取Cookei、Session ID冒充会话用户，继续使用前面会话，从事攻击行为。 Web应用防火墙 1. 审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话 2. 访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式 3. 架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。 4. WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。 WEB应用代码分析 WEB应用代码安全分析软件，通过对软件进行代码扫描，可以找出潜在的风险，从内对软件进行检测，提高代码的安全性。主要通过数据流分析、语义分析、结构分析、控制流分析等手段，结合软件安全规则和知识库，最大程度上降低代码风险 代表性产品 Fortify SCA(Source Code Analysis) Checkmarx CxSuite Armorize CodeSecure WEB应用服务器攻防应用实例———IIS写权限利用 利用IIS PUT Scaner进行扫描 向指定主机提交警告文档 提交成功 利用IIS写权限利用工具向服务器00提交文件，文件名为TEST.TXT，提交位置为：00/test.txt 对提交的文档利用MOVE进行改名操作 MOVE /test.txt 00/shell.asp 提交成功，文件名已改为shell.asp 打开提交的文档 %5c是web服务器的转换符，用来代表一些常见字符，这里表示的是“\” * 在绝大多数情况下，sessionID采用cookie来传递，个别情况下采用URL重写和隐藏按钮来传递 获取他人Session ID的方法有：中间人、sniffer、跨站脚本等 与CSRF区别：这里攻击者窃取信息，自己冒充用户，实现会话劫持；CSRF诱使用户的浏览器发出恶意的合法操作 * 为新建应用池分配工作进程 鼠标反键点击新建应用池属性，选择标识选项。 IIS工作进程加入到应用池 设置方法与前面讲到的“设置WIN系统帐户到IIS”相同，此处不需要把添加的帐号的前面计算机帐号和/删掉。输入密码就可以。 分配新应用池到指定站点 鼠标反键点击新建站点属性，选择主目录选项，最底部有一个应用程序池选择，选择你新建的应用池及可完成。 分配新应用池到指定站点 这里的添加步骤与前面三个步骤一样,权限设置保持默认即可. 操作系统命令注入攻击 OS command injection，操作系统命令注入 利用WEB应用对用户输入验证设计上的疏失，或者说验证的不严格，在HTML代码中，使用一些函数调用操作系统命令，对系统进行操作，造成入侵行为 执行文件操作、系统命令操作、执行系统程序等 cmd.exe?format+c:/ Exec System() * 目录遍历攻击 Directory traversal ，目录穿越 指攻击者利用应用程序漏洞访问合法应用之外的数据或文件目录，导致数据泄露或被篡改。 最常见的就是利用“双句点代表父目录”机制进行攻击：“../../../../../../etc/passwd” * 目录遍历攻击--原理 Web服务器主要提供两个级别的安全机制 根目录访问：服务器文件系统中一个特定目录作为网站的根目录，它往往是一个限制，用户无法访问位于这个目录之上的任何内容 访问控制列表（ACL）：Web服务器的管理员用来说明什么用户或用户组能够在服务器上访问、修改和执行某些文件的列表 * 目录遍历攻击--原理 应用web代码缺陷 假若某站点有类似 /show.asp?view=test.html 利用这个URL，浏览器向服务器发送了