第十一章
- 来自互联网攻击大多数冲着Web站点来的。几乎如今所有的Web网站都会使用会话(session)管理、加密处理等安全性方面的功能,而HTTP协议内并不具备这些功能。
- 就拿远程登录会使用的SSH协议来说,SSH具备协议级别的认证及会话管理的功能,HTTP协议则没有。
- 通过URL查询字段或表单、HTTP首部、Cookie等途径把攻击代码传入,若此时Web应用存在安全漏洞,那内部信息就会遭到窃取,或被攻击者拿到管理权限。
- 针对Web的攻击模式有以下两种:主动攻击和被动攻击
- 主动攻击是指攻击者通过直接访问Web应用,把攻击代码传入的攻击模式。由于该模式是直接针对服务器上的资源进行攻击,因此攻击者需要能够访问到那些资源。
- 主动攻击模式具有代表性的攻击是SQL注入攻击和OS命令注入攻击。
- SQL注入是指针对Web应用使用的数据库,通过运行非法SQL而产生的攻击。有可能会造成以下等影响:非法查看或篡改数据库内的数据;规避认证;执行和数据库服务器业务关联的程序等;
- SQL注入是攻击者将SQL语句改变成开发者意想不到的形式以达到破坏结构的攻击。
- OS命令注入攻击是指通过Web应用,执行非法的操作系统命令达到攻击目的。
- 可以在Web应用中通过Shell来调用操作系统命令。倘若调用Shell时存在疏漏,就可以直行插入的非法的OS命令
- OS命令注入攻击可以向Shell发送命令,让操作系统的命令行启动程序,也就是说,通过OS注入攻击可执行OS上安装的各种程序。
- 被动攻击是指利用圈套策略执行攻击代码的攻击模式。攻击者诱使用户触发已设置好的陷阱,而且陷阱会启动发动嵌入攻击代码的HTTP请求。被动攻击模式中中具有代表性的攻击是跨站脚本攻击和跨站点请求伪造。
- 跨站脚本攻击(XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。动态创建的HTML部分有可能隐藏着安全漏洞。跨站脚本攻击有可能造成以下影响:利用虚假输入表单骗取用户个人信息;利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求;显示伪造的文章或图片。
- HTTP首部注入攻击是指攻击者通过在响应首部字段内插入换行,添加任意响应首部或主体的一种攻击。属于被动攻击模式。可能会造成以下影响:设置任何Cookie信息;重定向至任意URL;显示任意的主体(HTTP响应截断攻击)
- 向首部主体内添加内容的攻击称为HTTP响应截断攻击。
- Web应用的安全对策可大致分为以下两部分:客户端的验证和Web应用端的验证。
- 邮件首部注入攻击是指Web应用中的邮件发送功能,攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击。
- 目录遍历攻击是指对本无意公开的文件目录,通过非法截断其目录路径后,达成访问目的的一种攻击。有时也称为路径遍历攻击。固然存在输出值转义的问题,但更应该关闭指定对任意文件名的访问权限。
- 强制浏览安全漏洞是指,从安置在Web服务器的公开目录下的文件中,浏览那些原本非公开的文件。强制浏览有可能会造成以下一些影响:泄漏顾客的个人信息等重要情报;泄露原本需要访问权限的用户才可查阅的信息内容;泄漏未外连到外界的文件
- 直接显示容易推测的文件名或文件目录索引,通过某些方法可能会使URL产生泄漏。比如,即使没有对这篇日志的访问权限,只要知道这图片的URL,通过直接指定URL的方式就能显示该图片。日式的功能和文本具有访问对象的控制,但不具备对图片访问对象的控制,从而产生了安全漏洞。
- 不正确的错误信息处理安全漏洞是指,Web应用的错误信息对攻击者有用的信息。
- 开放重定向是指一种对指定的任意URL作重定向跳转的功能。可信度高的Web网站如果开放重定向功能,则很有可能被攻击者选中并用来作为钓鱼攻击的跳板。
- 会话管理是用来管理用户状态的必备功能,但是如果在会话管理上有所疏忽,就会导致用户的认证状态被窃取的后果。
- 会话劫持是指攻击者通过某种手段得到用户的会话ID,并非法使用此ID伪装成用户,达到攻击的目的。有以下几种攻击者可获得会话ID的途径:通过非正规的生成方法推测会话ID;通过窃听或XSS攻击盗取会话ID;通过会话固定攻击强行获取会话ID
- 对以盗取目标会话ID为主动攻击手段的会话劫持形式而言,会话固定攻击会强制用户使用攻击者指定会话ID,属于被动攻击。
- 跨站点请求伪造攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息的某些状态更新,属于被动攻击。可能会造成以下影响:利用已通过认证的用户权限更新设定信息等;利用通过的认证的用户权限购买商品;利用已通过认证的用户权限在留言板上发表言论;
- 密码破解攻击即算出密码,突破认证。攻击不仅限于Web应用,还包括其他的系统(如FTP或SSH等).密码破解有以下两种手段:通过网络的密码试错;对于加密的密码破解;
- 通过网络的密码试错主要有以下两种方式:穷举法和字典攻击。字典攻击与穷举法相比,由于需要尝试的候选密码较少,意味着攻击耗费的时间比较短。但是,如果字典中没有正确的密码,那就无法破解成功。因此攻击的成败取决于字典内容。
- 字典工具中有一种利用其他Web网站已泄露的的ID及密码列表进行的攻击。很多用户习惯随意地在多个Web网站使用同一套ID及密码,因此攻击会有相当高的成功几率
- Web应用在保存密码时,一般不会直接也明文的方式保存,通过散列函函数做散列处理或加salt的手段对要保存的密码本身加密。在生成散列值时,使用加salt或扩展密码长度的安全策略。从加密过的数据导出明文通常有以下几种方法:
- 采用穷举法或字典攻击相同的手法,尝试调用相同的散列函数加密候选密码,然后把计算出的散列值与目标散列值匹配,类推出密码。
- 彩虹表是由明文密码及与之对应的散列值构成的一张数据库表,是一种事先制作庞大的彩虹表,可在穷举法字典攻击等实际破解过程中缩短消耗时间的技巧。
- 如果能通过某种手段拿到加密使用的密钥也就可以对密码数据解密了。
- 考虑到加密算法本身可能存在的漏洞,利用该漏洞尝试解密
- 点击劫持是指利用透明的按钮或链接做成陷阱,覆盖在Web页面上。诱使用户在不知情的情况下点击那个链接访问内容的一种攻击手段。又称为界面伪装。
- DoS攻击是一种让运行中的服务呈停止状态的攻击。主要有以下两种攻击方式:集中利用访问请求造成资源过载,资源用尽的同时,实际上服务也呈停止状态;通过攻击安全漏洞使服务停止
- 其中利用访问请求的DoS攻击,单纯的来讲就是发送大量的合法请求。服务器很难分辨何为正常请求,何为攻击请求,因此很难防止DoS攻击。多台计算机发起的DoS攻击称为DDos攻击。
- 后台程序是指开发设置的隐藏入口。通常后台程序分为以下三种类型:开发阶段作为Debug调用的后门程序;开发者为了自身利益植入的后门程序;攻击者通过某种方法设置的后门程序;
- 可通过监视进程和通信的状态发现被植入后门程序。但在Web应用中的后门程序,由于和平常使用时区别不大,通常很难发现。
扫一扫
207
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
