Web应用中常见39种不同的安全漏洞漏洞分析及检查方法
Web应用中常见39种不同的安全漏洞漏洞分析及检查方法
1.1 SQL注入漏洞
风险等级:高危
漏洞描述:
SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数
据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。
漏洞危害:
1) 机密数据被窃取;
2) 核心业务数据被篡改;
3) 网页被篡改;
4) 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。
修复建议:
1) 在网页代码中对用户输入的数据进行严格过滤;(代码层)
2) 部署Web应用防火墙;(设备层)
3) 对数据库操作进行监控。(数据库层)
代码层最佳防御sql漏洞方案:采用sql语句预编译和绑定变量,是防御sql
注入的最佳方法。
原因:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql命令,比如select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql
命令的执行,必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数,所以sql语句预编译可以防御sql注入。
其他防御方式:正则过滤
1.2 目录遍历漏洞
风险等级:中危
漏洞描述:
通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API、文件标准权限进行攻击。
漏洞危害:
黑客可获得服务器上的文件目录结构,从而下载敏感文件。
修复建议:
1) 通过修改配置文件,去除中间件(如IIS、apache、tomcat)的文件目录索引功能
2) 设置目录权限
3) 在每个目录下创建一个空的index.html页面。
1.3 跨站脚本漏洞
即XSS漏洞,利用跨站脚本漏洞可以在网站中插入任意代码,它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘。
漏洞危害:
1) 网络钓鱼,盗取管理员或用户帐号和隐私信息等;
2) 劫持合法用户会话,利用管理员身份进行恶意操作,篡改页面内容、进一步渗透网站;
3) 网页挂马、传播跨站脚本蠕虫等;
4) 控制受害者机器向其他系统发起攻击。
修复建议:
设置httponly
httponly无法完全的防御xss漏洞,它只是规定了不能使用js去获取cookie 的内容,因此它只能防御利用xss进行cookie劫持的问题。Httponly是在
set-cookie时标记的,可对单独某个参数标记也可对全部参数标记。由于设置httponly的方法比较简单,使用也很灵活,并且对防御cookie劫持非常有用,因此已经渐渐成为一种默认的标准。
xss filter
Xss filter往往是一个文本文件,里面包含了允许被用户输入提交的字符(也有些是包含不允许用户提交的字符)。它检测的点在于用户输入的时候,xss filter分为白名单与黑名单,推荐使用白名单,但即使使用白名单还是无法完全杜绝xss问题,并且使用不当可能会带来很高的误报率。
编码转义
编码方式有很多,比如html编码、url编码、16进制编码、javascript编码等。在处理用户输入时,除了用xss filter的方式过滤一些敏感字符外,还需要配合编码,将一些敏感字符通过编码的方式改变原来的样子,从而不能被浏览器当成js代码执行。
处理富文本
有些网页编辑器允许用户提交一些自定义的html代码,称之为”富文本”。想要在富文本处防御xss漏洞,最简单有效的方式就是控制用户能使用的标签,限制为只能使用a、div等安全的标签。
处理所有输出类型的xss漏洞
xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。其他修复方案
1) 开发者应该严格按照openid和openkey的校验规则判断openid和openkey 是否合法,且判断其它参数的合法性,不合法不返回任何内容。
2) 严格限制URL参数输入值的格式,不能包含不必要的特殊字符
( %0d、%0a、%0D 、%0A 等)。
3) 针对https://www.360docs.net/doc/e46973905.html,的防XSS库,Microsoft有提供统一的库,具体可以参见如下链接微软官网:https://www.360docs.net/doc/e46973905.html,/en-us/library/aa973813.aspx 4) 具体的js方法如下:
(1)对于用户输入的参数值展现在HTML正文中或者属性值中的情况,例如:展现在html正文中: href='Un-trusted'>https://www.360docs.net/doc/e46973905.html,'>Un-trusted input 展现 在属性值中: 此时需要将红色的不可信内容中做如下的转码(即将<> ‘“ ' 转成html实体): (2)对于用户输入落在 1.4未过滤HTML代码漏洞 由于页面未过滤HTML代码,攻击者可通过精心构造XSS代码(或绕过防火墙防护策略),实现跨站脚本攻击等。 可带来如下危害: 1) 恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash 利用应用的漏洞,从而获取其他用户信息; 2) 攻击者能盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。 修复建议: 1) 严格过滤用户输入的数据。 2) 参考跨站脚本漏洞修复方案。 1.5 数据库运行出错 网站存在数据库运行出错,由于网页数据交换出错,攻击者可获取报错中的敏感信息。 可带来如下危害: 1) 机密数据被窃取; 2) 攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息; 3) 攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。 修复建议: 1) 检查数据库缓存是否溢出,是否具有失效的配置管理、禁用一切不必要的功能; 2) 对网站错误信息进行统一返回,模糊化处理。 1.6 Flash 安全配置缺陷漏洞 网站存在Flash 安全配置缺陷,该漏洞可导致跨域访问,让用户访问非法Flash 文件。 1) allowScriptAccess:是否允许flash访问浏览器脚本。如果不对不信任的flash限制,默认会允许调用浏览器脚本,产生XSS漏洞。 always(默认值),总是允许;sameDomain,同域允许;never,不允许 2) allowNetworking:是否允许flash访问ActionScript中的网络API。如果不对不信任的flash限制,会带来flash弹窗、CSRF等问题。 all,允许所有功能,会带来flash弹窗危害;internal,可以向外发送请求/加载网页;none,无法进行任何网络相关动作(业务正常功能可能无法使用)可带来如下危害: 网站的Flash配置文件crossdomain.xml配置不当,存在Flash跨域攻击安全隐患。 修复建议: 1) 修改flash安全策略,做严格限制,比如限制到网站当前域; 2) 找到相应目录下的crossdomain.xml文件,找到代码:cross-domain-policy allow-access-fromdomain=* cross-domain-policy改成:cross-domain-policy allow-access-from domain=改成你的网站地址 cross-domain-policy。 1.7 FCK编辑器泄露漏洞 漏洞描述 利用此漏洞攻击者可访问编辑器页面,上传图片。 漏洞危害 1) 由于网站编辑器没有对管理员登录进行校验,导致任意用户访问编辑器; 2) 利用编辑器漏洞查看网站全硬盘目录。 修复建议 对编辑器页面进行访问控制,禁止未授权访问,并升级fck编辑器版本。 1.8 FCKeditor任意文件上传漏洞 FCKeditor版本低于或等于2.4.3时网站存在任意文件上传漏洞,可以利用该漏洞上传任意文件。 可带来如下危害: 1) 由于目标网站未做上传格式的限制,导致网站、数据库和服务器有被入侵的风险; 2) 可能导致网站被攻击者控制,网站数据被窃取、网页被篡改等。 修复建议: 1) 设置FCKeditor编辑器相关页面在未授权的前提下无法正常访问,和限制FCK上传文件的格式; 2) 下载并更新至FCKeditor的最新版本。 1.9 URL Redirect漏洞 即URL重定向漏洞,通过将 URL 修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。 可带来如下危害: 1) Web 应用程序执行指向外部站点的重定向; 2) 攻击者可能会使用 Web 服务器攻击其他站点,这将增加匿名性。 修复建议: 1) 在网页代码中需要对用户输入的数据进行严格过滤;(代码层) 2) 部署Web应用防火墙。(设备层) 1.10 文件上传漏洞 网站存在任意文件上传漏洞,文件上传功能没有进行格式限制,容易被黑客利用上传恶意脚本文件。 可带来如下危害: 1.攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁; 2.攻击者可上传可执行的WebShell(如php、jsp、asp类型的木马病毒),或者 利用目录跳转上传gif、html、config文件,覆盖原有的系统文件,到达获取系统权限的目的。 修复建议: 1.对上传文件格式进行严格校验及安全扫描,防止上传恶意脚本文件; 2.设置权限限制,禁止上传目录的执行权限; 3.严格限制可上传的文件类型; 4.严格限制上传的文件路径。 5.文件扩展名服务端白名单校验。 6.文件内容服务端校验。 7.上传文件重命名。 8.隐藏上传文件路径。 1.11 后台弱口令漏洞 网站管理后台用户名密码较为简单或为默认,易被黑客利用。 可带来如下危害: 1) 攻击者利用弱口令登录网站管理后台,可任意增删文章等造成负面影响; 2) 攻击者可进一步查看网站信息,获取服务器权限,导致局域网(内网)被入侵。 修复建议: 1) 对管理后台进行访问控制,修改后台弱口令,加强口令强度并定期修改。 2) 增加验证机制,防爆破机制,限制ip+cookie访问次数。 1.12 敏感信息泄漏 由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。 可带来如下危害: 1.攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、 真实姓名、身份证号、电话号码、邮箱、QQ号等; 2.攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获 取网站敏感信息; 3.攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。 修复建议: 1.对网站错误信息进行统一返回,模糊化处理; 2.对存放敏感信息的文件进行加密并妥善储存,避免泄漏敏感信息。 1.13 未加密登录请求漏洞 网站对用户登录认证信息未进行加密,敏感信息以明文形式进行传送,易在传输过程中被获取。 可带来如下危害: 易造成用户敏感信息泄露与篡改。 修复建议: 建议通过加密连接(如SSL)方式进行敏感信息的传送。 1.14 后台口令暴力破解 由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解。 可带来如下危害: 1.攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力破解后台用户名及密 码; 2.暴力破解后登录其中一个帐号可进管理后台,攻击者登录网站后台任意增删文章 等造成负面影响; 3.攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件,获取服务器权限, 导致局域网(内网)被入侵。 修复建议: 1.对该页面进行访问控制,禁止外网IP或非法IP访问后台页面,并增加验证码校 验,加强帐号锁定机制。 2.增加ip+cookie配置方式限制访问频率。 1.15 跨站请求伪造 跨站请求伪造,即CSRF,攻击者通过伪造来自受信任用户的请求,达到增加、 删除、篡改网站内容的目的。 可带来的危害: 攻击者冒充用户/管理员,伪造请求,进行篡改、转帐、改密码、发邮件等非法操作。 修复建议: 1) 过滤用户输入,不允许发布含有站内操作URL的链接; 2) 改良站内 API 的设计,关键操作使用验证码,只接受 POST 请求,GET请求应该只浏览而不改变服务器端资源; 3) 对于web站点,将持久化的授权方法(例如cookie或者HTTP授权)切换为瞬时的授权方法(在每个form中提供隐藏field); 4) 在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie。服务端的防御: 1) 验证HTTP Referer字段。 2) 请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3) 将token加入http头属性中,避免了token出现在浏览器中,被泄露。 客户端防御: 为了配合服务端对token的验证,那么客户端也需要在访问时生成token,这是利用 js 来给 html 中的链接和表单请求地址附加 csrftoken 代码,其中已定义 token 为全局变量,其值可以从 session 中得到。 1.16 Unicode 编码转换漏洞 漏洞等级:中危 该漏洞由于Unicode在编码转换过程中会忽略某些字符,导致攻击者可插入该字符绕过安全设备的检测。 可带来如下危害: 黑客可通过插入特殊字符,可拆分攻击的关键词,绕过安全设备的检测。 1) 修改中间件,过滤特殊字符。 2) 部署Web应用防火墙 1.17 Possible .Net Error Message 漏洞等级:中危 网站存在.net报错信息,由于网站未配置统一错误返回页面,导致aspx出错并显示出错误信息。 可带来如下危害: 黑客可通过特殊的攻击向量,有可能泄漏如绝对路径、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。 修复建议: 关闭PHP错误回显,或修正代码。 1.18 发生内部错误 漏洞描述 500 Internal Server Error。 漏洞危害 攻击者向服务器提交精心构造的恶意数据后,有可能导致服务器出现内部错误、服务器宕机或数据库错乱。 修复建议 1) 严格过滤用户输入的数据。 2) 服务器错误统一模糊处理,或者跳转到首页/404页面。 1.19 SVN源代码泄漏 由于目标网站没有及时清除SVN服务器连接时的残留信息,导致存在此漏洞。 可带来如下危害: 1.攻击者可利用该漏洞下载网站的源代码,获得数据库的连接密码等敏感信息; 2.攻击者可通过源代码分析出新的系统漏洞,从而进一步入侵系统。 删除指定SVN生成的各种文件,如“/.svn/entries”等。 1.20 旁站攻击漏洞 多家网站在同一台服务器上,因一个网站存在致命高危漏洞,导致整台服务器被入侵。 可带来如下危害: 1.服务器上的所有网站均可被获得控制权限,攻击者可利用该漏洞登录网站后台任 意增删文章等造成负面影响; 2.攻击者可通过旁站服务器漏洞进入网站内网对其他服务器进行进一步攻击。 修复建议: 1.修补同一台服务器上的其他网站漏洞; 2.建议每个网站单独服务器运行。 1.21 后台登录页面绕过 越权操作,可直接通过访问后台地址进行访问,绕过登陆限制。 可带来如下危害: 1.一旦入侵者发现后台url,便可进入后台页面,进行非法操作。 修复建议: 1.对后台所有url做好权限设置。 2.禁止外网访问后台地址。 1.22 CVS 信息泄漏 漏洞描述 由于目标网站没有及时清除CVS服务器连接时的残留信息,导致存在此漏洞。 漏洞测试 访问/cvs/等页面,若出现下图内容,则表示存在此漏洞。 @前面是用户名后面是服务器地址 漏洞危害 1) 攻击者可利用该漏洞下载网站的源代码,获得数据库的连接密码等敏感信息; 2) 攻击者可通过源代码分析出新的系统漏洞,从而进一步入侵系统。 修复建议 删除指定CVS生成的各种文件,如“/CVS/Root”等。 1.23 Possible PHP Error Message 网站存在Possible PHP Error Message,由于网站未配置统一错误返回页面, 导致PHP出错并显示出错误信息 可带来如下危害: 黑客可通过特殊的攻击向量,有可能泄漏如绝对路径、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。 修复建议: 关闭PHP错误回显,或修正代码。 1.24 HPP漏洞 漏洞描述 即http参数污染,它是web容器处理http参数时的问题。比如访问 URL:https://www.360docs.net/doc/e46973905.html,/index.php?str=hello此时,页面显示hello。但如果访 问:https://www.360docs.net/doc/e46973905.html,/index.php?str=hello&str=world&str=nmask此时,页面显示nmask,把前面参数的值给覆盖了,这就是http参数污染。 可带来的危害: 用来绕过WAF 修复建议: 修改web容器处理机制 1.25 File Operation-Web.xml漏洞 攻击者可以通过文件内容泄漏漏洞(或文件包含漏洞)获取敏感文件的内容,或直接执行其指定的恶意脚本,进得Web服务器的控制权限。 可带来如下危害: 1) 文件内容泄漏漏洞(或文件包含漏洞)允许攻击者读取服务器中的任意文件,或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。 2) 很多脚本语言允许通过特殊的指令(如PHP 通过require关键字)将其他脚本源码文件的内容合并至当前的文件中执行,如果这些特殊的指令在包含的文件路径中含有用户提交的数据,则恶意攻击者就有可能通过构造特殊的数据将WEB服务器限制访问的文件内容(如操作系统或某些重要应用的配置文件)包含进来并通过浏览器获取其内容,这种方式通常称为本地文件包含;如果应用程序的配置还允许包含远程的其他服务器上的文件,恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行,进而获取WEB应用的敏感数据或控制权。 修复建议: 1) 如果可能,使用包含指令时显式指定包含的文件名称; 2) 如果必须通过用户的输入指定包含的文件,则最好分析用户的输入,然后从文件白名单中显式地选择; 3) 请对用户的输入进行严格的过滤,确保其包含的文件在预定的目录中或不能包含URL参数。 1.26 短文件名泄漏漏洞 漏洞等级:中危 漏洞描述 该漏洞由于Windows处理较长文件名时为方便使用较短的文件名代替,攻击者可利用该漏洞尝试获取网站服务器下的文件名。 漏洞危害 黑客可通过该漏洞尝试获取网站服务器下存放文件的文件名,达到获取更多信息来入侵服务器的目的。 修复建议 1) 修改Windows配置,关闭短文件名功能。 2) 部署Web应用防火墙,防止攻击者批量尝试。 1.27 OS注入漏洞 风险等级:高危 漏洞描述: 网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,允许用户能够提交系统命令操作,会导致攻击者能控制整个服务器。 漏洞危害: 攻击者可以执行任意操作系统命令,进行恶意攻击; 修复建议: 1) 禁止调用系统问题; 2) 部署Web应用防火墙; 3) 过滤用户输入; 1.28 SOAP注入漏洞 风险等级:高危 漏洞描述: 用户提交的数据直接插入到SOAP消息中,攻击者可以破坏消息的结构,从而实现SOAP注入。 漏洞危害: 攻击者可以改变应用程序的逻辑,修改数据。 修复建议: 在用户提交的数据被插入SOAP消息的实施边界进行过滤 1.29 XPATH注入漏洞 风险等级:高危 漏洞描述: 网站使用XPath访问数据,响应用户提交的输入。如果用户的输入未经过过滤就插入到XPath的查询中,攻击者就可以通过控制查询语句来破坏应用程序,或者获取未授权访问的数据。 漏洞危害: 攻击者可以改变应用程序的逻辑,修改数据。 修复建议: 1) 在网页代码中对用户输入的数据进行严格过滤; 2) 部署Web应用防火墙;、 1.30 SMTP注入漏洞 风险等级:高危 漏洞描述: 在电子邮件功能中,攻击者可在会话中注入任意SMTP命令,完全控制应用程序的消息。 漏洞危害: 篡改用户的邮件内容 修复建议: 1) 在客户端代码中对用户输入的数据进行严格过滤; 2) 部署Web应用防火墙; 1.31 LDAP注入漏洞 风险等级:高危 漏洞描述: LDAP是一种轻量级目录访问协议,可以用来保存信息。如果在查询语句中插入恶意代码,可以修改返回的结果 漏洞危害: 机密数据被窃取; 修复建议: 1) 在查询中对用户输入的数据进行严格过滤; 2) 部署Web应用防火墙; 1.32 命令执行漏洞 风险等级:高危 漏洞描述: 命令执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令的代码中,对恶意构造的语句,可被用来执行任意命令。 漏洞危害: 黑客可在服务器上执行任意命令,写入后门,从而入侵服务器,获取服务器的管理员权限,危害巨大。 修复建议: 严格过滤用户输入的数据,禁止执行系统命令 1.33 HTTP消息头注入漏洞 漏洞描述: 用户控制的数据以不安全的方式插入到应用程序返回的HTTP消息头中,如果攻击者能够在消息头中注入换行符,就能在响应中插入其他HTTP消息头,并在响应主体中写入任意内容。 漏洞检测: 通过修改参数来判断是否存在漏洞。比如国内某著名网站曾经出现过header注入漏洞,如下url: https://www.360docs.net/doc/e46973905.html,/YYYYWeb/jsp/website/agentInvoke.jsp?agentid= %0D%0AX-foo:%20bar 抓包时发现: 漏洞危害: 利用HTTP消息头注入漏洞可以控制用户访问页面的返回结果,执行恶意代码。修复建议: 1) 不要把用户控制的输入插入到应用程序返回的HTTP消息头中; 2) 部署Web应用防火墙。 a) 在设置HTTP响应头的代码中,过滤回车换行(%0d%0a、%0D%0A)字符。 b) 不采用有漏洞版本的apache服务器,同时对参数做合法性校验以及长度限制,谨慎的根据用户所传入参数做http返回包的header设置。 1.34 验证机制缺陷漏洞 风险等级:中危 漏洞描述: 由于网站管理后台系统登录无验证码校验,可导致后台用户名密码被暴力破解。漏洞危害: 1) 攻击者可利用该漏洞无限次提交用户名密码,从而可以暴力破解后台用户名及密码; 2) 暴力破解后登录其中一个帐号可进管理后台,攻击者登录网站后台任意增删文章等造成负面影响; 3) 攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件,获取服务器权限,导致局域网(内网)被入侵。 修复建议: 对该页面进行访问控制,禁止外网IP或非法IP访问后台页面,并增加验证码校验,加强帐号锁定机制。 1.35 文件包含漏洞 漏洞描述: 文件包含漏洞多数情况出现在PHP中,当然jsp中也存在,文件包含分为本地包含与远程包含。 漏洞危害: 1) 绕过WAF上传木马文件 2) 加载有害的远程内容,影响程序运行。 漏洞修复: 1) 关闭allow_url_fopen 2) 避免使用include参数 3) 使用web检测文件内容 1.36 Elasticsearch未授权访问漏洞 漏洞描述 elasticsearch 是一款java编写的企业级搜索服务,启动此服务默认会开放9200端口,可被非法操作数据。 漏洞检测 检测:默认端口9200 相当于一个API,任何人访问这个地址,就可以调用api,进行数据的增删改操作。 漏洞危害 可被非法操作数据,对网站数据造成影响。 修复方案 1) 关闭9200端口 2) 防火墙上设置禁止外网访问此端口。 1.37 Git源代码泄露漏洞 漏洞描述 服务器将.git文件放在了web目录下,导致可以访问git文件内容,获取源代码。 漏洞验证 验证访问网站.git目录: 可以看到git目录可以被访问,即存在此漏洞。 漏洞危害 可以通过此漏洞,获取项目源代码。 漏洞修复 1) 删除网站目录下的.git文件 2) 中间件上设置.git目录访问权限,禁止访问 3) 防火墙上设置禁止访问此目录 1.38 PHPInfo()信息泄漏漏洞 Web站点的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息。如下图所示: 检测方法:访问http://\[ip\]/test.php 以及http://\[ip\]/phpinfo.php看是否成功。 修复方案:删除该PHP文件。 1.39 crossdomain.xml配置不当漏洞 描述:网站根目录下的文件crossdomain.xml指明了远程flash是否可以加载当前网站的资源(图片、网页内容、flash等)。 如果配置不当,可能带来CSRF攻击。如下图所示: 最受欢迎的十大WEB应用安全评估系统 在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名,但是很可惜,绝大多数都是国外人搞的,界面是英文,操作也不方便,那游侠就在这里综合下,列举下国内WEB安全评估人员常用的一些工具。当然,毫无疑问的,几乎都是商业软件,并且为了描述更准确,游侠尽量摘取其官方网站的说明: 1.IBM Rational AppScan IBM公司推出的IBM Rational AppScan产品是业界领先的应用安全测试工具,曾以Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化Web 应用的安全漏洞评估工作,能扫描和检测所有常见的Web 应用安全漏洞,例如SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)及缓冲溢出(buffer overflow)等方面安全漏洞的扫描。 游侠标注:AppScan不但可以对WEB进行安全评估,更重要的是导出的报表相当实用,也是国外产品中唯一可以导出中文报告的产品,并且可以生成各种法规遵从报告,如ISO 27001、OWASP 2007等。 2.HP WebInspect 目前,许多复杂的Web 应用程序全都基于新兴的Web 2.0 技术,HP WebInspect 可以对这些应用程序执行Web 应用程序安全测试和评估。HP WebInspect 可提供快速扫描功能、广泛的安全评估范围及准确的Web 应用程序安全扫描结果。 它可以识别很多传统扫描程序检测不到的安全漏洞。利用创新的评估技术,例如同步扫描和审核(simultaneous crawl and audit, SCA)及并发应用程序扫描,您可以快速而准确地自动执行Web 应用程序安全测试和Web 服务安全测试。 主要功能: ·利用创新的评估技术检查Web 服务及Web 应用程序的安全 ·自动执行Web 应用程序安全测试和评估 ·在整个生命周期中执行应用程序安全测试和协作 ·通过最先进的用户界面轻松运行交互式扫描 ·满足法律和规章符合性要求 ·利用高级工具(HP Security Toolkit)执行渗透测试 ·配置以支持任何Web 应用程序环境 游侠标注:毫无疑问的,WebInspect的扫描速度相当让人满意。 3.Acunetix Web Vulnerability Scanner 浅谈WEB应用安全问题及防范 随着WEB应用技术的发展,越来越多的企业或学校使用WEB应用来进行企业或学校信息开放性管理,使机构管理信息暴露在越来越多的威胁中。由于WEB应用具有一定的运行特点,传统防火墙对于其存在的安全问题缺少针对性和有效性,新的防护工具——Web应用防火墙应运而生。 标签:web应用开放性安全问题Web防火墙 随着信息资源逐渐向数据高度集中的模式,Web成为一种普适平台,Web 应用成为了越来越多的企业或学校进行核心业务及信息管理的承载者。Web应用提供了丰富的开放资源和高效率的新工作方式,但它的开放性、易用性和易开发性同样也使Web应用的安全问题日益突出,已成为了网络安全核心问题之一。 1 Web应用的工作原理和特点 Web应用程序首先是“应用程序”,和用标准的程序语言,如C、C++等编写出来的程序没有什么本质上的不同。然而Web应用程序又有自己独特的地方,就是它是基于Web的,而不是采用传统方法运行的。 目前广泛使用的Web应用程序一般是B/S模式,使用标准的三层架构模型:第一层是客户端;使用动态Web内容技术的部分属于中间层;数据库是第三层。在B/S模式中,客户端运行浏览器软件。浏览器以超文本形式向Web服务器提出访问数据库的要求,Web服务器接受客户端请求后,将这个请求转化为SQL 语法,并交给数据库服务器,数据库服务器得到请求后,验证其合法性,并进行数据处理,然后将处理后的结果返回给Web服务器,Web服务器再一次将得到的所有结果进行转化,变成HTML文档形式,转发给客户端浏览器以友好的Web 页面形式显示出来。 因此,Web应用具有以下特点: 1.1 易用性 Web应用所基于的Web浏览器的界面都很相似,对于无用户交互功能的页面,用户接触的界面都是一致的,因此Web应用的操作简单易上手。 1.2 开放性 在Web应用的B/S模式下,除了内部人员可以访问,外部的用户亦可通过通用的浏览器进行访问,并且不受浏览器的限制。 1.3 易扩展性 五个常见的Web应用漏洞及其解决方法开放Web应用安全项目(OW ASP)很快会发布今年的10大Web应用安全漏洞清单。这个清单与去年并没有太大差别,这表明负责应用设计与开发的人仍然没能解决以前那些显而易见的错误。许多最常见的Web应用漏洞仍然广泛存在,许多恶意软件搜索和攻击这些漏洞,连黑客新手都能轻松做到。 本文介绍了5个最常见的Web应用漏洞,以及企业该如何修复初级问题,对抗那些针对这些漏洞的攻击。 注入攻击和跨站脚本攻击 Web应用主要有2种最常见的严重缺陷。首先是各种形式的注入攻击,其中包括SQL、操作系统、电子邮件和LDAP注入,它们的攻击方式都是在发给应用的命令或查询中夹带恶意数据。别有用心的数据可以让应用执行一些恶意命令或访问未授权数据。如果网站使用用户数据生成SQL查询,而不检查用户数据的合法性,那么攻击者就可能执行SQL注入。这样攻击者就可以直接向数据库提交恶意SQL查询和传输命令。举例来说,索尼的PlayStation 数据库就曾经遭遇过SQL注入攻击,并植入未授权代码。 跨站脚本(XSS)攻击会将客户端脚本代码(如JavaScript)注入到Web应用的输出中,从而攻击应用的用户。只要访问受攻击的输出或页面,浏览器就会执行代码,让攻击者劫持用户会话,将用户重定向到一个恶意站点或者破坏网页显示效果。XSS攻击很可能出现在动态生成的页面内容中,通常应用会接受用户提供的数据而没有正确验证或转码。 为了防御注入攻击和XSS攻击,应用程序应该配置为假定所有数据——无论是来自表单、URL、Cookie或应用的数据库,都是不可信来源。要检查所有处理用户提供数据的代码,保证它是有效的。验证函数需要清理所有可能有恶意作用的字符或字符串,然后再将它传给脚本和数据库。要检查输入数据的类型、长度、格式和范围。开发者应该使用现有的安全控制库,如OW ASP的企业安全API或微软的反跨站脚本攻击库,而不要自行编写验证代码。此外,一定要检查所有从客户端接受的值,进行过滤和编码,然后再传回给用户。 身份验证和会话管理被攻破 Web应用程序必须处理用户验证,并建立会话跟踪每一个用户请求,因为HTTP本身不具备这个功能。除非任何时候所有的身份验证信息和会话身份标识都进行加密,保证不受其他缺陷(如XSS)的攻击,否则攻击者就有可能劫持一个激活的会话,伪装成某个用户的身份。如果一个攻击者发现某个原始用户未注销的会话(路过攻击),那么所有帐号管理功能和事务都必须重新验证,即使用户有一个有效的会话ID。此外,在重要的事务中还应该考虑使用双因子身份验证。 为了发现身份验证和会话管理问题,企业要以执行代码检查和渗透测试。开发者可以使用自动化代码和漏洞扫描程序,发现潜在的安全问题。有一些地方通常需要特别注意,其中包括会话身份标识的处理方式和用户修改用户身份信息的方法。如果没有预算购买商业版本,那么也可以使用许多开源和简化版本软件,它们可以发现一些需要更仔细检查的代码或进程。 WEB漏洞检测与评估系统实施方案 一、背景 WEB网站是互联网上最为丰富的资源呈现形式,由于其访问简单、拓展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,WEB网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据国家互联网应急中心最新监测分析报告的发布,一个令人触目惊心的数据引发各方关注:“1月4日至10日,境内被篡改政府网站数量为178个,与前一周相比大幅增长409%,其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网站,近年来各种Web网站攻击事件也是频频发生,网站SQL注入,网页被篡改、信息失窃、甚至被利用成传播木马的载体---Web安全威胁形势日益严峻。 Web网站的安全事件频频发生,究其根源,关键原因有二:一是Web网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不管是Windows还是Linux)都不时会有黑客可以远程利用的安全漏洞被发现和公布;中间层的Web服务器(IIS或Apache等)、ASP、PHP等也常会有漏洞爆出;上 层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。另一方面,目前很多Web网站的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对Web网站漏洞的攻击都是应用层的攻击,都可以通过80端口完成,所以防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限,为此,攻击性测试成为发现和解决WEB安全问题最有效和最直接的手段。 WEB漏洞检测与评估是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。WEB漏洞检测与评估系统是作为WEB检测的专用系统,用于发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。 二、概述 WEB漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体的专业自动化扫描系统,并通过扫描插件、知识库和检测结果的可拓展对其检测能力进行扩充,为实施攻击性测试对WEB信息系统进行全面的、深入的、彻底的风险评估和参数获取,全面获得目标系统的基本信息、漏洞信息、服务信息等。 三、系统部署与使用 常见WEB安全漏洞及整改建议 1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 1.2 整改建议: CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。有以下三种方法: (1).Cookie Hashing(所有表单都包含同一个伪随机值): (2).验证码 (3).One-Time Tokens(不同的表单包含一个不同的伪随机值) 1.3 案例: 1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 1.3.1 Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败. //构造加密的Cookie信息 $value = “DefenseSCRF”; setcookie(”cookie”, $value, time()+3600); ?> 在表单里增加Hash值,以认证这确实是用户发送的请求。 $hash = md5($_COOKIE['cookie']); ?> ”> 然后在服务器端进行Hash值验证 if(isset($_POST['check'])) { $hash = md5($_COOKIE['cookie']); if($_POST['check'] == $hash) { doJob(); } else { 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。 2. Paros proxy 这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。 3. WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。 4. WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。 5. Whisker/libwhisker Web应用常见的安全漏洞有哪些 随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险: 一、非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程漏洞。随着OWASP对Web应用程序脆弱性的调查,非法输入的问题已成为大多数Web应用程序安全漏洞方面的一个普遍现象。 二、失效的访问控制 Broken Access Control 大部分企业都非常关注对已经建立的连接进行控制,但是,允许一个特定的字符串输入可以让攻击行为绕过企业的控制。 三、失效的账户和线程管理 Broken Authentication and Session Management 有良好的访问控制并不意味着万事大吉,企业还应该保护用户的密码、会话令牌、 账户列表及其它任何可为攻击者提供有利信息、能帮助他们攻击企业网络的内容。 四、跨站点脚本攻击 XSS 跨站漏洞以及钓鱼式攻击 XSS,中文名称为跨站脚本,是一种很常见的脚本漏洞。因为跨站脚本攻击不能直接对系统进行攻击,所以往往被人们忽视。 由于WEB应用程序没有对用户的输入进行严格的过滤和转换,就导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现,此这种攻击能在一定程度上隐藏身份。 由于跨站脚本不能直接对系统进行攻击,所以跨站脚本总是伴随社会工程学来 实现攻击的,这种攻击的主要表现形式是钓鱼式攻击。钓鱼式攻击方式有很多,如获取Cookie, 伪造页面,屏蔽页面特定信息,与其它漏洞结合攻击操作系统等等。钓鱼式攻击是针对人脑的攻击方式,它的传播手段有EMAIL、IM、聊天室、恶意连接、游戏中的聊天系统,凡是能实现用户之间互动操作的系统都存在钓鱼式攻击的风险。 在电子商务蓬勃发展的今天,针对个人财务信息的钓鱼攻击事件数量成直线上升,其中一个主要攻击途径就是跨站脚本执行漏洞。据统计,国内外存在跨站脚本漏洞的网站多达60%, 其中包括许多大型知名网站。 这是一种常见的攻击,当攻击脚本被嵌入企业的Web页面或其它可以访问的Web 资源中,没有保护能力的台式机访问这个页面或资源时,脚本就会被启动,这种攻击可以影响企业内成百上千员工的终端电脑。 网站开发者角度,如何防护XSS攻击? 对XSS最佳的防护应该结合以下两种方法:验证所有输入数据,有效检 测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。 网站用户角度,如何防护XSS攻击? 当你打开一封Email或附件、浏览论坛帖子时,可能恶意脚本会自动执行,因此,在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭 相关名词解释、危害与整改建议 1、网站暗链 名词解释 “暗链”就是看不见的网站链接,“暗链”在网站中的链接做的非常隐蔽,短时间内不易被搜索引擎察觉。它和友情链接有相似之处,可以有效地提高PR值。但要注意一点PR值是对单独页面,而不是整个网站。 危害: 网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。 整改建议: 加强网站程序安全检测,及时修补网站漏洞; 对网站代码进行一次全面检测,查看是否有其余恶意程序存在; 建议重新安装服务器及程序源码,防止无法到检测深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入。 2、网页挂马 名词解释 网页挂马是通过在网页中嵌入恶意程序或链接,致使用户计算机在访问该页面时触发执行恶意脚本,从而在不知情的情况下跳转至“放马 站点”(指存放恶意程序的网络地址,可以为域名,也可以直接使用IP地址),下载并执行恶意程序。 危害: 利用IE浏览器漏洞,让IE在后台自动下载黑客放置在网站上的木马并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者电脑或安装恶意软件的目的。 整改建议: 加强网站程序安全检测,及时修补网站漏洞; 对网站代码进行一次全面检测,查看是否有其余恶意程序存在; 建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法检测到,导致重新安装系统后攻击者仍可利用后门进入。 3、SQL注入 名词解释 SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令。 危害: 可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。 1.1身份认证安全 1.1.1弱密码 ●密码长度6个字符以上 ●密码字符必须包含大写字母、小写字母和数字,并进行密码复杂度检查 ●强制定期更换密码 1.1.2密码存储安全 密码存储必须使用单向加密 单纯的md5,sha1容易被破解,需要添加随机的盐值salt 涉及支付及财产安全的需要更高的安全措施,单纯的密码加密已经不能解决问题。 可以考虑手机验证码、数字证书、指纹验证。 1.1.3密码传输安全 1.1.3.1密码前端加密 用户名、密码传输过程对称加密,可以使用密钥对的对称加密,前端使用公钥加密,后端使用私钥解密。 前端加密示例 注意:前端密码加密如果还用了md5加密的,先md5加密再rsa加密。 后端解密,省略了其他验证步骤 1.1.3.2启用https协议 登录页面、支付页面等高危页面强制https协议访问。 前端加密和https可以结合使用 1.2SQL注入 1.2.1描述 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应 用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 1.2.2解决办法 1.养成编程习惯,检查用户输入,最大限度的限制用户输入字符集合。 2.不要把没有检查的用户输入直接拼接到SQL语句中,断绝SQL注入的注入点。 ●SQL中动态参数全部使用占位符方式传参数。 正确 ●如果不能使用占位符的地方一定要检查SQL中的特殊符号和关键字,或者启用用户输 入白名单,只有列表包含的输入才拼接到SQL中,其他的输入不可以。 1.2.3应急解决方案 nginx 过滤规则naxsi模块 WEB漏洞检测与评估系统实施方案 WEB漏洞检测与评估系统实施方案 一、背景 WEB网站是互联网上最为丰富的资源呈现形式,由于其访问简单、拓展性好等优点,当前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,WEB网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据国家互联网应急中心最新监测分析报告的发布,一个令人触目惊心的数据引发各方关注:“1月4日至10日,境内被篡改政府网站数量为178个,与前一周相比大幅增长409%,其占境内被篡改网站总数的比例也大幅增长为31%。”不但政府网站,近年来各种Web 网站攻击事件也是频频发生,网站SQL注入,网页被篡改、信息失窃、甚至被利用成传播木马的载体---Web安全威胁形势日益严峻。 Web网站的安全事件频频发生,究其根源,关键原因有二:一是Web网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不论是Windows还是Linux)都不时会有黑客能够远程利用的 安全漏洞被发现和公布;中间层的Web服务器(IIS或Apache 等)、ASP、PHP等也常会有漏洞爆出;上层的网页程序有SQL注入漏洞、跨站脚本漏洞等Web相关的漏洞。另一方面,当前很多Web网站的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对Web网站漏洞的攻击都是应用层的攻击,都能够经过80端口完成,因此防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限,为此,攻击性测试成为发现和解决WEB安全问题最有效和最直接的手段。 WEB漏洞检测与评估是经过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,而且从这个位置有条件主动利用安全漏洞。WEB漏洞检测与评估系统是作为WEB检测的专用系统,用于发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。 二、概述 WEB漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体的专业自动化扫描系统,并经过扫描插件、知识库和检测结果的可拓展对其检测能力进行扩充,为实施攻击性测试对WEB信息系统进行全面的、深入的、彻底的风险评估和参数获取,全面获得目标系统的基本信息、漏洞信息、服务信息等。 漏洞扫描 漏洞(或计算机漏洞)是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在 Intel Pentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞,这些漏洞存在于各个方面,而且数量惊人。据卡巴斯基实验室的统计显示:仅2010年第三季度,就检测出用户计算机中的漏洞程序和文件数量约3200万个。 计算机漏洞是一个比较独特的抽象概念,它具有以下特点: 1.计算机安全漏洞的存在并不能导致损害,但是它可以被攻击者利用,从而造成对系统安全的威胁和破坏。计算机安全漏洞也不同于一般的计算机故障,漏洞的恶意利用能够影响人们的工作、生活,甚至会带来灾难的后果。 2.漏洞是普遍存在的,例如,软件编程过程中出现逻辑错误是很普遍的现象,而这些错误绝大多数都是由疏忽造成的。 3.漏洞是在硬件、软件、协议的具体实现或具体使用的过程中产生的错误,但并不是系统中存在的错误都是安全漏洞,只有能威胁到系统安全的错误才是漏洞。许多错误在通常情况下并不会对系统安全造成危害,只有被人在某些条件下故意使用时才会影响系统安全。 4.漏洞和具体的系统环境密切相关,在不同种类的软、硬件设备中,同种设备的不同版本之间,不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。 5.漏洞问题是与时间紧密相关的,而且是长期存在的。随着时间的推移,旧的漏洞会不断得到修补或纠正,而在修补或纠正旧的漏洞的同时,可能会导致一些新的漏洞或错误,而且随着用户的深入使用,系统中存在的漏洞会被不断暴露出来,因此,漏洞将会长期存在。 从广义角度来说,漏洞可以分为应用程序漏洞、网络漏洞和主机漏洞等,本章节所指漏洞专指网络服务漏洞,如POP漏洞、HTTP漏洞、FTP漏洞等。漏洞扫描通常是指基于漏洞数据库,通过扫描等手段,对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测或者渗透攻击的行为。漏洞扫描是对系统进行全方位的扫描,检查当前的系统是否有漏洞,如果有漏洞则需要马上进行修复,否则系统很容易受到网络的伤 SQL Injection(SQL 注入) 严重性 非常高 概述 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 原理 它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句 例子 程序从Http 请求中读取一个sql 查询, String sql ="SELECT * FROM accountWHERE name = 'Bob'AND password = '123'" request.getParameter(sql); ... stmt = conn.createStatement(); ... stmt.execute(sql)) 在执行execute()之前,并未进行对字符串sql检查,因此存在SQL 注入弱点。 所以,当在输入密码(password = '123')之后+加上or '1'='1'则SQL查询语句变为:SELECT * FROM accountWHERE name = 'Bob'AND password = '123'or '1'='1'这样的SQL注入会使得输入任意密码进入程序,这会使WEB程序本身和使用用户产生极大的安全威胁。 后果 ?挂蠕虫、木马、病毒、制作钓鱼网站 ?操纵受害者的浏览器、盗取用户的cookie/referer/ip等信息 防范 1.永远不要信任用户的输入,要对用户的输入输出进行校验,可以通过正则表达式,或限制长度,或者使用过滤函数,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4. 不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。 5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装,把异常信息存放在独立的表中。 Cross-Site Scripting(跨站点脚本(XSS)) 严重性 非常高 概述 它指的是恶意攻击者往Web页面或者客户端脚本的页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 原理 Stored XSS(存储式跨站脚本攻击) 这是最强大的一种XSS攻击,所谓存储跨站攻击是指用户提交给Web应用程序的数据首先就被永久的保存在服务器的数据库,文件系统或其他地方,后面且未做任何编码就能显示到Web页面。 Reflected XSS(反射跨站脚本攻击) 当Web客户端提交数据后,服务器端立刻为这个客户生成结果页面,如果结果页面中包含未验证的客户端输入数据,那么就会允许客户端的脚本直接注入到动态页面中。传统的例子是站点搜索引擎,如果我们搜索一个包含特殊HTML字符的字符串时,通常在返回页面 本文主要告诉大家好用的web漏洞扫描工具有哪些,众所周知,网站中存在漏洞会让企业网站出现不能进入或者缺少内容等问题,甚至会存在竞争对手或者黑客利用漏洞恶意修改公司网站,故此找出漏洞的所在实为关键,web漏洞扫描工具有哪些?下面为大家简单的介绍一下。 新一代漏洞扫描系统──快速系统扫描各种漏洞 铱迅漏洞扫描系统(英文:Yxlink Network Vulnerability Scan System,简称:Yxlink NVS),是支持IP地址段批量反查域名、内网穿透扫描的专业漏洞扫描器,可支持主机漏洞扫描、Web漏洞扫描、弱密码扫描等。 铱迅漏洞扫描系统可以广泛用于扫描数据库、操作系统、邮件系统、Web服务器等平台。通过部署铱迅漏洞扫描系统,快速掌握主机中存在的脆弱点,能够降低与缓解主机中的漏洞造成的威胁与损失。 批量扫描 传统的漏洞扫描产品,仅仅可以扫描指定的域名,而铱迅漏洞扫描系统允许扫描一个大型的IP地址段,通过铱迅基础域名数据库,反查每个IP地址中指向的域名,再进行扫描,大大增加扫描的效率,增强易操作度。 庞大漏洞库支撑 铱迅漏洞扫描系统拥有全面的漏洞库和即时更新能力,是基于国际CVE标准建立的,分为紧急、高危、中等、轻微、信息五个级别,提供超过5万条以上的漏洞库,可以全面扫描到各种类型的漏洞。 远程桌面弱口令探测 铱迅漏洞扫描系统,是唯一可以提供远程桌面(3389服务)弱口令探测功能的安全产品。如果计算机存在远程桌面弱口令,攻击者就可以直接对计算机进行控制。 CVE、CNNVD、Metasploit编号兼容 铱迅漏洞扫描系统,兼容CVE、CNNVD、Metasploit编号。为客户提供CVE兼容的漏洞数据库,以便达到更好的风险控制覆盖范围,实现更容易的协同工作能力,提高客户整个企业的安全能力。注:CVE,是国际安全组织Common Vulnerabilities & Exposures 通用漏洞披露的缩写,为每个漏洞和暴露确定了唯一的名称。 可利用漏洞显示 铱迅漏洞扫描系统,可以结合Metasploit(注:Metasploit是国际著名的开源安全漏洞检测工具),提示哪些漏洞是可以被攻击者利用,这样网络管理者可以优先对于可利用的漏洞进行修补。 下面来看一看铱迅漏洞扫描系统有哪些型号吧。 产品型号——简要描述 Yxlink NVS-2000——1U,5个任务并发,限制扫描指定256个IP地址 Yxlink NVS-2020——1U,3个任务并发,不限IP地址扫描 Yxlink NVS-2020P——采用专用便携式硬件设备,3个任务并发,不限IP地址扫描Yxlink NVS-6000——1U,20个任务并发,限制扫描指定1024个IP地址 Yxlink NVS-6020——1U,15个任务并发,不限IP地址扫描 Yxlink NVS-6020P——采用专用便携式硬件设备,15个任务并发,不限IP地址扫描Yxlink NVS-8000——2U,40个任务并发,限制扫描指定2048个IP地址 Yxlink NVS-8020——1U,30个任务并发,不限IP地址扫描 EMA服务管理平台二期扩容安全验收 漏洞修复总结 2011年5月 目录 1WEB安全介绍 (1) 2SQL注入、盲注 (1) 2.1SQL注入、盲注概述 (1) 2.2安全风险及原因 (2) 2.3A PP S CAN扫描建议 (2) 2.4应用程序解决方案 (4) 3会话标识未更新 (7) 3.1会话标识未更新概述 (7) 3.2安全风险及原因分析 (8) 3.3A PP S CAN扫描建议 (8) 3.4应用程序解决方案 (8) 4已解密登录请求 (9) 4.1已解密登录请求概述 (9) 4.2安全风险及原因分析 (9) 4.3A PP S CAN扫描建议 (9) 4.4应用程序解决方案 (9) 5跨站点请求伪造 (11) 5.1跨站点请求伪造概述 (11) 5.2安全风险及原因分析 (12) 5.3A PP S CAN扫描建议 (13) 5.4应用程序解决方案 (13) 6不充分账户封锁 (13) 6.1不充分账户封锁概述 (13) 6.2安全风险及原因分析 (13) 6.3A PP S CAN扫描建议 (14) 6.4应用程序解决方案 (14) 7启用不安全HTTP方法 (14) 7.1启用不安全HTTP方法概述 (14) 7.2安全风险及原因分析 (15) 7.3A PP S CAN扫描建议 (15) 7.4应用程序解决方案 (15) 8HTTP注释敏感信息 (16) 8.1HTTP注释敏感信息概述 (16) 8.2安全风险及原因分析 (16) 8.3A PP S CAN扫描建议 (16) 8.4应用程序解决方案 (17) 9发现电子邮件地址模式 (17) W E B漏洞检测与评估系统实施方案一、背景 WEB网站是互联网上最为丰富的资源呈现形式,由于其访问简单、拓展性好等优点,目前在资讯、电子政务、电子商务和企业管理等诸多领域得到了广泛的应用。与此同时,WEB网站也面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。根据国家互联网应急中心最新监测分析报告的发布,一个令人触目惊心的数据引发各方关注:“1月4日至10日,境内被篡改政府网站数量为178个,与前一周相比大幅增长409%,其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网站,近年来各种Web网站攻击事件也是频频发生,网站SQL注入,网页被篡改、信息失窃、甚至被利用成传播木马的载体---Web安全威胁形势日益严峻。 Web网站的安全事件频频发生,究其根源,关键原因有二:一是Web 网站自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。Web网站的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个Web网站受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不管是Windows还是Linux)都不时会有黑客可以远程利用的安全漏洞被发现和公布;中间层的Web服务器(IIS或Apache等)、ASP、PHP 等也常会有漏洞爆出;上层的网页程序有SQL注入漏洞、跨站脚本漏洞等 Web相关的漏洞。另一方面,目前很多Web网站的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对Web网站漏洞的攻击都是应用层的攻击,都可以通过80端口完成,所以防火墙对这类攻击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限,为此,攻击性测试成为发现和解决WEB安全问题最有效和最直接的手段。 WEB漏洞检测与评估是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。WEB漏洞检测与评估系统是作为WEB检测的专用系统,用于发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。 二、概述 WEB漏洞检测与评估系统是集基本信息扫描、操作系统指纹扫描、开放服务扫描、OS漏洞扫描、WEB漏洞扫描于一体的专业自动化扫描系统,并通过扫描插件、知识库和检测结果的可拓展对其检测能力进行扩充,为实施攻击性测试对WEB信息系统进行全面的、深入的、彻底的风险评估和参数获取,全面获得目标系统的基本信息、漏洞信息、服务信息等。三、系统部署与使用 用户通过账户和密码登录到扫描服务器系统,进入扫描任务,输入任务名称和扫描目标主机的网址或IP,选择需要进行扫描的模块(主要包括 Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用,Web应用已经融入到日常生活中的各个方面:网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web 访问中,大多数应用不是静态的网页浏览,而是涉及到服务器侧的动态处理。此时,如果Java、PHP、ASP 等程序语言的编程人员的安全意识不足,对程序参数输入等检查不严格等,会导致Web应用安全问题层出不穷。 本文根据当前Web应用的安全情况,列举了Web应用程序常见的攻击原理及危害,并给出如何避免遭受Web 攻击的建议。 1Web应用漏洞原理 Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看、修改未授权的信息。 1.1Web应用的漏洞分类 1、信息泄露漏洞 信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。 造成信息泄露主要有以下三种原因: ?Web服务器配置存在问题,导致一些系统文件或者配置文件暴露在互联网中; ?Web服务器本身存在漏洞,在浏览器中输入一些特殊的字符,可以访问未授权的文件或者动态脚本文件源码; ?Web网站的程序编写存在问题,对用户提交请求没有进行适当的过滤,直接使用用户提交上来的数据。 2、目录遍历漏洞 目录遍历漏洞是攻击者向Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加“../”、或者附加“../”的一些变形(如“..\”或“..//”甚至其编码),导致攻击者能够访问未授权的目录,以及在Web服务器的根目录以外执行命令。 3、命令执行漏洞 命令执行漏洞是通过URL发起请求,在Web服务器端执行未授权的命令,获取系统信息,篡改系统配置,控制整个系统,使系统瘫痪等。 命令执行漏洞主要有两种情况: 扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐10大Web漏洞扫描程序,供您参考。 1. Nikto 这是一个开源的Web服务器扫描程序,它可以对Web服务器的多种项目(包括3500个潜在的危险文件/CGI,以及超过900个服务器版本,还有250多个服务器上的版本特定问题)进行全面的测试。其扫描项目和插件经常更新并且可以自动更新(如果需要的话)。 Nikto可以在尽可能短的周期内测试你的Web服务器,这在其日志文件中相当明显。不过,如果你想试验一下(或者测试你的IDS系统),它也可以支持LibWhisker的反IDS方法。 不过,并非每一次检查都可以找出一个安全问题,虽然多数情况下是这样的。有一些项目是仅提供信息(“info only” )类型的检查,这种检查可以查找一些并不存在安全漏洞的项目,不过Web管理员或安全工程师们并不知道。这些项目通常都可以恰当地标记出来。为我们省去不少麻烦。 2. Paros proxy 这是一个对Web应用程序的漏洞进行评估的代理程序,即一个基于Java的web代理程序,可以评估Web应用程序的漏洞。它支持动态地编辑/查看HTTP/HTTPS,从而改变cookies 和表单字段等项目。它包括一个Web通信记录程序,Web圈套程序(spider),hash 计算器,还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。 3. WebScarab 它可以分析使用HTTP 和HTTPS协议进行通信的应用程序,WebScarab可以用最简单地形式记录它观察的会话,并允许操作人员以各种方式观查会话。如果你需要观察一个基于HTTP(S)应用程序的运行状态,那么WebScarabi就可以满足你这种需要。不管是帮助开发人员调试其它方面的难题,还是允许安全专业人员识别漏洞,它都是一款不错的工具。 4. WebInspect 这是一款强大的Web应用程序扫描程序。SPI Dynamics的这款应用程序安全评估工具有助于确认Web应用中已知的和未知的漏洞。它还可以检查一个Web服务器是否正确配置,并会尝试一些常见的Web攻击,如参数注入、跨站脚本、目录遍历攻击(directory traversal)等等。 5. Whisker/libwhisker Libwhisker是一个Perla模块,适合于HTTP测试。它可以针对许多已知的安全漏洞,测试HTTP服务器,特别是检测危险CGI的存在。Whisker是一个使用libwhisker的扫描程序。 6. Burpsuite 这是一个可以用于攻击Web应用程序的集成平台。Burp套件允许一个攻击者将人工的和自 Web应用中常见39种不同的安全漏洞漏洞分析及检查方法 1.1SQL注入漏洞 风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。 漏洞危害: 1) 机密数据被窃取; 2) 核心业务数据被篡改; 3) 网页被篡改; 4) 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。 修复建议: 1)在网页代码中对用户输入的数据进行严格过滤;(代码层) 2)部署Web应用防火墙;(设备层) 3)对数据库操作进行监控。(数据库层) 代码层最佳防御sql漏洞方案:采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。 原因:采用了PreparedStatement,就会将sql语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析sql 命令,比如select ,from ,where ,and, or ,order by 等等。所以即使你后面输入了这些sql命令,也不会被当成sql命令来执行了,因为这些sql命令的执行,必须先的通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为sql命令来执行的,只会被当做字符串字面值参数,所以sql语句预编译可以防御sql注入。 其他防御方式:正则过滤 1.2目录遍历漏洞 风险等级:中危 漏洞描述: 通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API、文件标准权限进行攻击。 漏洞危害: 黑客可获得服务器上的文件目录结构,从而下载敏感文件。 修复建议: 1)通过修改配置文件,去除中间件(如IIS、apache、tomcat)的文件目录索引功能 2)设置目录权限 3)在每个目录下创建一个空的index.html页面。 1.3跨站脚本漏洞 即XSS漏洞,利用跨站脚本漏洞可以在网站中插入任意代码,它能够获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘。最受欢迎的十大WEB应用安全评估系统
浅谈WEB应用安全问题及防范
五个常见的Web应用漏洞及其解决方法
WEB漏洞检测与评估系统实施方案
常见WEB安全漏洞及整改建议
十大Web服务器漏洞扫描工具
十大常见漏洞
常见安全漏洞的处理及解决方法
常见安全漏洞和解决方案
WEB漏洞检测与评估系统实施方案
实验08 Web漏洞扫描
web应用常见安全漏洞
web漏洞扫描工具有哪些
javaWeb安全验证漏洞修复总结
WEB漏洞检测与评估系统实施方案
web应用的漏洞分类
十大Web安全扫描工具
Web应用中常见39种不同的安全漏洞漏洞分析及检查方法