黑客大曝光第七周

黑客大曝光6/24/20231黑客攻擊與防范第4部分軟件攻擊主要內(nèi)容：第11章攻擊應(yīng)用代碼11.1常見的安防漏洞利用技術(shù)11.2通用性防范措施第12章Web攻擊12.1攻擊Web服務(wù)器12.2針對Web應(yīng)用程序的攻擊6/24/20232黑客攻擊與防范6/24/20233黑客攻擊與防范6/24/20234黑客攻擊與防范第4部分軟件攻擊案例研究：黑客中的黑客……Jack在計算機的行業(yè)里，總是自己去發(fā)現(xiàn)漏洞，但從來不公開自己的發(fā)現(xiàn)，今天他接到一個任務(wù)：Solaris平臺上的遠程9OpenSSH3.9p1。幾分種后，他啟動了GrammaTeck公司的CodeSurfer工具開始對OpenSSH的源代碼進行檢查，并發(fā)現(xiàn)了這個軟件的323潛在漏洞。隨后他用hping2工具構(gòu)造了一個簡單的數(shù)據(jù)包去攻擊發(fā)現(xiàn)的一個漏洞，OppenSSH幾乎是立刻就死機了。他知道這個任務(wù)已經(jīng)完成了。6/24/20235黑客攻擊與防范第11章攻擊應(yīng)用代碼

因種種失誤而導(dǎo)致的代碼級缺陷是幾乎所有安防問題的核心。不論是供應(yīng)商的失誤、Web開發(fā)人員的失誤、配置失誤還是用戶違反了安防策略，只要是代碼級缺陷就會給我們的生活帶來或大或小的災(zāi)難。我們身邊有許多種信息安防產(chǎn)品和信息安防服務(wù)，但它們往往只能解決信息安防問題的表面現(xiàn)象而掩蓋了問題的核心，如果你們想從根本上解決問題，唯一的辦法是了解你們自己的安防漏洞并妥善地處理好它們。這里所說的“最核心的問題”是軟件開發(fā)人員和系統(tǒng)管理員幾乎會在它們拿出來的每一樣?xùn)|西上留下代碼缺陷或安防漏洞，可能是一行程序代碼，也可能是一條安防策略、還可能是服務(wù)器上的一項默認設(shè)置。既然這些問題都是人造成的，能夠減少和糾正它們的也只有人了；這種認識是討論代碼安防問題時必須具備的基本理念。6/24/20236黑客攻擊與防范11.1常見的安防漏洞利用技術(shù)緩沖區(qū)溢出漏洞，這個概念很早就出現(xiàn)了，直到20世紀90年代中期利用緩沖區(qū)溢出漏洞的攻擊手段大量的出現(xiàn)，它才成為一種廣為人知的惡劣漏洞。幾年后登場的是利用Libc漏洞的攻擊手段。再幾年后是格式字符漏洞、緩沖區(qū)“加減1”溢出漏洞和數(shù)據(jù)庫漏洞。再往后出現(xiàn)了Web的攻擊手段。現(xiàn)在人們面對的是整數(shù)溢出漏洞。雖說人們在每一種新的漏洞和攻擊手段出現(xiàn)之后都開發(fā)出了一些可以防止黑客利用它們?nèi)ジ闫茐牡漠a(chǎn)品，但現(xiàn)實卻是沒有一種產(chǎn)品或服務(wù)能解決所有的問題。它們需要從源頭——即軟/硬件開發(fā)人員和系統(tǒng)管理員——加以解決。6/24/20237黑客攻擊與防范11.1.1緩沖區(qū)溢出和產(chǎn)品設(shè)計缺陷

每天這個世界都會因為軟/硬件開發(fā)人員的種種失誤而增加無數(shù)的缺陷或漏洞。不管它是商業(yè)化軟件的代碼還是開放源代碼項目，這些缺陷都會對其保密性、完整性和可用性造成了巨大的損害。最早出現(xiàn)的關(guān)于緩沖區(qū)溢出漏洞的分析文章有Mudge在1995年發(fā)表的《HowtoWriteBufferOverflows》和Alephl在1996年發(fā)表的《SmashingStackForFunAndProfit》這兩篇文章都虛心地討論了緩沖區(qū)溢出的概念并提供證明代碼。6/24/20238黑客攻擊與防范堆棧緩沖區(qū)溢出流行度:10簡單度:7影響力:10風(fēng)險率:9基于堆棧緩沖區(qū)溢出是最簡單和最惡劣的緩沖區(qū)溢出漏洞，他們通常會讓黑客得到它們想要得到的一切，它的工作原理是：堆棧是函數(shù)在調(diào)用其他函數(shù)時使用的一段計算機內(nèi)存。在利用一個緩沖區(qū)溢出漏洞去攻擊某個系統(tǒng)的時候，黑客的目的是把執(zhí)行流從函數(shù)到函數(shù)的正常執(zhí)行順序改變?yōu)橛晒粽甙才诺牧硪环N執(zhí)行順序。堆棧里容納著數(shù)據(jù)，其中包括函數(shù)的私用變量、函數(shù)的參數(shù)和一樣最危險的東西——函數(shù)在執(zhí)行完畢時將要返回的那條指令的地址。當函數(shù)A調(diào)用函數(shù)B時，CPU需要知道B在結(jié)束時將到什么地方去繼續(xù)執(zhí)行。這項數(shù)據(jù)就保存在堆棧里，緊跟在局部變量的后面。攻擊者正是利用這一點：他可以按照自己的想法把這個返回地址設(shè)置為任意的值。這樣他就可以把正常的執(zhí)行流改變?yōu)樗胍娜魏螙|西。6/24/20239黑客攻擊與防范堆溢出/BSS溢出/數(shù)據(jù)溢出流行度:8簡單度:5影響力:9風(fēng)險率:7顧名思義，堆溢出覆蓋的是堆而不是堆棧?！岸选笔浅绦蛟趫?zhí)行時用來分配動態(tài)存儲空間的一段計算機內(nèi)存。堆里沒有可供覆蓋的函數(shù)返回地址；堆溢出攻擊手段覆蓋的是重要的變量或那些包含著地址數(shù)據(jù)的堆塊結(jié)構(gòu)。一旦攻擊者設(shè)法覆蓋了一項帶有“AccessAllowed”設(shè)置的權(quán)限，他就可以獲得不受限制的訪問有關(guān)服務(wù)或計算機系統(tǒng)的權(quán)限。堆棧還有可能讓攻擊者訪問到存放在發(fā)生溢出的緩沖區(qū)后面的函數(shù)指針，如果出現(xiàn)這種情況，攻擊者就可以覆蓋掉那個函數(shù)指針把它指向他自己的代碼。因為空閑內(nèi)存是隨機散布在整個內(nèi)存空間里的，所以發(fā)生堆溢出的內(nèi)存位置要比堆棧溢出難以預(yù)料得多。6/24/202310黑客攻擊與防范格式字符串攻擊流行度:6簡單度:7影響力:9風(fēng)險率:7格式字符串攻擊的基本思路也是通過覆蓋某個內(nèi)存區(qū)域讓攻擊者獲得對CPU執(zhí)行流的控制權(quán)。格式字符串攻擊利用的是程序沒有按正確方法使用的函數(shù)——其中尤以向屏幕輸出文字內(nèi)容的Printf（）系列函數(shù)最引人注意。例：部分程序員習(xí)慣使用這個函數(shù)的簡化格式Printf(my_name)Printf函數(shù)并不知道程序員沒有提供格式字符串，但它需要知道怎樣打印那些變量才是正確的，所以他會去掃描整個my_name字符串里有沒有諸如“%s”和“%n”之類的格式字符，每發(fā)現(xiàn)一個特殊的格式字符，就會從堆棧里檢索出一個它認為適當?shù)淖兞刻鎿Q掉格式字符串。最壞的情況是攻擊者利用精心構(gòu)造的輸入數(shù)據(jù)在他指定的內(nèi)存位置寫入數(shù)據(jù)。6/24/202311黑客攻擊與防范“加減1”錯誤流行度:5簡單度:9影響力:7風(fēng)險率:7程序員也是人，所以他們也會犯錯誤。程序設(shè)計工作中“加減1”錯誤是這個問題的又一個例子，而且是一個經(jīng)常有人會犯的錯誤。簡單的說“加減1”錯誤多發(fā)生在程序員編寫出來的條件語句沒有考慮到某些個特例的場合。

例：if（id<0||id>channels_alloc）

上例本意是“當id小于０或者大于channels_alloc時條件成立，但這個代碼忽略了一個特例，如果變量id等于變量channels_alloc時的值該怎么辦？如果出現(xiàn)這種特例，攻擊者就可以偽裝成一位合法的用戶完成登陸并獲得相應(yīng)的權(quán)限。6/24/202312黑客攻擊與防范11.1.2輸入檢查攻擊輸入檢查攻擊與緩沖區(qū)溢出的情況大同小異。究其根源，他們都是因為程序員對來自用戶的輸入數(shù)據(jù)檢查得不夠全面細致而留下的漏洞。這個漏洞輕則會讓程序在接受輸入數(shù)據(jù)時發(fā)生死機，重則會讓某些不應(yīng)該發(fā)生的事情發(fā)生，而后果很可能是災(zāi)難性的——比如拒絕服務(wù)、身份假冒、系統(tǒng)被全面攻陷等?？傊?，其危害性毫不遜于堆棧溢出。6/24/202313黑客攻擊與防范同義異名攻擊流行度:5簡單度:9影響力:7風(fēng)險率:7同義異名處理是把同一個單詞的各種各樣的字符拼寫形式解析為一個標準化的名字或字符的過程，這種處理的結(jié)果就是所謂的“標準名”或“完整名”。如果某個Web服務(wù)器是在對來自用戶的輸入數(shù)據(jù)進行子目錄遍歷規(guī)則檢查之后才進行同義異名處理的話，就會給攻擊者留下可乘之機。對于下面這個URL地址，絕大數(shù)Web服務(wù)器的URL分析器都不會予以放行，因為它里面包含的“../”字符序列是公認的問題輸入：/scripts/../../../../winnt/system32/cmd.exe?/c+dir但如果把幾個關(guān)鍵的斜線字符（/）替換為這個字符的超長UTF-8表示形式（%c0%af）或是這個字符的其它同義異名表示形式，有這個漏洞的IIS4就會因為識別不出它們代表著斜線而允許字目錄遍歷操作的進行。6/24/202314黑客攻擊與防范11.2通用性防范措施

與其他IT領(lǐng)域里的情況一樣，任何問題的產(chǎn)生和解決都離不開人、流程和技術(shù)這三大要素。本章將介紹一些有助于提高軟件安全性的非技術(shù)性措施。6/24/202315黑客攻擊與防范11.2.1人:改變企業(yè)文化安全意識只是融入軟件開發(fā)企業(yè)本身的企業(yè)文化才能得到提高。下面是一些該方面的建議：采取緩和的態(tài)度，不論你們身處何種企業(yè)，在試圖改變產(chǎn)品開發(fā)流程的時候，千萬不要低估因此而產(chǎn)生的影響實行嚴厲的措施安全意味著質(zhì)量和效率把安全問題寫進企業(yè)的規(guī)章制度效果、效果、效果，這也是必須給予高度重視的考慮因素。責(zé)任，要在企業(yè)的組織結(jié)構(gòu)框架內(nèi)建立一個安全責(zé)任模型并遵守之6/24/202316黑客攻擊與防范11.2.2流程:產(chǎn)品開發(fā)過程中的安全問題一些機構(gòu)或?qū)＜彝扑]的最佳實踐簡要提綱：為開發(fā)團隊指派一名安全監(jiān)督員教育、教育、教育，從培訓(xùn)開始樹立SDL意識建立威脅模型，先判斷出哪些因素會對最終產(chǎn)品構(gòu)成安防威脅、再在產(chǎn)品的開發(fā)過程中做出相應(yīng)的改變以消除那些威脅。代碼審查產(chǎn)品安全性測試，包括異常輸入測試和穿刺測試審計或產(chǎn)品安全性驗收產(chǎn)品的升級和維護6/24/202317黑客攻擊與防范11.2.3技術(shù)一些可以幫助開發(fā)出更安全的應(yīng)用程序的技術(shù)：１.受控執(zhí)行環(huán)境把自己的軟件產(chǎn)品遷移到一種受控執(zhí)行環(huán)境——比如Sun公司和微軟公司的.NETFramework里去，用這些環(huán)境開發(fā)出來的代碼都采用了先進的內(nèi)存管理技術(shù)，它們將執(zhí)行在一個受到保護的“沙箱”里，這種沙箱可以大大減少安防漏洞導(dǎo)致安防災(zāi)難的可能性。2.輸入檢查專用庫提高軟件安全性的終極手段就是對輸入數(shù)據(jù)作全面、細致、嚴格的檢查。3.對軟件開發(fā)平臺進行升級密切關(guān)注諸如微軟DataExecutionProtection機制之類的新技術(shù)發(fā)展。6/24/202318黑客攻擊與防范11.2.4推薦閱讀材料下面是一些最有價值的該方面的參考讀物SecurityAcrossTheSoftwareDvelopmentLifecyleTaskForce,2004年4月發(fā)表的一份報告，對本章涉及的許多問題進行了深入的探討。Howard，Leblanc.WritingSecureCode.2ndEdition.MicrosoftPress2002.這本書獲得了2003年RSA工業(yè)領(lǐng)域創(chuàng)新獎，是軟件安防領(lǐng)域的權(quán)威著作。對Web應(yīng)用程序的安全問題感興趣的，推薦由J.D.Meier等人合寫的BuildingSecureASP.NETApplications和ImprovingWebApplicationSecurity:ThreadsandCountermeasures兩篇文章。Kozioletal.TheShellcoder'sHandbook:DiscoveringandExplotingSecurityHolesJohnWiley&Sons,2004Harrisetal.GrayHatHacking:TheEthicalHacker'sHandbook.McGraw-Hill/Osborne,20046/24/202319黑客攻擊與防范11.3小節(jié)

軟件編程錯誤是威脅數(shù)字世界安全的頭號敵人，但這些錯誤卻非常容易犯。只要計算機稍有差錯或精神稍不集中，程序員就會在應(yīng)用程序里留下一個嚴重的安防缺陷，進而給企業(yè)和最終用戶造成巨大的損失。我們無力改變?nèi)祟惖募w行為模式，但我們可以通過一個可靠的、可審計的軟件開發(fā)流程來解決這個問題。6/24/202320黑客攻擊與防范6/24/202321黑客攻擊與防范第12章Web攻擊WorldWideWeb的擴張速度快的驚人。每一種新出現(xiàn)的Web應(yīng)用程序軟件和每一家剛把服務(wù)器接入Web的電子商務(wù)公司也都有可能成為惡意黑客的攻擊目標。Web的巨大成功正使它成為全世界黑客首選攻擊目標。一方面是網(wǎng)絡(luò)的疆界越來越大，另一個方面是防火墻在高級黑客利用“80端口”上的合法通信而發(fā)起的攻擊面前越來越無能為力，所有這些使事態(tài)變得越來越嚴峻。6/24/202322黑客攻擊與防范12.1攻擊Web服務(wù)器

早期的Web攻擊技術(shù)利用的基本上都是Web“服務(wù)器”軟件和相關(guān)軟件包里的漏洞——而不是利用應(yīng)用程序邏輯本身，但這種區(qū)別現(xiàn)在已經(jīng)相當模糊了。這一章討論的重點將放在Web應(yīng)用程序邏輯本身，對那些與比較流行的Web服務(wù)器平臺軟件組合——如微軟的IIS/ASP/ASP.NET、Linux/Apache/MYSOL/PHP、BEA公司的Weblogic、IBM公司的Websphere、J2EE等——有關(guān)的安防漏洞將只是簡單地介紹一下。這類漏洞通常已廣為人知，既容易發(fā)現(xiàn)，又容易攻擊。只要弄到正確的工具并按已知步驟進行操作，攻擊者在幾分鐘之內(nèi)就能攻陷一個未經(jīng)防護的Web服務(wù)器。6/24/202323黑客攻擊與防范Web服務(wù)器中的安防漏洞主要分為以下幾大類:樣板文件源代碼泄漏資源解析服務(wù)器功能擴展模塊輸入檢查6/24/202324黑客攻擊與防范12.1.1樣板文件為了讓更多的人接受和依賴他們的技術(shù)，Web平臺的供應(yīng)上經(jīng)常發(fā)布一些樣板腳本和代碼演示自己平臺一些新奇的用法。這些樣板文件往往編寫的很倉促，所以經(jīng)常會有一些嚴重的缺陷。人們在微軟公司的IIS4.0里發(fā)現(xiàn)了一個典型的“樣板文件”漏洞，它允許攻擊者下載ASP代碼。這個具體例子里的罪魁禍首是IIS4默認安裝的樣板文件showcode.asp和codebrews.asp,遠程攻擊者可以利用這兩個文件去查看目標服務(wù)器上的其他文件，它只需發(fā)出如下所示的URL請求即可:01/msadc/samples/SELECTOR/showcode.asp?source=/../../../../../boot.ini6/24/202325黑客攻擊與防范12.1.2源代碼泄漏源代碼泄漏漏洞可以讓心懷叵測的用戶查看到?jīng)]有防護措施的Web服務(wù)器上的應(yīng)用程序文件源代碼。在特定條件下，攻擊者甚至可以利用這些漏洞和其他黑客技術(shù)查看到重要的系統(tǒng)級文件如/etc/passwd、global.asa等的內(nèi)容。最經(jīng)典的源代碼泄漏漏洞包括IIS上的“+.htr”漏洞。ApacheTomcat和BEAWeblogic也存在著類似問題，只是這次是在請求JaveServerPages(JSP)頁面的請求尾部追加幾個特殊的字符而已。例：http://www.iisvictim.example/global.asa+.htrhttp://www.weblogicserver.example/index.js%70目前，這幾家供應(yīng)商已把這些漏洞補好了，而且還發(fā)布了一些臨時性的補救措施（如刪除showcode.asp和codebrews.asp腳本文件）。6/24/202326黑客攻擊與防范12.1.3資源解析攻擊“資源解析”就是把同一資源的不同表示形式解析為它的標準化名稱的過程。需要根據(jù)資源名來做出安防決定的應(yīng)用程序很容易受到愚弄而去執(zhí)行一些“自選”動作，這就是所謂的“資源解析攻擊”微軟IIS軟件里的“ASP::$DATA”漏洞是人們在主流Web平臺上最早發(fā)現(xiàn)的資源解析問題之一。這個漏洞由PaulAshton首先發(fā)表在Bugtraq網(wǎng)站上，它允許攻擊者下載到ActiveServerPage源代碼而不是把他們提交給IISASP引擎進行動態(tài)渲染。這個漏洞很容易利用，所以在“腳本小子”當中相當時髦。在發(fā)現(xiàn)一個ASP頁面后，簡單的輸入下面這樣的URL:01/scripts/file.asp::$DATA尼姆達蠕蟲就是利用該方面的漏洞而進行傳播。6/24/202327黑客攻擊與防范12.1.4服務(wù)器功能擴展模塊Web服務(wù)器上的問題大都是它的功能擴展模塊招來的。這些精干的小代碼庫為核心HTTP引擎增加了許多方便的功能，其中包括動態(tài)代碼執(zhí)行、站點索引、internetPrintingProtocol、WebDistributedAuthoringandVersioning、SecureSocketLayer等。這些增模塊像流星一樣閃亮登場，但很快就默然消失，他們在附加功能與安全性上難以兩全。由DanielDocekal最先發(fā)表在Bugtraq網(wǎng)站上的微軟WebDAV模塊Translate:f漏洞非常有代表性:攻擊者利用一個精心構(gòu)造的輸入讓W(xué)eb服務(wù)器調(diào)用執(zhí)行了一個有漏洞的增值模塊。利用Translate:f漏洞的攻擊時這樣的:向Web服務(wù)器發(fā)送一個精心構(gòu)造的HTTPGET請求，讓它返回一個服務(wù)器段的可執(zhí)行腳本或相關(guān)的文件類型。這些文件本應(yīng)該在服務(wù)器上被調(diào)用執(zhí)行，不應(yīng)該被發(fā)送到客戶端，但那個惡意請求卻會讓IIS把這類文件的內(nèi)容直接發(fā)送給遠程客戶而不是調(diào)用相應(yīng)的腳本引擎去執(zhí)行它。這種惡意HTTPGET請求的關(guān)鍵之處有兩個:一個特殊的HTTP標頭，這個標頭以Translate:f結(jié)尾；一個追加在URL尾部的反斜杠（\）。6/24/202328黑客攻擊與防范12.1.5緩沖區(qū)溢出致命的緩沖區(qū)溢出攻擊代表著黑客技術(shù)的巔峰。Web服務(wù)器軟件也是由程序員編寫的，自然也就難免因程序員考慮不周、編程不當而造成的緩沖區(qū)溢出漏洞，服務(wù)器平臺上的緩沖區(qū)溢出漏洞有很多?！癐ISHTR數(shù)據(jù)塊編碼”堆溢出漏洞對MicrosoftIIS4.0、5.0和5.1都有影響。攻擊者可以利用這個漏洞發(fā)出遠程拒絕服務(wù)攻擊或是以IWAM_MACHINENAME用戶權(quán)限遠程執(zhí)行惡意代碼。在IIS的IndexingService功能擴展模塊里也發(fā)現(xiàn)了緩沖區(qū)溢出漏洞，該漏洞的利用辦法是向沒有打補丁的服務(wù)器發(fā)出.ida或.idq請求；曾經(jīng)肆虐意一時的“紅色代碼”蠕蟲利用的就是這個漏洞。CGI程序wwwcount是一個很流行的網(wǎng)絡(luò)訪問量計數(shù)器，這個腳本里也存在緩沖區(qū)溢出漏洞。這個漏洞能夠讓一位遠程攻擊者在本地系統(tǒng)上遠程執(zhí)行任意代碼。6/24/202329黑客攻擊與防范12.1.6Web服務(wù)器漏洞掃描器有好幾種自動化的安防攻擊能幫助你迅速查處Web服務(wù)器軟件中層出不窮的各種隱患。被人們稱為“Web服務(wù)器漏洞掃描器”的這類工具能迅速掃出幾十、甚至幾百種一直的安防漏洞。NiktoNikto是Web服務(wù)器漏洞掃描器的一種，它對Web服務(wù)器進行的測試相當全面，可以掃描出很多種已知的安防漏洞。Nikto工具可以從/code/nikto.shtml站點下載。它的漏洞特征數(shù)據(jù)庫升級得相當頻繁，這是它能夠?qū)θ魏我环N新發(fā)現(xiàn)的安防漏洞做出快速反應(yīng)。6/24/202330黑客攻擊與防范12.1.7Whisker2.0Whisker是一個有不少特色功能的Web服務(wù)器漏洞掃描器，它的下載地址是/whisker-2.0.tR.gz?download6/24/202331黑客攻擊與防范12.2針對Web應(yīng)用程序的攻擊這里所說的“針對Web應(yīng)用程序的攻擊”指的是以各種Web應(yīng)用程序——即由Web服務(wù)器軟件調(diào)用執(zhí)行的應(yīng)用程序——為目標的攻擊活動，它們與針對Web服務(wù)器軟件本身的攻擊行為是有區(qū)別的。很多針對Web服務(wù)器的攻擊技術(shù)——比如使用畸形的輸入數(shù)據(jù)、破解口令字、竊聽會話過程等——也可以用來攻擊Web應(yīng)用程序。這兩類攻擊活動的主要區(qū)別在于攻擊目標的不同:“針對Web應(yīng)用程序的攻擊”以某個特定的Web應(yīng)用軟件的程序代碼為攻擊目標，而這個軟件很可能“只此一家，別無分號”；“針對Web服務(wù)器的攻擊”則是以某一種Web服務(wù)器軟件的代碼做出攻擊目標，運行著各種Web服務(wù)器的機器可能數(shù)不勝數(shù)。6/24/202332黑客攻擊與防范12.2.1利用Google搜索引擎去查找有漏洞的Web應(yīng)用程序搜索引擎對大量的Web頁面和其他資源進行了索引。黑客可以利用這些引擎去發(fā)出匿名攻擊、尋找容易的手的犧牲品、獲得對某個網(wǎng)絡(luò)發(fā)動更強有力的工具所必需的指示。而搜索引擎之所以能夠成為一種“危險的”攻擊武器，計算機用戶們的粗心大意是最主要的原因。用Google去搜索未經(jīng)保護的/admin、/password、/mail子目錄以及它們的內(nèi)容——在主頁上輸入以下關(guān)鍵字進行搜索:“indexof/admin”“indexof/password”“indexof/mail”“indexof/”+banques+filetype:xls“indexof/”+passwd“indexof/”password.txt6/24/202333黑客攻擊與防范

用GOOGLE去搜索配置不當?shù)目诹钭痔崾境绦颉谥黜撋陷斎胍韵玛P(guān)鍵字進行搜索:passwordhintpasswordhint-emailshowpasswordhint-emailfiletype:htaccessuser用Google去搜索網(wǎng)站的MRTG流量分析報告——在主頁上輸入以下關(guān)鍵字進行搜索:inurl:mrtg6/24/202334黑客攻擊與防范

用Google去搜索安裝有FrontPagedeIIs/ApacheWeb服務(wù)器——在主頁上輸入以下關(guān)鍵字進行搜索。administrators.pwdindexauthors.pwdindexservice.pwdindexallinurl:_vti_binshtml.exe用Google去搜索配置不當?shù)腛utlookWebAccess服務(wù)器——在主頁上輸入以下關(guān)鍵字進行搜索:inurl:exchangeinurl:finduserinurl:root6/24/202335黑客攻擊與防范12.2.2網(wǎng)絡(luò)爬蟲:全站點下載“如果給你8個小時去砍一棵樹，我會用6個小時去磨斧子”。類似的，一位審慎的攻擊者會花上一些時間去熟悉他想要攻擊的應(yīng)用程序。他通常會把目標網(wǎng)站上的全部內(nèi)容下載到他自己的計算機并去下列地點群找那些“最容易到手的果實”——例如本地路徑信息、后端服務(wù)器的名字和IP地址、SQL查詢字符串中的口令字、有價值的代碼注釋以及其他敏感數(shù)據(jù)等:靜態(tài)和動態(tài)頁面頭文件和其他輔助文件源代碼6/24/202336黑客攻擊與防范全站點下載工具——“網(wǎng)絡(luò)爬蟲”對整個網(wǎng)站進行檢索時一項枯燥乏味的機械重復(fù)工作，最適合用自動化的工具軟件來完成。Wgetwget是一套自由軟件，它可以使用HTTP、HTTPS和FTP等幾種常見的因特網(wǎng)協(xié)議來檢索和下載文件。他是一個非交互的命令工具，因而很容易通過腳本、cron任務(wù)以及不帶X支持的終端控制臺進行調(diào)用。Wget工具的下載地址http://wwww.gnu.rog/software/wget.html.offlineExplorerProofflineExplorerPro是一個商業(yè)化的Win32軟件，攻擊者可以利用這個工具把任意個數(shù)的Web和FTP站點下載到他的機器上進行離線查看、編輯和瀏覽。這個工具還支持HTTPS、RTSP和MMS協(xié)議。它支持NTLM身份驗證。offlineExplorerPro下載地址:/mp/mpproducts_Downloads_Current.asp6/24/202337黑客攻擊與防范12.2.3對Web應(yīng)用程序進行評估從自己未能通過身份驗證和能夠通過身份驗證兩種情況出發(fā)對目標應(yīng)用程序的每一個主要組件的工作情況進行研究和評估。有很多站點都允許新用戶自由注冊，攻擊者還可以利用“全站點下載”等種種手段去竊取合法的登陸資料。針對Web應(yīng)用程序的攻擊主要集中在以下幾項功能:身份驗證會話管理數(shù)據(jù)庫操作對輸入數(shù)據(jù)進行的合法/合理性檢查6/24/202338黑客攻擊與防范Web應(yīng)用程序評估工具想把Web應(yīng)用程序的缺陷——尤其是那些最致命的缺陷——找出來并加以進行分析是不可能的。介紹幾種在針對Web應(yīng)用程序的攻擊活動中比較常用的漏洞掃描工具。AchillesAchilles工具其實是一個代理服務(wù)器，他在HTTP會話過程中扮演著“二傳手”的作用。Achilles可以截獲兩個方向的HTTP會話數(shù)據(jù)并允許其使用者對被截獲數(shù)據(jù)進行修改后在轉(zhuǎn)發(fā)出去。它的特色功能包括允許對監(jiān)聽端口和Timeout值進行配置、為便于發(fā)動緩沖區(qū)一處攻擊而另外準備了一個緩沖區(qū)、能夠在完成對被截獲數(shù)據(jù)的修改后重新計算它們的內(nèi)容長度等。Achilles工具運行在Win32平臺上，下載地址是/downloads.html。6/24/202339黑客攻擊與防范ParosProxyParosProxy是Proofsecure公司開發(fā)的Web應(yīng)用程序漏洞掃描器。它是用Java編寫的，所以需要先從網(wǎng)站下載并安裝JavaRuntimeEngine才能使用。值得關(guān)注的特色功能包括:對已知服務(wù)器配置錯誤和常見應(yīng)用程序缺陷進行掃描、像Achilles工具那樣對瀏覽器會話的請求和響應(yīng)進行嗅探和分析等。WebSleuthWebSleuth是一個內(nèi)建在瀏覽器里的Web應(yīng)用程序安全測試工具，它的Win32和Linus版本都可以從/websleuth/處下載到。WebSleuth允許使用者在通信過程中實時的對HTTP和HTML請求進行編輯。WebSleuth最有用的功能是它的功能擴展插件，這些插件可以讓攻擊者輕而易舉地對HTTP/Cookie的會話ID進行蠻力攻擊、嘗試進行各種“SQL注射”攻擊或者對http連接的口令進行蠻力攻擊。6/24/202340黑客攻擊與防范WebProxyWebProxy1.0是一個基于Java2的瀏覽器安防工具，但也可以用來對網(wǎng)站的安防工作進行審計。在把WebProxy安裝為瀏覽器的一個代理之后，就可以用WebProxy去攔截、修改、記錄到日志和轉(zhuǎn)發(fā)HTTP和HTTPS請求了。WebProxy的編輯功能不僅能對Cookie進行修改，還能對查詢命令的參數(shù)、HTTP/HTTPS請求的標頭以及POST參數(shù)進行分析。FormScalpelFormScalpel工具的設(shè)計用途是對網(wǎng)站遭到“惡意HTML表單”攻擊時的自我恢復(fù)能力進行評估。這個工具可以自動提取出給定網(wǎng)頁里的表單，在把各表單里的輸入字段全都提取出來進行分析。有了這個工具，通過對HTML表單中的GET和POST請求進行精心地構(gòu)造而發(fā)起“畸形輸入”攻擊就變得非常容易了。FormScalpel支持HTTP和HTTPS連接，并可以經(jīng)由代理服務(wù)器起作用。FormScalpel工具需要運行在Win32上，它的下載地址是/tods/2241。6/24/202341黑客攻擊與防范FSMaxFSMax是一個在腳本里使用的服務(wù)器安防漏洞測試工具，其下載地址是/knowledge/free_tool.html。這個工具以一個文本文件做為輸入并根據(jù)這個輸入對給定服務(wù)清進行一系列測試。這個工具的設(shè)計用途是用來尋找給定服務(wù)器是否存在緩沖區(qū)溢出漏洞或是拒絕服務(wù)攻擊點。WASATWASAT是一個小巧的GUI工具，它可以對網(wǎng)站的基本身份驗證功能和基于表單的Web身份驗證機制做安全性評估。WASAT能夠用來對目標網(wǎng)站進行各種復(fù)雜程度的字典蠻力攻擊。它的下載地址是/publico/descargas.6/24/202342黑客攻擊與防范SPIKESPIKE是ImmunitySecurity，Inc.公司開發(fā)的一個“偵探”工具包，下載地址是/resources-freesoftware.shtml。這里所說的“偵探”指的是把一些隨即生成的輸入數(shù)據(jù)饋入某個接口、再通過分析其輸出結(jié)果而發(fā)現(xiàn)潛在安防漏洞的過程。這個工具包里有一個用來破解Web服務(wù)器NTLM身份驗證口令字的蠻力攻擊程序，每秒可以試猜9個單詞。6/24/202343黑客攻擊與防范Web應(yīng)用程序漏洞掃描器上面介紹的那些工具都只能完成某一項或某幾項Web應(yīng)用程序評估工作，近幾年來，商業(yè)化Web應(yīng)用程序漏洞掃描器的市場已經(jīng)發(fā)育的相當成熟了，幾種這方面的領(lǐng)先產(chǎn)品：SPIDynamics公司的Weblnspect工具和SPITookit工具包這套軟件主要包括以下幾個組件:SecureObjects，這個組件向使用MicrosoftVisualStudio開發(fā)環(huán)境的程序員提供了許多輸入檢查和錯誤處理全程；WebInspectforDevelopers，這個工具可以幫助Web應(yīng)用程序開發(fā)者檢查自己編寫的代碼是否存在已知的安防漏洞；一個以Mercury公司的TestDirector工具為藍本、以產(chǎn)品的安全性為重點的質(zhì)量控制模塊；一個可以用來對Web應(yīng)用程序進行多種高級穿刺測試工具包。SPIDynamics公司允許免費下載其工具軟件的測試版，以下為試用評價。6/24/202344黑客攻擊與防范軟件工具包中部分工具／組件清單試用評價：CookieCruncher包括字符集工具、隨機分析工具、預(yù)測工具、字符出現(xiàn)頻率統(tǒng)計工具等，對Cookie進行分析用的工具全有了，Encoders/Decoders這組工具可以用15種常見的加密算法對用戶提供的字符串進行編碼或解碼。HTTPEditor沒有HTTP編輯器的Web應(yīng)用程序分析工具包就不是一個完備的工具包。這個工具的用途是生成各種“非法”的輸入。SOAPEditor類似于HTTPEditor，但采用的是SOAP協(xié)議，額外好處是很多格式可以自動生成。SPIFuzzer一個是使用HTTP協(xié)議以自動方式進行“異常輸入攻擊”的工具，他和手動方式的HTTPEditor工具互為補充。6/24/202345黑客攻擊與防范SPIProxy現(xiàn)在的“二傳手攻擊”分析工具，對Web通信進行嗅探和剖析。這個工具很像前面介紹的Achilles工具，但在操作簡便性、顯示效果和控制方面有很多改進。SQLInjector它現(xiàn)在的引擎/攻擊手段在數(shù)量上還略顯不足，但肯定會越來越好。WebBruteWeb應(yīng)用程序安全性測試人員的又一個必備工具。這個工具可以測試身份驗證環(huán)節(jié)的低強度“用戶名/口令字”組合，弱/用戶名/口令字是最常見的漏洞之一。WebDiscovery這是一個簡單的端口掃描工具，他自帶一份常見Web服務(wù)的端口分配表，可以幫助你在一個大型網(wǎng)絡(luò)里迅速找出有漏洞的服務(wù)器。在我們進行的測試中，這個掃描工具表現(xiàn)的十分靈活和快速。6/24/202346黑客攻擊與防范12.2.4Web應(yīng)用程序的常見安防漏洞

OpenWebApplicationSecurityProject組織對被人們發(fā)現(xiàn)的絕大多數(shù)重大Web應(yīng)用程序安防漏洞進行了分類，這一小節(jié)對OWASP組織劃分的以下幾類Web應(yīng)用程序漏洞進行討論:A1:未經(jīng)檢查的輸入A4:跨站點校本A6:內(nèi)容注射缺陷6/24/202347黑客攻擊與防范

SQL注射流行度:9簡單度:5影響力:8風(fēng)險率:7“SQL注射”——向某個應(yīng)用程序輸入一個精心構(gòu)造的TransactSQL查詢命令以執(zhí)行某種正常操作——就是這類攻擊手段中最容易的手的一種技術(shù)?！癝QL注射”攻擊活動中，用來構(gòu)造惡意輸入內(nèi)容的常見字符包括反引號（‘）雙下劃線（--）和分號（；）等，他們在TransactSQL語言里都有著特殊含義。對于入門級黑客，這種攻擊往往能讓他們在未經(jīng)授權(quán)的情況下訪問到某些敏感的數(shù)據(jù)；而精通此道的高級黑客甚至能在繞過身份驗證機制之后掌握Web服務(wù)器或后端SQL系統(tǒng)的控制權(quán)。6/24/202348黑客攻擊與防范

“跨站點腳本”攻擊流行度:9簡單度:3影響力:5風(fēng)險率:6即XSS攻擊，XSS攻擊的目標通常不是Web應(yīng)用程序本身而是這個程序的另一個用戶。比如說，假如用戶A把一條包含著惡意代碼的消息發(fā)布到了新聞組里，當用