應(yīng)用服務(wù)器安全防范技術(shù)

第五章應(yīng)用服務(wù)器安全防范技術(shù)信息網(wǎng)絡(luò)安全培訓(xùn)郵件地址：網(wǎng)站地址：網(wǎng)站地址:本章學(xué)習(xí)目標(biāo)學(xué)習(xí)完本章，您應(yīng)該能夠：WEB服務(wù)器入侵分析WEB服務(wù)器漏洞評(píng)估和分析WEB應(yīng)用程序漏洞掃描和評(píng)估FTP服務(wù)器入侵分析安全電子郵件服務(wù)器配置2本章學(xué)習(xí)重點(diǎn)常規(guī)的WEB服務(wù)器入侵方法WEB應(yīng)用程序漏洞掃描和評(píng)估FTP服務(wù)器入侵分析安全電子郵件服務(wù)器（垃圾郵件）3本章內(nèi)容提要常規(guī)的WEB服務(wù)器入侵方法WEB應(yīng)用程序漏洞掃描和評(píng)估FTP服務(wù)器入侵分析4WEB服務(wù)器常見(jiàn)漏洞介紹WEB服務(wù)器存在的主要漏洞包括物理路徑泄露，CGI源代碼泄露，目錄遍歷，執(zhí)行任意命令，緩沖區(qū)溢出，拒絕服務(wù)，條件競(jìng)爭(zhēng)和跨站腳本執(zhí)行漏洞，和CGI漏洞有些相似的地方，但是更多的地方還是有著本質(zhì)的不同。不過(guò)無(wú)論是什么漏洞，都體現(xiàn)著安全是一個(gè)整體的真理，考慮WEB服務(wù)器的安全性，必須要考慮到與之相配合的操作系統(tǒng)。5WEB服務(wù)器常見(jiàn)漏洞介紹【物理路徑泄露】

物理路徑泄露一般是由于WEB服務(wù)器處理用戶請(qǐng)求出錯(cuò)導(dǎo)致的，如通過(guò)提交一個(gè)超長(zhǎng)的請(qǐng)求，或者是某個(gè)精心構(gòu)造的特殊請(qǐng)求，亦或是請(qǐng)求一個(gè)WEB服務(wù)器上不存在的文件。這些請(qǐng)求都有一個(gè)共同特點(diǎn)，那就是被請(qǐng)求的文件肯定屬于CGI腳本，而不是靜態(tài)HTML頁(yè)面。還有一種情況，就是WEB服務(wù)器的某些顯示環(huán)境變量的程序錯(cuò)誤的輸出了WEB服務(wù)器的物理路徑，這應(yīng)該算是設(shè)計(jì)上的問(wèn)題。6WEB服務(wù)器常見(jiàn)漏洞介紹【CGI源代碼泄露】

CGI源代碼泄露的原因比較多，例如大小寫(xiě)，編碼解碼，附加特殊字符或精心構(gòu)造的特殊請(qǐng)求等都可能導(dǎo)致CGI源代碼泄露。【目錄遍歷】目錄遍歷對(duì)于WEB服務(wù)器來(lái)說(shuō)并不多見(jiàn)，通過(guò)對(duì)任意目錄附加“../”，或者是在有特殊意義的目錄附加“../”，或者是附加“../”的一些變形，如“..\”或“..//”甚至其編碼，都可能導(dǎo)致目錄遍歷。前一種情況并不多見(jiàn)，但是后面的幾種情況就常見(jiàn)得多，去年非常流行的IIS二次解碼漏洞和UNICODE解碼漏洞都可以看作是變形后的編碼。7WEB服務(wù)器常見(jiàn)漏洞介紹【執(zhí)行任意命令】

執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令，主要包括兩種情況。一是通過(guò)遍歷目錄，如二次解碼和UNICODE解碼漏洞，來(lái)執(zhí)行系統(tǒng)命令。另外一種就是WEB服務(wù)器把用戶提交的請(qǐng)求作為SSI指令解析，因此導(dǎo)致執(zhí)行任意命令?！揪彌_區(qū)溢出】

緩沖區(qū)溢出漏洞想必大家都很熟悉，無(wú)非是WEB服務(wù)器沒(méi)有對(duì)用戶提交的超長(zhǎng)請(qǐng)求沒(méi)有進(jìn)行合適的處理，這種請(qǐng)求可能包括超長(zhǎng)URL，超長(zhǎng)HTTP

Header域，或者是其它超長(zhǎng)的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù)，這一般取決于構(gòu)造的數(shù)據(jù)。8WEB服務(wù)器常見(jiàn)漏洞介紹【拒絕服務(wù)】拒絕服務(wù)產(chǎn)生的原因多種多樣，主要包括超長(zhǎng)URL，特殊目錄，超長(zhǎng)HTTP

Header域，畸形HTTP

Header域或者是DOS設(shè)備文件等。由于WEB服務(wù)器在處理這些特殊請(qǐng)求時(shí)不知所措或者是處理方式不當(dāng)，因此出錯(cuò)終止或掛起。正常的拒絕服務(wù)攻擊。。?！緱l件競(jìng)爭(zhēng)】這里的條件競(jìng)爭(zhēng)主要針對(duì)一些管理服務(wù)器而言，這類服務(wù)器一般是以system或root身份運(yùn)行的。當(dāng)它們需要使用一些臨時(shí)文件，而在對(duì)這些文件進(jìn)行寫(xiě)操作之前，卻沒(méi)有對(duì)文件的屬性進(jìn)行檢查，一般可能導(dǎo)致重要系統(tǒng)文件被重寫(xiě)，甚至獲得系統(tǒng)控制權(quán)。

9常規(guī)的WEB服務(wù)器入侵實(shí)例緩沖器溢出CGI漏洞SQL注入CGI源代碼泄漏（Inc文件泄露）暴力破解釣魚(yú)攻擊DNS欺騙…10緩沖區(qū)/堆棧溢出技術(shù)如果計(jì)算機(jī)程序的編碼沒(méi)有對(duì)緩沖區(qū)做適當(dāng)?shù)臋z查，看它們是否能完全裝入新的數(shù)據(jù)內(nèi)容，結(jié)果就可能造成緩沖區(qū)溢出的產(chǎn)生。入侵者用精心編寫(xiě)的入侵代碼使緩沖區(qū)溢出，并將被調(diào)用的過(guò)程的返回地址覆蓋為入侵者所希望運(yùn)行的那段代碼的地址，這樣當(dāng)該過(guò)程返回時(shí)，程序就開(kāi)始執(zhí)行入侵者設(shè)定的代碼了。遠(yuǎn)程緩沖區(qū)溢出類別：Exploits11緩沖區(qū)溢出演示－WebDAVWebDAV（Web分布式創(chuàng)作和版本控制）是一種通過(guò)HTTP將內(nèi)容發(fā)布到IIS服務(wù)器（IIS5或IIS6）或從IIS服務(wù)器發(fā)布內(nèi)容的方法。由于WebDAV基于RFC并且是通過(guò)HTTP實(shí)現(xiàn)的，它不需要進(jìn)行任何修改就可以通過(guò)大多數(shù)防火墻。這樣，您不需要使用專門(mén)的協(xié)議（例如FTP）或?qū)ｉT(mén)的COM對(duì)象就可以發(fā)布到Web服務(wù)器和從Web服務(wù)器進(jìn)行發(fā)布。12緩沖區(qū)溢出演示－WebDAVIIS5.0默認(rèn)提供了對(duì)WebDAV的支持，通過(guò)WebDAV可以通過(guò)HTTP向用戶提供遠(yuǎn)程文件存儲(chǔ)的服務(wù)。但是作為普通的HTTP服務(wù)器，這個(gè)功能不是必需的IIS5.0包含的WebDAV組件不充分檢查傳遞給部分系統(tǒng)組件的數(shù)據(jù)，遠(yuǎn)程攻擊者利用這個(gè)漏洞對(duì)WebDAV進(jìn)行緩沖區(qū)溢出攻擊，可能以WEB進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令。IIS5.0的WebDAV使用了ntdll.dll中的一些函數(shù)，而這些函數(shù)存在一個(gè)緩沖區(qū)溢出漏洞。通過(guò)對(duì)WebDAV的畸形請(qǐng)求可以觸發(fā)這個(gè)溢出。成功利用這個(gè)漏洞可以獲得LocalSystem權(quán)限。這意味著，入侵者可以獲得主機(jī)的完全控制能力。13WEBDAV防范IIS沒(méi)有內(nèi)置的基于每個(gè)站點(diǎn)啟用或禁用WebDAV的方法。在IIS5中，默認(rèn)情況下會(huì)為所有網(wǎng)站啟用WebDAV。要禁用它，請(qǐng)使用URLScan阻止傳入的WebDAV請(qǐng)求（默認(rèn)情況下阻止）。您也可以參考知識(shí)庫(kù)文章如何對(duì)IIS5.0禁用WebDAV。對(duì)于IIS6，使用IIS管理器中的Web服務(wù)擴(kuò)展節(jié)點(diǎn)即可啟用或禁用WebDAV。默認(rèn)情況下，IIS6中禁用WebDAV。14系統(tǒng)漏洞Unicode解碼目錄遍歷漏洞IISUnicode解碼目錄遍歷漏洞發(fā)布日期：2000/10/20影響的系統(tǒng)：MicrosoftIIS4.0/5.0對(duì)于IIS5.0/4.0中文版，當(dāng)IIS收到的URL請(qǐng)求的文件名中包含一個(gè)特殊的編碼例如“%c1%hh”或者“%c0%hh”,它會(huì)首先將其解碼變成:0xc10xhh，然后嘗試打開(kāi)這個(gè)文件，Windows系統(tǒng)認(rèn)為0xc10xhh可能是unicode編碼，因此會(huì)首先將其解碼，如果0x00<=%hh<0x40，采用的解碼格式與下面的格式類似：%c1%hh->(0xc1-0xc0)*0x40+0xhh%c0%hh->(0xc0-0xc0)*0x40+0xhh%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'15系統(tǒng)漏洞Unicode解碼目錄遍歷漏洞攻擊者可以利用這個(gè)漏洞來(lái)繞過(guò)IIS的路徑檢查，去執(zhí)行或者打開(kāi)任意的文件。RainForestPuppy測(cè)試發(fā)現(xiàn)對(duì)于英文版的IIS4.0/5.0,此問(wèn)題同樣存在，只是編碼格式略有不同，變成"%c0%af"或者"%c1%9c".16CGI漏洞Unicode解碼目錄遍歷漏洞顯示目錄::\cmd.exe?/c+”之后就是DOS命令增加一個(gè)目錄：:\hacker刪除網(wǎng)頁(yè)".exe?/c+del+c:\\default.asp.bak17CGI漏洞Unicode解碼目錄遍歷漏洞增加一個(gè)目錄：:\hacker管道工具“>”“>>”的功能

“>”“>>”是將命令產(chǎn)生的輸出重新定向,比如寫(xiě)到某個(gè)文件或輸出到打印機(jī)中。“>>”產(chǎn)生的內(nèi)容將追加進(jìn)文件中，“>”則將原文件內(nèi)容覆蓋。修改主頁(yè)：IIS加載程序檢測(cè)到有cmd.exe或者串就要檢測(cè)特殊字符“&|(,;%<>”如果發(fā)現(xiàn)有這些字符就會(huì)返回500錯(cuò)誤，所以不能直接使用cmd.exe加管道符等。所以要在CMD后面加上"".exe?/c+echo+你被黑了,哈哈！+>+c:\\default.asp18CGI漏洞Unicode解碼目錄遍歷漏洞利用這樣的方法我們可以建立.bat.txt.asp.htm.html等文件，這對(duì)于一個(gè)存在這漏洞的網(wǎng)站可以說(shuō)是致命打擊的開(kāi)始。尤其是能寫(xiě).bat文件，如果我們?cè)赼utoexe.bat里面加入formatdel等命令時(shí)。結(jié)果會(huì)如何？？常用使用增加用戶使用TFTP下載后門(mén)程序等。19CGI漏洞防范：給系統(tǒng)打補(bǔ)丁關(guān)閉不需要的腳本和服務(wù)用CGI腳本編寫(xiě)的程序當(dāng)涉及到遠(yuǎn)程用戶從瀏覽器中輸入表格(form)并進(jìn)行象檢索(Searchindex)或form-mail之類在主機(jī)上直接操作命令時(shí)，或許會(huì)給WEB主機(jī)系統(tǒng)造成危險(xiǎn)。因此，從CGI角度考慮WEB的安全性，主要是在編制程序時(shí)，應(yīng)詳細(xì)考慮到安全因素。盡量避免CGI程序中存在漏洞。20CGI源代碼泄漏：Inc文件泄露攻擊原理：當(dāng)存在ASP（動(dòng)態(tài)網(wǎng)頁(yè)，PHP）的主頁(yè)正在制作且沒(méi)有進(jìn)行最后調(diào)試完成以前，可以被某些搜索引擎機(jī)動(dòng)追加為搜索對(duì)象。如果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找，會(huì)得到有關(guān)文件的定位，并能在瀏覽器中查看到數(shù)據(jù)庫(kù)地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)，并以此揭示完整的源代碼。21CGI源代碼泄漏：Inc文件泄露實(shí)例inc泄漏BAK文件泄漏22Inc文件泄露防范程序員應(yīng)該在網(wǎng)頁(yè)發(fā)布前對(duì)它進(jìn)行徹底的調(diào)試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對(duì).inc文件內(nèi)容進(jìn)行加密，其次也可以使用.asp文件代替.inc文件使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。Inc文件的文件名不要使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶猜測(cè)到的名稱，盡量使用無(wú)規(guī)則的英文字母。用IIS解析INC文件刪除備份文件去掉目錄瀏覽功能23SQLInjection入侵SQL注入是從正常的WWW端口訪問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪問(wèn)沒(méi)什么區(qū)別，所以目前市面的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒(méi)查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)。SQL注入的手法相當(dāng)靈活，在注入的時(shí)候會(huì)碰到很多意外的情況。能不能根據(jù)具體情況進(jìn)行分析，構(gòu)造巧妙的SQL語(yǔ)句，從而成功獲取想要的數(shù)據(jù)，是高手與“菜鳥(niǎo)”的根本區(qū)別。SQL注入的原理，就是從客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，從而獲取你想到得到的資料。24SQL注入25SQLInjection入侵實(shí)例輸入：'or'1'='1如果（‘1’=1or‘a(chǎn)=PASSWORD’）那么可以進(jìn)入系統(tǒng)否則哼哼…^Q^26SQLInjection判斷數(shù)據(jù)庫(kù)類型and(selectcount(*)fromsysobjects)>=0－>sqlserver成功and(selectcount(*)frommsysobjects)>=0－>這個(gè)可以不一定，一般判斷是否是ACCESS27SQLInjection中級(jí)輸入特別的URL，猜測(cè)表名and(selectcount(*)fromadmin)>=0正確，存在這個(gè)表名and(selectcount(*)fromTbl_admin)>=0返回錯(cuò)誤，不存在表28SQLInjection中級(jí)表名猜出來(lái)后，將Count(*)替換成Count(字段名)，用同樣的原理猜解字段名。有人會(huì)說(shuō)：這里有一些偶然的成分，如果表名起得很復(fù)雜沒(méi)規(guī)律的，那根本就沒(méi)得玩下去了。說(shuō)得很對(duì)，這世界根本就不存在100%成功的黑客技術(shù)，蒼蠅不叮無(wú)縫的蛋，無(wú)論多技術(shù)多高深的黑客，都是因?yàn)閯e人的程序?qū)懙貌粐?yán)密或使用者保密意識(shí)不夠，才有得下手。29SQLInjection中級(jí)已知表Admin中存在username字段，首先，我們?nèi)〉谝粭l記錄，測(cè)試長(zhǎng)度(selecttop1len(username)fromAdmin)>0在得到username的長(zhǎng)度后，用mid(username,N,1)截取第N位字符，再asc(mid(username,N,1))得到ASCII碼，比如：id=1and(selecttop1asc(mid(username,1,1))fromAdmin)>0一個(gè)一個(gè)得到用戶名30SQLInjection防范ＳＱＬ注入漏洞可謂是“千里之堤，潰于蟻穴”，這種漏洞在網(wǎng)上極為普遍，通常是由于程序員對(duì)注入不了解，或者程序過(guò)濾不嚴(yán)格，或者某個(gè)參數(shù)忘記檢查導(dǎo)致。過(guò)濾掉特殊數(shù)據(jù)庫(kù)字符串，例如‘例如：MM_rsUser.Source=MM_rsUser.Source&"FROMCustomersWHERECustomerID='"&Replace(MM_valUsername,"'","''")&"'ANDCustomerName='"&Replace(Request.Form("textUserPWD"),"'","''")&"'"程序員寫(xiě)代碼時(shí)特別考慮，例如，前面的登陸，先可以采取取密碼，然后校對(duì)密碼對(duì)付中極的SQL入侵，在程序中可以采取，判斷傳遞過(guò)來(lái)的字符串，轉(zhuǎn)換成數(shù)字型等，關(guān)鍵在于程序員在編程時(shí)，特別考慮SQLInjection的入侵。31HTTPPOST暴力破解失?。撼晒Γ?2利用弱口令入侵口令安全的測(cè)試自己的姓名中文拼音37%常用英文單詞23%計(jì)算機(jī)的中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%通?？诹畹募用芊椒ú豢赡?MD5)→暴力(窮舉)破解33HTTPPOST暴力破解

防范使用人能辨析的圖片做為效驗(yàn)碼程序中可以采用登陸次數(shù)限制，例如限制為每天登陸5次。34“網(wǎng)絡(luò)釣魚(yú)”的主要手法“網(wǎng)絡(luò)釣魚(yú)(Phishing)”作為一種網(wǎng)絡(luò)詐騙手段，算不上新鮮事物，而且沒(méi)有太多技術(shù)含量，主要是利用人們的心理來(lái)實(shí)現(xiàn)詐騙。如曾出現(xiàn)過(guò)的某假冒銀行網(wǎng)站，網(wǎng)址為，而真正銀行網(wǎng)站是，犯罪分子利用數(shù)字1和字母i非常相近的特點(diǎn)企圖蒙蔽粗心的用戶。35“網(wǎng)絡(luò)釣魚(yú)”的主要手法又如2004年7月發(fā)現(xiàn)的某假公司網(wǎng)站（網(wǎng)址為），而真正網(wǎng)站為，詐騙者利用了小寫(xiě)字母l和數(shù)字1很相近的障眼法。詐騙者通過(guò)QQ散布“XX集團(tuán)和XX公司聯(lián)合贈(zèng)送QQ幣”的虛假消息，引誘用戶訪問(wèn)。一旦訪問(wèn)該網(wǎng)站，首先生成一個(gè)彈出