26-系統(tǒng)安全06-Web安全02-Web安全概述

Web安全概述了解中國(guó)黑客的發(fā)展了解Web安全的發(fā)展熟練分析Web事件教學(xué)目標(biāo)中國(guó)黑客的發(fā)展Web安全發(fā)展Web安全事件分析目錄中國(guó)黑客的發(fā)展隨著Web2.0、社交網(wǎng)絡(luò)、微博等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，企業(yè)信息化的過程中各種應(yīng)用都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注。接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害?；ヂ?lián)網(wǎng)剛剛開始是安全的，但是伴隨著黑客（Hacker）的誕生，互聯(lián)網(wǎng)變得越來越不安全。中國(guó)黑客的發(fā)展黑客一詞來源于“Hacker”，通常指對(duì)于計(jì)算機(jī)系統(tǒng)有深入的理解，能夠發(fā)現(xiàn)其中的問題。“Hacker”在中國(guó)按照音譯，被稱為“黑客”。在計(jì)算機(jī)安全領(lǐng)域，黑客是一群破壞規(guī)則、不喜歡被約束的人，因此總想著能夠找到系統(tǒng)的漏洞，以獲得一些規(guī)則之外的權(quán)力。“黑客”這個(gè)詞并非源于計(jì)算機(jī)，而是源于1961年（60年代）麻省理工學(xué)院（MIT）的技術(shù)模型鐵路俱樂部，當(dāng)時(shí)俱樂部成員們?yōu)樾薷墓δ芏诹怂麄兊母呖萍剂熊嚱M。從玩具列車推進(jìn)到了計(jì)算機(jī)領(lǐng)域，這些MIT學(xué)生以及其他早期黑客，僅僅對(duì)探索、改進(jìn)和測(cè)試現(xiàn)有程序的極限感興趣。某些情況下，這些黑客甚至產(chǎn)生了比先前程序好的多的程序，比如丹尼斯·里奇和基斯·湯普森的UNIX操作系統(tǒng)。中國(guó)黑客的發(fā)展計(jì)算機(jī)黑客持續(xù)繁榮演進(jìn)到70年代，催生了新一類的黑客：玩弄電話系統(tǒng)的黑客，也稱“飛客”。比如約翰·德拉浦，利用的是電話交換網(wǎng)絡(luò)的操作特性，可以愚弄電話交換網(wǎng)絡(luò)，免費(fèi)享用長(zhǎng)途通話。如今的電話交換網(wǎng)絡(luò)已經(jīng)完全電子化了。80年代時(shí)黑客歷史的分水嶺，因?yàn)榇藭r(shí)完備的個(gè)人計(jì)算機(jī)被引入了公眾視野。個(gè)人電腦的廣泛普及，引爆了黑客的快速增長(zhǎng)。雖然仍有大量黑客專注于改進(jìn)操作系統(tǒng)，但更關(guān)注個(gè)人所得的新一類黑客也漸漸浮出水面，他們將自己的技術(shù)用于犯罪活動(dòng)，包括盜版軟件、創(chuàng)建病毒和侵入系統(tǒng)盜取敏感信息等。中國(guó)黑客的發(fā)展在黑客的世界里，有的黑客精通計(jì)算機(jī)技術(shù)，能自己挖掘漏洞，并編寫exploit；有的黑客只對(duì)攻擊本身感興趣，對(duì)計(jì)算機(jī)原理和各種編程技術(shù)的了解比較粗淺，只懂得利用別人的代碼，自己并沒有動(dòng)手能力，這種黑客被稱為“ScriptKids”，即腳本小子。在現(xiàn)實(shí)世界里，真正造成破壞的，往往并非那些挖掘并研究漏洞的“黑客”們，而是腳本小子。在目前已經(jīng)形成產(chǎn)業(yè)的計(jì)算機(jī)犯罪、網(wǎng)絡(luò)犯罪中，造成主要破壞的，也是這些腳本小子。中國(guó)黑客的發(fā)展中國(guó)黑客發(fā)展史一共經(jīng)歷了三個(gè)時(shí)代：?jiǎn)⒚蓵r(shí)代黃金時(shí)代黑暗時(shí)代中國(guó)黑客的發(fā)展啟蒙時(shí)代20世紀(jì)90年代，此時(shí)中國(guó)得互聯(lián)網(wǎng)剛剛起步，是中國(guó)互聯(lián)網(wǎng)開始發(fā)展的萌芽時(shí)期，一些熱愛新興技術(shù)的青年受到國(guó)外黑客技術(shù)的影響，開始研究安全漏洞，大多都是個(gè)人愛好。這個(gè)時(shí)期，各地電腦發(fā)燒友最大的樂趣就是復(fù)制一些小游戲和DOS等軟件產(chǎn)品，這一類被稱為“竊客”。隨著中國(guó)大中城市互聯(lián)網(wǎng)的信息港已經(jīng)初具規(guī)模，在這樣的環(huán)境條件下，產(chǎn)生了眾多的黑客，他們掌握的技術(shù)主要是郵箱炸彈，后來誕生了特洛伊木馬，也就是網(wǎng)絡(luò)間諜NetSpy，隨后少量的國(guó)產(chǎn)工具開始小范圍流行于中國(guó)黑客之間。這些黑客起初都是對(duì)計(jì)算機(jī)領(lǐng)域的愛好、好奇心和強(qiáng)烈的求知欲，他們崇尚自由、喜歡分享，經(jīng)驗(yàn)和資源都是免費(fèi)提供，技術(shù)在他們看上去是最有價(jià)值的。中國(guó)黑客的發(fā)展黃金時(shí)代以2001年4月4日開始的“中美黑客大戰(zhàn)”作為標(biāo)志，在這個(gè)背景下，黑客這個(gè)特殊的群體一下子幾乎引起了社會(huì)的所有眼球。此次黑客大戰(zhàn)主要在各自的互聯(lián)網(wǎng)上植入一些出氣的文章和頁面。中美黑客大戰(zhàn)真實(shí)還原場(chǎng)景中國(guó)黑客的發(fā)展黃金時(shí)代以上是一些真實(shí)的場(chǎng)景，比如美國(guó)的某個(gè)網(wǎng)名，打開他們的電商網(wǎng)站，就會(huì)彈出類似窗口。此時(shí)黑客圈子所宣揚(yáng)的文化以及黑客技術(shù)的獨(dú)特魅力，吸引了無數(shù)青少年走上這條道路。此后，各種黑客組織雨后春筍般的冒出。此階段的中國(guó)黑客，由于新人較多，雖然有活力和激情，但是技術(shù)上還不夠成熟。所謂林子大了，什么鳥都有，此時(shí)期在黑客圈子里販賣漏洞，惡意軟件的現(xiàn)象就開始升溫，群體良莠不齊，也就開始出現(xiàn)了以營(yíng)利為目的的攻擊行為，黑色產(chǎn)業(yè)鏈逐漸成型。中國(guó)黑客的發(fā)展黑暗時(shí)代在這個(gè)時(shí)期，黑客也循著社會(huì)的發(fā)展規(guī)律，優(yōu)勝劣汰，大多是黑客組織并沒有堅(jiān)持下來。在上個(gè)時(shí)期的黑客技術(shù)論壇越來越缺少人氣，最終走向沒落。所有門戶型的漏洞披露站點(diǎn)，也不再公布任何漏洞相關(guān)的技術(shù)細(xì)節(jié)。隨著安全行業(yè)發(fā)展，黑客的功利性越來越強(qiáng)。黑色產(chǎn)業(yè)鏈開始成熟。這個(gè)地下產(chǎn)業(yè)每年會(huì)給互聯(lián)網(wǎng)造成數(shù)十億甚至百億的損失。在上一個(gè)時(shí)期技術(shù)還不成熟的黑客們，凡是堅(jiān)持下來的，都已經(jīng)成長(zhǎng)為安全領(lǐng)域的高級(jí)人才，有的在安全公司貢獻(xiàn)著自己的專業(yè)技能，有的則帶著非常強(qiáng)的技術(shù)進(jìn)入了黑色產(chǎn)業(yè)。此時(shí)期的黑客群體，因?yàn)榛ハ嘀g不再具有開發(fā)和分享的精神，最為純粹的黑客精神實(shí)質(zhì)上已經(jīng)死亡。中國(guó)黑客的發(fā)展黑暗時(shí)代如今的黑客隊(duì)伍，會(huì)分為三種顏色的帽子。黑帽子：利用黑客技術(shù)造成破壞，轉(zhuǎn)為黑色產(chǎn)業(yè)，提供資源，販賣漏洞，給商業(yè)帶來損失，甚至進(jìn)行網(wǎng)絡(luò)犯罪；灰帽子：白天良好公民，正常上班，半夜干壞事；白帽子：從事網(wǎng)絡(luò)安全行業(yè)，針對(duì)攻擊手段制作防護(hù)工具和解決方案，工作在反黑客領(lǐng)域。Web安全發(fā)展在早期互聯(lián)網(wǎng)中，Web并非互聯(lián)網(wǎng)的主流應(yīng)用。一方面是因?yàn)閃eb技術(shù)還沒發(fā)展起來，不夠成熟；另一方面通過系統(tǒng)軟件漏洞往往能獲得很高的權(quán)限。相對(duì)來說，基于SMTP、POP3、FTP、IRC等協(xié)議的服務(wù)擁有著絕大多數(shù)的用戶，因此主要的攻擊目標(biāo)是網(wǎng)絡(luò)、操作系統(tǒng)以及軟件等領(lǐng)域，Web安全領(lǐng)域的攻擊與防御技術(shù)處于非常原始的階段。相對(duì)于那些攻擊系統(tǒng)軟件的exploit而言，基于Web的攻擊，一般只能讓黑客獲得一個(gè)較低權(quán)限的賬戶，對(duì)黑客的吸引力遠(yuǎn)遠(yuǎn)不如直接攻擊系統(tǒng)軟件。但是時(shí)代在發(fā)展，防火墻技術(shù)的興起改變了互聯(lián)網(wǎng)安全的格局。尤其是以思科、華為、深信服等代表的網(wǎng)絡(luò)設(shè)備廠商，開始在網(wǎng)絡(luò)產(chǎn)品中更加重視網(wǎng)絡(luò)安全，最終改變了互聯(lián)網(wǎng)安全的走向。防火墻、ACL技術(shù)的興起，使得直接暴露在互聯(lián)網(wǎng)上的系統(tǒng)得到了保護(hù)。Web安全發(fā)展2003年的沖擊波蠕蟲是一個(gè)里程碑式的事件，該漏洞針對(duì)Windows操作系統(tǒng)RPC服務(wù)（運(yùn)行在445端口）的蠕蟲，處理通過TCP/IP的消息交換的部分，攻擊者通過TCP135端口，向遠(yuǎn)程計(jì)算機(jī)發(fā)送特殊形式的請(qǐng)求，允許攻擊者在目標(biāo)機(jī)器上獲得完全的權(quán)限并以執(zhí)行任意代碼。在很短的時(shí)間內(nèi)席卷了全球，造成了數(shù)百萬機(jī)器被感染，損失難以估量。在此次事件后，網(wǎng)絡(luò)運(yùn)營(yíng)商很堅(jiān)決地在骨干網(wǎng)絡(luò)上屏蔽了135、445等端口的連接請(qǐng)求。此次事件之后，整個(gè)互聯(lián)網(wǎng)對(duì)于安全的重視達(dá)到了一個(gè)空前的高度。運(yùn)營(yíng)商、防火墻對(duì)于網(wǎng)絡(luò)的封鎖，使得暴露在互聯(lián)網(wǎng)上的非Web服務(wù)越來越少，且Web技術(shù)的成熟使得Web應(yīng)用的功能越來越強(qiáng)大，最終成為了互聯(lián)網(wǎng)的主流。黑客們的目光，也漸漸轉(zhuǎn)移到了Web上。Web安全發(fā)展Web攻擊技術(shù)的發(fā)展也可以分為幾個(gè)階段。在Web1.0時(shí)代，人們更多的是關(guān)注服務(wù)器端動(dòng)態(tài)腳本的安全問題，比如將一個(gè)可執(zhí)行腳本（俗稱WebShell）上傳到服務(wù)器上，從而獲得權(quán)限。動(dòng)態(tài)腳本語言的普及，以及Web技術(shù)的發(fā)展初期，對(duì)安全問題認(rèn)知的不足導(dǎo)致很多“血案”的發(fā)展，同時(shí)也遺留下很多歷史問題。比如PHP語言至今仍然只能靠較好的代碼規(guī)范來保證沒有文件包含漏洞，而無法從語言本身杜絕此類安全問題的發(fā)生。Web安全發(fā)展SQL注入的出現(xiàn)是Web安全史上的一個(gè)里程碑，它最早出現(xiàn)大概是1999年，并很快就成為Web安全的頭號(hào)大敵。就如同緩沖區(qū)溢出出現(xiàn)時(shí)一樣，程序員們不得不日以繼夜地去修改程序中存在的漏洞。黑客們發(fā)現(xiàn)通過SQL注入攻擊，可以獲取很多重要的、敏感的數(shù)據(jù)，甚至能夠通過數(shù)據(jù)庫(kù)獲取系統(tǒng)訪問權(quán)限，這種效果不比直接攻擊系統(tǒng)軟件差，Web攻擊瞬間流行起來。SQL注入漏洞至今仍然是Web安全領(lǐng)域中的一個(gè)重要組成部分。XSS（跨站腳本攻擊）的出現(xiàn)則是Web安全史上的另一個(gè)里程碑。實(shí)際上，XSS的出現(xiàn)時(shí)間和SQL注入差不多，但是真正引起人們重視則是在大概2003年以后，在經(jīng)歷了MySPace的XSS蠕蟲事件后（它在20小時(shí)內(nèi)感染了100萬個(gè)賬戶），安全界對(duì)XSS的重視程度提高了很多，OWASPTop10（2007）甚至把XSS放在榜首。Web安全發(fā)展伴隨著Web2.0的興起，XSS、CSRF等攻擊已經(jīng)變的更為強(qiáng)大。Web攻擊的思路也從服務(wù)端轉(zhuǎn)向客戶端，轉(zhuǎn)向了瀏覽器和用戶。黑客們天馬行空的思路，覆蓋了Web的每一個(gè)環(huán)節(jié)，變得更加的多樣化，這些安全問題在后面課程中會(huì)深入的探討。Web技術(shù)發(fā)展到今天，構(gòu)建了豐富多彩的互聯(lián)網(wǎng)。互聯(lián)網(wǎng)業(yè)務(wù)的蓬勃發(fā)展，也催生了許多新興的腳本語言，比如Python、Ruby、NodeJS等敏捷開發(fā)成為互聯(lián)網(wǎng)的主旋律。而手機(jī)技術(shù)、移動(dòng)互聯(lián)網(wǎng)的興起，也給HTML5帶來了新的機(jī)遇和挑戰(zhàn)。同時(shí)，Web安全技術(shù)，也將緊跟著互聯(lián)網(wǎng)發(fā)展的腳步，不斷地演化出新的變化。Web安全事件分析新浪微博攻擊事件2011年6月28日晚新浪微博遭受攻擊，新浪微博突然出現(xiàn)大范圍“中毒”，大量用戶自動(dòng)發(fā)送“建黨大業(yè)中穿幫的地方”、“個(gè)稅起征點(diǎn)有望提到4000”、“郭美美事件的一些未注意到的細(xì)節(jié)”、“3D肉團(tuán)團(tuán)高清普通話版種子”等帶鏈接的微博與私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶。20:14，開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲20:30，2中的病毒頁面無法訪問20:32，新浪微博中hellosamy用戶無法訪問21:02，新浪漏洞修補(bǔ)完畢影響：該攻擊持續(xù)16分鐘，感染用戶達(dá)到33000人左右。Web安全事件分析新浪微博攻擊事件Web安全事件分析新浪微博攻擊事件首先，黑客通過對(duì)新浪微博的分析測(cè)試，發(fā)現(xiàn)新浪名人堂部分由于代碼過濾不嚴(yán)，導(dǎo)致XSS漏洞的存在，并可以通過構(gòu)造腳本的方式植入惡意代碼。通過分析發(fā)現(xiàn)，在新浪名人堂部分中，當(dāng)提交/pub/star/g/xyyyd">?type=update時(shí)，新浪會(huì)對(duì)該字符串進(jìn)行處理，變成類似/pub/star.php?g=xyyyd">?type=update，而由于應(yīng)用程序沒有對(duì)參數(shù)g做充足的過濾，且將參數(shù)值直接顯示在頁面中，相當(dāng)于

在頁面中嵌入了一個(gè)來自于2的JS腳本。該JS腳本是黑客可以控制的文件，使得黑客可以構(gòu)造任意JS腳本嵌入到的頁面中，且通過Ajax技術(shù)完全實(shí)現(xiàn)異步提交數(shù)據(jù)的功能，進(jìn)而黑客通過構(gòu)造特定的JS代碼實(shí)現(xiàn)了受此XSS蠕蟲攻擊的客戶自動(dòng)發(fā)微博、添加關(guān)注和發(fā)私信等操作。Web安全事件分析新浪微博攻擊事件然后，黑客為了使該XSS蠕蟲代碼可以大范圍的感染傳播，會(huì)通過發(fā)私信或發(fā)微博的方式誘惑用戶去點(diǎn)擊存在跨站代碼的鏈接，尤其是針對(duì)V標(biāo)認(rèn)證的用戶，因?yàn)榇祟愑脩魮碛写罅康年P(guān)注者，所以如果此類用戶中毒，這些用戶就會(huì)通過發(fā)微博和發(fā)私信的方式將該XSS蠕蟲向其他用戶進(jìn)行傳播，必然可以實(shí)現(xiàn)該XSS蠕蟲的大范圍、快速的傳播與感染。Web安全事件分析新浪微博攻擊事件此次攻擊利用了新浪微博存在的XSS漏洞；使用有道提供的短域名服務(wù)；當(dāng)新浪登陸用戶不小心訪問到相關(guān)網(wǎng)頁時(shí)，由于處于登陸狀態(tài)，會(huì)運(yùn)行JS腳本做幾件事：發(fā)微博（讓更多的人看到這些消息，擴(kuò)大受害群體）加關(guān)注，加uid為2201270010的用戶關(guān)注（這應(yīng)該就是hellosamy）發(fā)私信，給好友發(fā)私信傳播這些鏈接Web安全事件分析12306泄密事件2014年12月25日，大量12306用戶數(shù)據(jù)在網(wǎng)絡(luò)上瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達(dá)131653條，包括用戶賬號(hào)、明文密碼、身份證和郵箱等多種信息，共約14M數(shù)據(jù)。這不