26-系統(tǒng)安全06-Web安全02-Web安全概述

Web安全概述了解中國黑客的發(fā)展了解Web安全的發(fā)展熟練分析Web事件教學目標中國黑客的發(fā)展Web安全發(fā)展Web安全事件分析目錄中國黑客的發(fā)展隨著Web2.0、社交網(wǎng)絡、微博等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應用越來越廣泛，企業(yè)信息化的過程中各種應用都架設在Web平臺上，Web業(yè)務的迅速發(fā)展也引起黑客們的強烈關注。接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網(wǎng)頁內容，重則竊取重要內部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。互聯(lián)網(wǎng)剛剛開始是安全的，但是伴隨著黑客（Hacker）的誕生，互聯(lián)網(wǎng)變得越來越不安全。中國黑客的發(fā)展黑客一詞來源于“Hacker”，通常指對于計算機系統(tǒng)有深入的理解，能夠發(fā)現(xiàn)其中的問題?！癏acker”在中國按照音譯，被稱為“黑客”。在計算機安全領域，黑客是一群破壞規(guī)則、不喜歡被約束的人，因此總想著能夠找到系統(tǒng)的漏洞，以獲得一些規(guī)則之外的權力?！昂诳汀边@個詞并非源于計算機，而是源于1961年（60年代）麻省理工學院（MIT）的技術模型鐵路俱樂部，當時俱樂部成員們?yōu)樾薷墓δ芏诹怂麄兊母呖萍剂熊嚱M。從玩具列車推進到了計算機領域，這些MIT學生以及其他早期黑客，僅僅對探索、改進和測試現(xiàn)有程序的極限感興趣。某些情況下，這些黑客甚至產(chǎn)生了比先前程序好的多的程序，比如丹尼斯·里奇和基斯·湯普森的UNIX操作系統(tǒng)。中國黑客的發(fā)展計算機黑客持續(xù)繁榮演進到70年代，催生了新一類的黑客：玩弄電話系統(tǒng)的黑客，也稱“飛客”。比如約翰·德拉浦，利用的是電話交換網(wǎng)絡的操作特性，可以愚弄電話交換網(wǎng)絡，免費享用長途通話。如今的電話交換網(wǎng)絡已經(jīng)完全電子化了。80年代時黑客歷史的分水嶺，因為此時完備的個人計算機被引入了公眾視野。個人電腦的廣泛普及，引爆了黑客的快速增長。雖然仍有大量黑客專注于改進操作系統(tǒng)，但更關注個人所得的新一類黑客也漸漸浮出水面，他們將自己的技術用于犯罪活動，包括盜版軟件、創(chuàng)建病毒和侵入系統(tǒng)盜取敏感信息等。中國黑客的發(fā)展在黑客的世界里，有的黑客精通計算機技術，能自己挖掘漏洞，并編寫exploit；有的黑客只對攻擊本身感興趣，對計算機原理和各種編程技術的了解比較粗淺，只懂得利用別人的代碼，自己并沒有動手能力，這種黑客被稱為“ScriptKids”，即腳本小子。在現(xiàn)實世界里，真正造成破壞的，往往并非那些挖掘并研究漏洞的“黑客”們，而是腳本小子。在目前已經(jīng)形成產(chǎn)業(yè)的計算機犯罪、網(wǎng)絡犯罪中，造成主要破壞的，也是這些腳本小子。中國黑客的發(fā)展中國黑客發(fā)展史一共經(jīng)歷了三個時代：啟蒙時代黃金時代黑暗時代中國黑客的發(fā)展啟蒙時代20世紀90年代，此時中國得互聯(lián)網(wǎng)剛剛起步，是中國互聯(lián)網(wǎng)開始發(fā)展的萌芽時期，一些熱愛新興技術的青年受到國外黑客技術的影響，開始研究安全漏洞，大多都是個人愛好。這個時期，各地電腦發(fā)燒友最大的樂趣就是復制一些小游戲和DOS等軟件產(chǎn)品，這一類被稱為“竊客”。隨著中國大中城市互聯(lián)網(wǎng)的信息港已經(jīng)初具規(guī)模，在這樣的環(huán)境條件下，產(chǎn)生了眾多的黑客，他們掌握的技術主要是郵箱炸彈，后來誕生了特洛伊木馬，也就是網(wǎng)絡間諜NetSpy，隨后少量的國產(chǎn)工具開始小范圍流行于中國黑客之間。這些黑客起初都是對計算機領域的愛好、好奇心和強烈的求知欲，他們崇尚自由、喜歡分享，經(jīng)驗和資源都是免費提供，技術在他們看上去是最有價值的。中國黑客的發(fā)展黃金時代以2001年4月4日開始的“中美黑客大戰(zhàn)”作為標志，在這個背景下，黑客這個特殊的群體一下子幾乎引起了社會的所有眼球。此次黑客大戰(zhàn)主要在各自的互聯(lián)網(wǎng)上植入一些出氣的文章和頁面。中美黑客大戰(zhàn)真實還原場景中國黑客的發(fā)展黃金時代以上是一些真實的場景，比如美國的某個網(wǎng)名，打開他們的電商網(wǎng)站，就會彈出類似窗口。此時黑客圈子所宣揚的文化以及黑客技術的獨特魅力，吸引了無數(shù)青少年走上這條道路。此后，各種黑客組織雨后春筍般的冒出。此階段的中國黑客，由于新人較多，雖然有活力和激情，但是技術上還不夠成熟。所謂林子大了，什么鳥都有，此時期在黑客圈子里販賣漏洞，惡意軟件的現(xiàn)象就開始升溫，群體良莠不齊，也就開始出現(xiàn)了以營利為目的的攻擊行為，黑色產(chǎn)業(yè)鏈逐漸成型。中國黑客的發(fā)展黑暗時代在這個時期，黑客也循著社會的發(fā)展規(guī)律，優(yōu)勝劣汰，大多是黑客組織并沒有堅持下來。在上個時期的黑客技術論壇越來越缺少人氣，最終走向沒落。所有門戶型的漏洞披露站點，也不再公布任何漏洞相關的技術細節(jié)。隨著安全行業(yè)發(fā)展，黑客的功利性越來越強。黑色產(chǎn)業(yè)鏈開始成熟。這個地下產(chǎn)業(yè)每年會給互聯(lián)網(wǎng)造成數(shù)十億甚至百億的損失。在上一個時期技術還不成熟的黑客們，凡是堅持下來的，都已經(jīng)成長為安全領域的高級人才，有的在安全公司貢獻著自己的專業(yè)技能，有的則帶著非常強的技術進入了黑色產(chǎn)業(yè)。此時期的黑客群體，因為互相之間不再具有開發(fā)和分享的精神，最為純粹的黑客精神實質上已經(jīng)死亡。中國黑客的發(fā)展黑暗時代如今的黑客隊伍，會分為三種顏色的帽子。黑帽子：利用黑客技術造成破壞，轉為黑色產(chǎn)業(yè)，提供資源，販賣漏洞，給商業(yè)帶來損失，甚至進行網(wǎng)絡犯罪；灰帽子：白天良好公民，正常上班，半夜干壞事；白帽子：從事網(wǎng)絡安全行業(yè)，針對攻擊手段制作防護工具和解決方案，工作在反黑客領域。Web安全發(fā)展在早期互聯(lián)網(wǎng)中，Web并非互聯(lián)網(wǎng)的主流應用。一方面是因為Web技術還沒發(fā)展起來，不夠成熟；另一方面通過系統(tǒng)軟件漏洞往往能獲得很高的權限。相對來說，基于SMTP、POP3、FTP、IRC等協(xié)議的服務擁有著絕大多數(shù)的用戶，因此主要的攻擊目標是網(wǎng)絡、操作系統(tǒng)以及軟件等領域，Web安全領域的攻擊與防御技術處于非常原始的階段。相對于那些攻擊系統(tǒng)軟件的exploit而言，基于Web的攻擊，一般只能讓黑客獲得一個較低權限的賬戶，對黑客的吸引力遠遠不如直接攻擊系統(tǒng)軟件。但是時代在發(fā)展，防火墻技術的興起改變了互聯(lián)網(wǎng)安全的格局。尤其是以思科、華為、深信服等代表的網(wǎng)絡設備廠商，開始在網(wǎng)絡產(chǎn)品中更加重視網(wǎng)絡安全，最終改變了互聯(lián)網(wǎng)安全的走向。防火墻、ACL技術的興起，使得直接暴露在互聯(lián)網(wǎng)上的系統(tǒng)得到了保護。Web安全發(fā)展2003年的沖擊波蠕蟲是一個里程碑式的事件，該漏洞針對Windows操作系統(tǒng)RPC服務（運行在445端口）的蠕蟲，處理通過TCP/IP的消息交換的部分，攻擊者通過TCP135端口，向遠程計算機發(fā)送特殊形式的請求，允許攻擊者在目標機器上獲得完全的權限并以執(zhí)行任意代碼。在很短的時間內席卷了全球，造成了數(shù)百萬機器被感染，損失難以估量。在此次事件后，網(wǎng)絡運營商很堅決地在骨干網(wǎng)絡上屏蔽了135、445等端口的連接請求。此次事件之后，整個互聯(lián)網(wǎng)對于安全的重視達到了一個空前的高度。運營商、防火墻對于網(wǎng)絡的封鎖，使得暴露在互聯(lián)網(wǎng)上的非Web服務越來越少，且Web技術的成熟使得Web應用的功能越來越強大，最終成為了互聯(lián)網(wǎng)的主流。黑客們的目光，也漸漸轉移到了Web上。Web安全發(fā)展Web攻擊技術的發(fā)展也可以分為幾個階段。在Web1.0時代，人們更多的是關注服務器端動態(tài)腳本的安全問題，比如將一個可執(zhí)行腳本（俗稱WebShell）上傳到服務器上，從而獲得權限。動態(tài)腳本語言的普及，以及Web技術的發(fā)展初期，對安全問題認知的不足導致很多“血案”的發(fā)展，同時也遺留下很多歷史問題。比如PHP語言至今仍然只能靠較好的代碼規(guī)范來保證沒有文件包含漏洞，而無法從語言本身杜絕此類安全問題的發(fā)生。Web安全發(fā)展SQL注入的出現(xiàn)是Web安全史上的一個里程碑，它最早出現(xiàn)大概是1999年，并很快就成為Web安全的頭號大敵。就如同緩沖區(qū)溢出出現(xiàn)時一樣，程序員們不得不日以繼夜地去修改程序中存在的漏洞。黑客們發(fā)現(xiàn)通過SQL注入攻擊，可以獲取很多重要的、敏感的數(shù)據(jù)，甚至能夠通過數(shù)據(jù)庫獲取系統(tǒng)訪問權限，這種效果不比直接攻擊系統(tǒng)軟件差，Web攻擊瞬間流行起來。SQL注入漏洞至今仍然是Web安全領域中的一個重要組成部分。XSS（跨站腳本攻擊）的出現(xiàn)則是Web安全史上的另一個里程碑。實際上，XSS的出現(xiàn)時間和SQL注入差不多，但是真正引起人們重視則是在大概2003年以后，在經(jīng)歷了MySPace的XSS蠕蟲事件后（它在20小時內感染了100萬個賬戶），安全界對XSS的重視程度提高了很多，OWASPTop10（2007）甚至把XSS放在榜首。Web安全發(fā)展伴隨著Web2.0的興起，XSS、CSRF等攻擊已經(jīng)變的更為強大。Web攻擊的思路也從服務端轉向客戶端，轉向了瀏覽器和用戶。黑客們天馬行空的思路，覆蓋了Web的每一個環(huán)節(jié)，變得更加的多樣化，這些安全問題在后面課程中會深入的探討。Web技術發(fā)展到今天，構建了豐富多彩的互聯(lián)網(wǎng)。互聯(lián)網(wǎng)業(yè)務的蓬勃發(fā)展，也催生了許多新興的腳本語言，比如Python、Ruby、NodeJS等敏捷開發(fā)成為互聯(lián)網(wǎng)的主旋律。而手機技術、移動互聯(lián)網(wǎng)的興起，也給HTML5帶來了新的機遇和挑戰(zhàn)。同時，Web安全技術，也將緊跟著互聯(lián)網(wǎng)發(fā)展的腳步，不斷地演化出新的變化。Web安全事件分析新浪微博攻擊事件2011年6月28日晚新浪微博遭受攻擊，新浪微博突然出現(xiàn)大范圍“中毒”，大量用戶自動發(fā)送“建黨大業(yè)中穿幫的地方”、“個稅起征點有望提到4000”、“郭美美事件的一些未注意到的細節(jié)”、“3D肉團團高清普通話版種子”等帶鏈接的微博與私信，并自動關注一位名為hellosamy的用戶。20:14，開始有大量帶V的認證用戶中招轉發(fā)蠕蟲20:30，2中的病毒頁面無法訪問20:32，新浪微博中hellosamy用戶無法訪問21:02，新浪漏洞修補完畢影響：該攻擊持續(xù)16分鐘，感染用戶達到33000人左右。Web安全事件分析新浪微博攻擊事件Web安全事件分析新浪微博攻擊事件首先，黑客通過對新浪微博的分析測試，發(fā)現(xiàn)新浪名人堂部分由于代碼過濾不嚴，導致XSS漏洞的存在，并可以通過構造腳本的方式植入惡意代碼。通過分析發(fā)現(xiàn)，在新浪名人堂部分中，當提交/pub/star/g/xyyyd">?type=update時，新浪會對該字符串進行處理，變成類似/pub/star.php?g=xyyyd">?type=update，而由于應用程序沒有對參數(shù)g做充足的過濾，且將參數(shù)值直接顯示在頁面中，相當于

在頁面中嵌入了一個來自于2的JS腳本。該JS腳本是黑客可以控制的文件，使得黑客可以構造任意JS腳本嵌入到的頁面中，且通過Ajax技術完全實現(xiàn)異步提交數(shù)據(jù)的功能，進而黑客通過構造特定的JS代碼實現(xiàn)了受此XSS蠕蟲攻擊的客戶自動發(fā)微博、添加關注和發(fā)私信等操作。Web安全事件分析新浪微博攻擊事件然后，黑客為了使該XSS蠕蟲代碼可以大范圍的感染傳播，會通過發(fā)私信或發(fā)微博的方式誘惑用戶去點擊存在跨站代碼的鏈接，尤其是針對V標認證的用戶，因為此類用戶擁有大量的關注者，所以如果此類用戶中毒，這些用戶就會通過發(fā)微博和發(fā)私信的方式將該XSS蠕蟲向其他用戶進行傳播，必然可以實現(xiàn)該XSS蠕蟲的大范圍、快速的傳播與感染。Web安全事件分析新浪微博攻擊事件此次攻擊利用了新浪微博存在的XSS漏洞；使用有道提供的短域名服務；當新浪登陸用戶不小心訪問到相關網(wǎng)頁時，由于處于登陸狀態(tài)，會運行JS腳本做幾件事：發(fā)微博（讓更多的人看到這些消息，擴大受害群體）加關注，加uid為2201270010的用戶關注（這應該就是hellosamy）發(fā)私信，給好友發(fā)私信傳播這些鏈接Web安全事件分析12306泄密事件2014年12月25日，大量12306用戶數(shù)據(jù)在網(wǎng)絡上瘋狂傳播。本次泄露事件被泄露的數(shù)據(jù)達131653條，包括用戶賬號、明文密碼、身份證和郵箱等多種信息，共約14M數(shù)據(jù)。這不