菜鳥識別常見的Web應用安全漏洞

　　在Internet大眾化及Web技術飛速演變的今天，在線安全所面臨的挑戰日益嚴峻。伴隨著在線信息和服務的可用性的提升，以及基子Web的攻擊和破壞的增長，安全風險達到了前所未有的高度。由於眾多安全工作集中在網絡本身上面，Web應用程序幾乎被遺忘了。也許這是因為應用程序過去常常是在一台計算機上運行的獨立 程序，如果這台計算機安全的話，那麼應用程序就是安全的。如今，情況大不一樣了，Web應用程序在多種不同的機器上運行：客戶端、Web服務器、數據庫服務器和應用服務器。而且，因為他們一般可以讓所有的人使用，所以這些應用程序成為了眾多攻擊活動的後台旁路。

　　由於Web服務器提供了幾種不同的方式將請求轉發給應用服務器，並將修改過的或新的網頁發回給最終用戶，這使得非法闖入網絡變得更加容易。

　　而且，許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序，這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性後果。

　　其次，許多Web應用程序容易受到通過服務器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火牆安全措施，因為端口80或443（SSL，安全套接字協議層）必須開放，以便讓應用程序正常運行。Web應用程序攻擊包括對應用程序本身的Dos（拒絕服務）攻擊、改變網頁內容以及盜走企業的關鍵信息或用戶信息等。

　　總之，Web應用攻擊之所以與其他攻擊不同，是因為它們很難被發現，而且可能來自任何在線用戶，甚至是經過驗證的用戶。迄今為止，該方面尚未受到重視，因為企業用戶主要使用防火牆和入侵檢測解決方案來保護其網絡的安全，而防火牆和入侵檢測解決方案發現不了Web攻擊行動。

　　常見的Web應用安全漏洞

　　下面將列出一系列通常會出現的安全漏洞，並且簡單解釋一下這些漏洞是如何產生的。

　　已知弱點和錯誤配置

　　已知弱點包括Web應用使用的操作系統和第三方應用程序中的所有程序錯誤或者可以被利用的漏洞。這個問題也涉及到錯誤配置，包含有不安全的默認設置或管理員沒有進行安全配置的應用程序。一個很好的例子就是你的Web服務器被配置成可以讓任何用戶從系統上的任何目錄路徑通過，這樣可能會導致洩露存儲在Web服務器上的一些敏感信息，如口令、源代碼或客戶信息等。

　　隱藏字段

　　在許多應用中，隱藏的HTML格式字段被用來保存系統口令或商品價格。盡管其名稱如此，但這些字段並不是很隱蔽的，任何在網頁上執行“查看源代碼的人都能看見。許多Web應用允許惡意的用戶修改HTML源文件中的這些字段，為他們提供了以極小成本或無需成本購買商品的機會。這些攻擊行動之所以成功，是因為大多數應用沒有對返回網頁進行驗證；相反，它們認為輸入數據和輸出數據是一樣的。

　　後門和調試漏洞

　　開發人員常常建立一些後門並依靠調試來排除應用程序的故障。在開發過程中這樣做可以，但這些安全漏洞經常被留在一些放在Internet上的最終應用中。一些常見的後門使用戶不用口令就可以登錄或者訪問允許直接進行應用配置的特殊URL。

　　跨站點腳本編寫

　　一般來說，跨站點編寫腳本是將代碼插入由另一個源發送的網頁之中的過程。利用跨站點編寫腳本的一種方式是通過HTML格式，將信息帖到公告牌上就是跨站點腳本編寫的一個很好范例。惡意的用戶會在公告牌上帖上包含有惡意的JavaScript代碼的信息。當用戶查看這個公告牌時，服務器就會發送HTML與這個惡意的用戶代碼一起顯示。客戶端的浏覽器會執行該代碼，因為它認為這是來自Web服務器的有效代碼。

　　參數篡改

　　參數篡改包括操縱URL字符串，以檢索用戶以其他方式得不到的信息。訪問Web應用的後端數據庫是通過常常包含在URL中的SQL調用來進行的。惡意的用戶可以操縱SQL代碼，以便將來有可能檢索一份包含所有用戶、口令、信用卡號的清單或者儲存在數據庫中的任何其他數據。

　　更改cookIE

　　更改cookie指的是修改存儲在cookie中的數據。網站常常將一些包括用戶ID、口令、帳號等的cookie存儲到用戶系統上。通過改變這些值，惡意的用戶就可以訪問不屬於他們的帳戶。攻擊者也可以竊取用戶的cookie並訪問用戶的帳戶，而不必輸入ID和口令或進行其他驗證。

　　輸入信息控制

　　輸入信息檢查包括能夠通過控制由CGI腳本處理的HTML格式中的輸入信息來運行系統命令。例如，使用CGI腳本向另一個用戶發送信息的形式可以被攻擊者控制來將服務器的口令文件郵寄給惡意的用戶或者刪除系統上的所有文件。

　　緩沖區溢出

　　緩沖區溢出是惡意的用戶向服務器發送大量數據以使系統癱瘓的典型攻擊手段。該系統包括存儲這些數據的預置緩沖區。如果所收到的數據量大於緩沖區，則部分數據就會溢出到堆棧中。如果這些數據是代碼，系統隨後就會執行溢出到堆棧上的任何代碼。Web應用緩沖區溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個字段中的數據足夠的大，它就能創造一個緩沖器溢出條件。

　　直接訪問浏覽

　　直接訪問浏覽指直接訪問應該需要驗證的網頁。沒有正確配置的Web應用程序可以讓惡意的用戶直接訪問包括有敏感信息的URL或者使提供收費網頁的公司喪失收入。

　　Web應用安全兩步走

　　Web應用攻擊能夠給企業的財產、資源和聲譽造成重大破壞。雖然Web應用增加了企業受攻擊的危險，但有許多方法可以幫助減輕這一危險。首先，必須教育開發人員了解安全編碼方法。僅此項步驟就會消除大部分Web應用的安全問題。其次，堅持跟上所有廠商的最新安全補丁程序。如果不對已知的缺陷進行修補，和特洛伊木馬一樣，攻擊者就能很容易地利用你的Web應用程序穿過防火牆訪問Web服務器、數據庫服務器、應用服務器等等。將這兩項步驟結合起來，就會大大減少Web應用受到攻擊的風險。同時管理人員必須采取嚴格措施，以保證不讓任何東西從這些漏洞中溜過去。

　　作者：木淼鑫

　　【賽迪網-IT技術報道】本周(2008.4.21-4.27)有一個病毒特別值得注意，它是：“VB木馬點擊器變種ZXY(Trojan.Clicker.Win32.VB.zxy)”病毒。該病毒偽裝成IE浏覽器圖標，欺騙用戶點擊運行，在後台瘋狂點擊黑客指定的網址，這些網址大部分是廣告和商業網站，黑客借此來獲取大量利潤。同時病毒會釋放數十個盜號木馬、病毒等，給用戶帶來很大的安全風險。

　　本周關注病毒：

　　VB木馬點擊器變種ZXY(Trojan.Clicker.Win32.VB.zxy) 警惕程度 ★★★

　　這是個VB語言編寫的木馬點擊器。它會偽裝成一個IE網頁圖標，欺騙用戶點擊運行。通過配置程序修改需要刷新IP流量的網頁地址，並且在後台點擊指定的網址，借以獲取利益，此病毒帶有明顯的商業性質。由於病毒會在系統System32目錄下釋放多個不同的病毒程序，會給手動清除帶來一定難度。

　　專家建議：

　　1、建立良好的安全習慣，不要輕易打開可疑的郵件以及通過QQ、MSN等傳來的文件或網址。收到好友發來的文件或網址時，應先詢問對方，確認後再打開；

　　2、不浏覽不良網站，不隨意下載安裝可疑軟件；

　　3、安裝專業的殺毒軟件升級到最新版本，並打開郵件和文件監控程序，防止病毒通過電子郵件、MSN及QQ等侵入您的計算機。

　　(責任編輯：李磊)

　　作者：木淼鑫

　　【賽迪網-IT技術報道】從2007年到現在，病毒、木馬、惡意軟件、垃圾郵件等等，開始越來越多的互相勾結，並且也逐漸確立了“利益”這一統一目標。

　　有了目標，做事也就更專注。現在木馬已經不再漫無目的的大量散發蠕蟲和病毒郵件，開始更有針對性的發起攻擊。

　　英國國家底層安全中心(NISCC)在一份報告中聲稱：有超過300個政府部門和公司成為郵件病毒攻擊的熱門目標。

　　這些郵件似乎專門針對商業或經濟部門，並收集敏感或有價值的信息，而不是到處蔓延，僅僅為了自我炫耀。這些攻擊以木馬程序為主，也有指到含木馬文件網頁的鏈接。安裝後，木馬在後台收集用戶名、密碼、系統信息、並掃描硬盤，向遠程黑客的電腦傳送數據和文件。“這些帶毒郵件的主題通常是收件人感興趣的新聞。”報告說，“這事實上是個騙局，使收件人誤以為病毒來源於值得信任的新聞社或政府部門。”

　　電子郵件安全公司MessageLabs的馬克?森內指出，該報告透露出木馬的新趨勢，即從發送大量無目的帶毒郵件，到向某些特定的有價值目標集中下手。“在以前，人們發現的病毒通常漫無目的的散布大量蠕蟲。”森內說，“但是現在的趨勢是，病毒開始集中進攻特定的組織，並試圖種木馬。”去年，MessageLabs發現該類郵件的數量成倍增長。

　　另一個值得注意的信息是，“竊取信息正在成為木馬的主要目的”。殺毒公司Sophos的經理裡查德?王說：“NISCC提到的病毒中，一大部分的目的是竊取用戶信息。”但是有關方面表示，這種新趨勢並沒有任何新的技術成分。只要及時升級病毒包，使用最新的殺毒軟件，就能有效避免攻擊。

　　(責任編輯：李磊)