深圳市網安計算機安全檢測技術有限公司2013-03網站安全防護基礎

一、當前互聯網站安全形勢據國家互聯網應急中心監測,2011年中國大陸有近3.5萬個網站被黑客篡改,其中被篡改的政府網站高達4635個,比2010年上升67.6%。

2012年12月，互聯網網絡安全狀況整體評價為中。主要數據如下：境內感染網絡病毒的終端數為414萬余個；境內被篡改網站數量為9017個，其中被篡改政府網站數量為758個；境內被植入后門的網站數量為13241個，針對境內網站的仿冒頁面數量為3888個；

一、當前互聯網站安全形勢一、當前互聯網站安全形勢假冒的中國工商銀行網站w真正的中國工商銀行網站一、當前互聯網站安全形勢二、網站面臨網絡攻擊風險二、網站面臨網絡攻擊風險OWASP(開放Web軟體安全項目-OpenWebApplicationSecurityProject)是一個開放社群、非營利性組織，它提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息。其目的是協助個人、企業和機構來發現和使用可信賴軟件。目前全球有130個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力于協助政府或企業了解并改善網頁應用程式與網頁服務的安全性。4、針對網站服務器操作系統溢出漏洞、組件漏洞等實施攻擊入侵；5、針對WEB應用系統、中間件、數據庫和操作系統的配置隱患導致的漏洞實施攻擊；6、針對網站系統周邊存在的脆弱性，迂回實施攻擊，如同一網段、同一主機等；7、針對脆弱的網絡協議和系統機制實施Dos，甚至DDos（分布式拒絕服務攻擊），造成系統資源耗盡或網絡堵塞，導致網站無法訪問，甚至長時間無法恢復服務；二、網站面臨網絡攻擊風險黑客入侵網站的一般過程1、踩點（FootPrint）2、掃描（Scan）3、漏洞利用4、獲得更高權限5、留下后門，打掃痕跡二、網站面臨網絡攻擊風險1、踩點（1）、域名注冊信息查詢：（2）、站點IP地址查詢：nslookup命令或ping命令（3）、站點內部信息：登錄網站查看（4）、旁注站點查詢：（5）、其他信息收集：Intitle:”xxx”、inurl:域名管理員,admin、cache:site:（查二級域名）（6）、網站使用開源代碼或開源組件二、網站面臨網絡攻擊風險1、踩點（1）、域名注冊信息查詢：二、網站面臨網絡攻擊風險4、旁注站點查詢：

一家物流公司的網站域名：IP：33二、網站面臨網絡攻擊風險5、其他信息收集：inurl:域名管理員,admin二、網站面臨網絡攻擊風險

二、網站面臨網絡攻擊風險當我們輸入inurl:“ViewerFrame?Mode=”后……6、網站使用開源代碼或開源組件

二、網站面臨網絡攻擊風險6、網站使用開源代碼或開源組件（eWebEditor、FCKEditor、KindEditor等）

二、網站面臨網絡攻擊風險1、WEB程序及中間件漏洞掃描推薦工具：AcunetixWebVulnerabilityScanner

IBMRationalAppScanNikto

2、主機系統漏洞掃描

推薦工具：Nessus二、網站面臨網絡攻擊風險1、掃描主機系統漏洞掃描器二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞1、SQL注入漏洞2、跨站腳本執行漏洞3、登錄繞過漏洞4、不安全的http方式，put上傳文件(視頻演示)5、Tomcat、Jboss、apache等中間件安全漏洞（視頻演示）6、腳本上傳漏洞（不限制文件類型或者容易繞過）7、管理后臺無驗證8、編輯器漏洞9、網站目錄遍歷漏洞10、源代碼泄露（備份文件）二、網站面臨網絡攻擊風險1、SQL注入漏洞

程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQLInjection，即SQL注入。二、網站面臨網絡攻擊風險1、SQL注入漏洞危害性例如：二、網站面臨網絡攻擊風險1、SQL注入漏洞防范措施

增加對全站的SQL注入過濾模塊，過濾’,;selectandor%等等符號。

開發代碼過程中，應有檢查用戶輸入點的合法性代碼。在站點前面增加防WEB攻擊的設備或工具。二、網站面臨網絡攻擊風險2、跨站腳本執行漏洞即CrossSiteScriptExecution(通常簡寫為XSS)指入侵者在遠程WEB頁面的HTML代碼中插入具有惡意目的的數據，用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執行。原理：未檢查用戶輸入到數據庫的數據合法性；

未檢查從數據庫中讀出的數據合法性；二、網站面臨網絡攻擊風險

<iframesrc=‘’,></iframe>二、網站面臨網絡攻擊風險2、跨站腳本執行漏洞的危害：（1）、網頁隱藏訪問（增加訪問量或釣魚）例子：<script>windows.open(‘目標頁面’,’’,’top=10000’,left=10000,height=0,width=0’)</script><iframesrc=‘目標網頁’,height=0,width=0></iframe>（2）、獲取瀏覽者或站點管理員的cookie信息例子：<script>alert(document.cookie)</script>（3）、執行惡意代碼例子：<script>while(ture)alert(‘炸死你’)</script>二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞2、跨站腳本執行漏洞防范措施

增加對全站的SQL注入過濾模塊，過濾’,;selectandor%<>等等符號。

開發代碼過程中，應有檢查用戶輸入點的合法性和數據庫讀出合法性的代碼。在站點前面增加防WEB攻擊的設備或工具。二、網站面臨網絡攻擊風險3、登錄繞過漏洞和無驗證實例：登陸頁面賬號填上‘or1=1#密碼一樣，或隨便寫注：該圖片來自互聯網二、網站面臨網絡攻擊風險注：該圖片來自互聯網二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：4、不安全的http方式（WEBDAV無安全驗證），put上傳文件防范方法：關閉IIS上的WEBDAV組件二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：5、Tomcat、Jboos、Apache等中間件漏洞一個簡單的工具就可導致服務器淪陷，只需要懂得基礎命令，就能獲得服務器權限。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：ApacheStruts2框架命令執行漏洞Struts框架是Apache基金會Jakarta項目組的一個OpenSource項目，它采用MVC模式，幫助java開發者利用J2EE開發Web應用。Struts框架廣泛應用于運營商、政府、金融行業的門戶網站建設，作為網站開發的底層模板使用，目前大量開發者利用J2EE開發Web應用的時候都會利用這個框架。二、網站面臨網絡攻擊風險ApacheStruts2框架在2010年被發現存在一個嚴重命令執行漏洞（CVE-2010-1870）。近期，一系列針對此漏洞的自動化檢測、利用工具在網絡上公開，大大降低了利用難度。目前大量使用Struts2框架編寫的網站被發現受此漏洞影響，并已在互聯網上公開，這可能造成這些網站被控制、敏感數據被泄漏。二、網站面臨網絡攻擊風險受影響的軟件及系統包括：OpenSymphonyXWork<2.2.0以及ApacheGroupStruts<2.2.0。

由于國內仍然有大量的運營商、政府、金融等行業客戶的網站還在使用低版本的Struts2框架，受此漏洞的影響將面臨巨大的安全風險，典型的風險包括：直接獲得管理員權限，刪除和修改服務器數據，甚至刪除數據庫。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：5、Tomcat、JBoos等中間件漏洞（Tomcat有視頻演示）JBOSS默認配置會有一個后臺漏洞后臺，如下圖。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：5、Tomcat、JBoos等中間件漏洞（Tomcat有視頻演示）下拉到如下圖所示點擊flavor=URL,type=DeploymentScanner進入二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：5、Tomcat、JBoos等中間件漏洞（Tomcat有視頻演示）如果在輸入框中寫入war壓縮文件webshell的url地址，如上圖點擊invoke執行界面獲得一個jsp的webshell，如下圖二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：5、Tomcat、JBoos等中間件漏洞（Tomcat有視頻演示）臨時漏洞修補辦法：給jmx-console加上訪問密碼Tomcat修補方法：設置高強度密碼或刪除Tomcat管理后臺，使用文件配置的方法進行管理。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：6、腳本上傳漏洞（不限制文件類型或者容易繞過）對站內的上傳點上傳的文件或腳本未做任何過濾而產生安全漏洞。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：8、編輯器漏洞例如：Ewebeditor后臺路徑易猜解且使用默認口令

（1）、用戶名、密碼均為admin，黑客會用這個漏洞上傳webshell，進而控制主機。下面截圖為登錄后界面。（2）、登錄后可以通過其新建式樣，上傳WEBSHELL腳本木馬。下圖是通過該漏洞上傳WEBSHELL，操作虛擬主機目錄下任意文件的演示截圖。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：編輯器漏洞防范措施：修改編輯器的路徑。設置高強度的密碼。刪除編輯器后臺。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：9、網站目錄遍歷漏洞由于WEB應用發布中間件（IIS、Apache等）配置不安全導致站點目錄允許被瀏覽。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：10、源代碼泄露（備份文件）備份文件可能會引起網站代碼信息泄漏。二、網站面臨網絡攻擊風險常見被利用的WEB應用漏洞：二、網站面臨網絡攻擊風險主機系統漏洞二、網站面臨網絡攻擊風險加固主機系統1、及時安裝系統補丁、并更新各種應用軟件的版本和補丁。2、關閉不必要系統服務和共享。3、加強賬戶、密碼的安全配置。4、本地的安全策略配置。5、加強防病毒、木馬能力。6、加強防范攻擊和監控能力。二、網站面臨網絡攻擊風險提升權限：利用系統中的安全漏洞或是別的方法使得自己突破了原有權限的限制，能夠非法訪問對方目錄甚至是使得自己能夠向管理員那樣來獲取整個系統控制。應用軟件提權（Serv-U、Pcanywhere、Radmin、360安全輔助工具、數據庫管理軟件、殺毒軟件等等）。操作系統本身漏洞或不安全配置提權。Serv-U提權視頻演示二、網站面臨網絡攻擊風險提升權限防范方法：及時檢測系統和應用軟件的安全漏洞，并進行修補。經常關注安全漏洞信息。二、網站面臨網絡攻擊風險5、留下后門、打掃痕跡二、網站面臨網絡攻擊風險三、網站安全防范措施內容展示網上辦事網上交互業務類型網頁篡改敏感信息泄密業務中斷威脅類型非法入侵系統、代碼加固網頁防篡改冗余災備身份鑒別訪問控制防護類型業務安全風險管理角度三、網站安全防范措施縱深防御角度InternetWebServerApplicationServerDatabasesBackendServer/SystemPortScanningDoSAnti-spoofingWebServerknowvulner-abilitiesPattern-BasedAttacks

SQLInjection

CrossSiteScripting

ParameterTamperingCookiePoisoningFirewall網絡端口訪問控制UDP/TCP狀態感知1IDS/IPSIDS/IPS基于規則的異常檢測入侵防護已知漏洞管理2Web

Applicat