Web應用安全技術WebApplication(In)security2023/6/4戴銀濤

?daiytbit@本課程涵蓋Web核心技術，如HTTP、客戶與服務器端技術、數據編碼等；涉及Web應用的主要核心功能，如客戶端控件、會話管理、訪問控制、應用程序邏輯與體系架構、Web服務器等；詳細分析各種類型的漏洞，如代碼注入、路徑遍歷、跨站點腳本、重定向攻擊、跨站點請求偽造、會話劫持、會話固定、緩沖區溢出、整數漏洞、格式化漏洞等2023/6/4Web應用安全互聯網的確是人類歷史上最偉大的發明之一，它徹底地改變了人們的工作和生活。現在，可以毫不懷疑的說，人類生活的各個方面都已經和互聯網息息相關。2023/6/4Web應用安全互聯網最引人矚目的部分就是各式各樣的Web應用，它們使現實世界中的形形色色的業務都搬到了網絡上，人們可以足不出戶地購物、娛樂、處理各種日常事務。IT人可以自豪地夸耀自己引領了業務，超越商業界創造了一種生產、銷售、服務的新形式2023/6/4Web應用安全比如今天的商業活動依靠Web生存已經是無法回避的事實。從銀行到書店，從拍賣到游戲，大部分公司都在Web上進行交易如美國接近50%的音樂零售業業務發生在網上，2010年網游中的虛擬交易市場超過15億美元，美國超過一半的成年人使用互聯網進行自己的銀行業務2023/6/4Web應用安全隨著智能手機的流行，現在大部分的網絡商務活動對消費者來說在任何時間，任何地點都可以進行。不管如何估算，Web上的業務都是經濟的重要組成部分，而且正在以前所未有的速度發展2023/6/4Web應用安全但同時，承載著豐富功能與用途的Web應用程序也成為惡意用戶與黑客等攻擊者的主要攻擊目標。盡管近年來不斷發展的平臺技術在安全上有了巨大的進步，但是對于擴張如此迅速的Web應用所面對的越來越廣泛的威脅仍然無能為力。2023/6/4Web應用安全互聯網架構本身的特點，決定了Web安全不再只是通過防火墻、防病毒軟件和安全補丁就能完成的任務而是涉及到開發人員，安全管理人員以及整個企業的所有部門乃至網上所有用戶的巨大項目。因此，如何確保Web應用的安全已成為政府、企業，特別是銀行等金融機構所面臨的主要挑戰2023/6/4Web應用安全古語云：知己知彼，百戰不殆。只有充分了解攻擊者所采用的攻擊方法以及Web應用程序中存在的可供攻擊者利用的各種漏洞，我們才能針對這些漏洞采取行之有效的防御方法。2023/6/4這里的"Web應用程序",是指通過使用Web瀏覽器與Web服務器進行通信,從而加以訪問的應用程序如前所述，Web應用安全無疑是當務之急，對相關各方而言，這一問題都至關重要2023/6/4這里的各個方面包括：互聯網業務收入日益增長的公司向Web程序托付敏感信息的用戶通過竊取支付信息或入侵銀行賬戶盜竊資金的犯罪分子2023/6/4Web應用發展歷程在互聯網發展初期，萬維網（WorldWideWeb）僅由Web站點構成，這些站點基本上都是包含靜態文檔的信息庫。隨后人們發明了Web瀏覽器，通過它來提取和顯示這些文檔。2023/6/42023/6/4此時相關的信息流僅由服務器向瀏覽器單向傳送。多數站點并不驗證用戶的合法性，因為根本沒有必要這樣做所有用戶同等對待，收取同樣的信息2023/6/4創建一個Web站點所帶來的安全威脅主要與Web服務器的軟件漏洞有關攻擊者入侵Web站點并不能獲取任何敏感信息，因為服務器上的保存的所有信息都可以公開查看此時入侵者往往會修改服務器上的文件以歪曲Web站點的內容，或利用服務器的存儲容量和帶寬傳播“非法軟件”2023/6/4如今的WWW與早期的已經完全不同，Web上的大多數站點實際是應用程序。它們功能強大，在服務器和瀏覽器之間進行雙向信息傳送。2023/6/42023/6/4這些應用程序支持注冊與登錄、金融交易、搜索以及用戶創作的內容用戶獲取的內容以動態形式生成，并且往往能滿足每個用戶的特殊要求。它們處理的許多信息屬于私密和高度敏感的信息。2023/6/4所以安全問題至關重要如果用戶認為Web應用會將他們的信息泄露給未授權的訪問者，他們就會拒絕使用該程序2023/6/4Web應用帶來了新的重大安全威脅。應用不同，所包含的漏洞也各不相同許多應用是由開發人員獨立開發的，還有許多開發人員幾乎對他們所編寫的代碼可能引起的安全問題一無所知。2023/6/4為了實現核心功能，Web應用通常需要與內部計算機系統建立連接，這些系統中保存著高度敏感的數據，并能執行強大的業務功能十年前，如果需要轉賬必須去銀行，讓銀行職員幫你完成交易今天，你可以訪問銀行的Web應用程序，自己完成轉賬交易從而進入Web應用程序的攻擊者能夠竊取個人信息，進行金融欺詐或執行針對其他用戶的惡意行為2023/6/4Web應用的常見功能創建Web應用的目的是執行可以在線完成的任何有用功能。常見的一些功能有購物（Amazon）社交網絡（Facebook）銀行服務（網上銀行）Web搜索（Google）博客，微博（Blog，Twitter）Web郵件（Gmail）交互信息（Wikipedia）2023/6/4除了可以使用計算機瀏覽器訪問外，同時還可以被智能手機或平板電腦訪問的應用正快速增長大多數移動應用或使用瀏覽器訪問，或由專門開發的客戶端使用基于HTTP的API與服務器通信此時不同的用戶平臺和訪問界面共享該應用的功能和數據2023/6/4除了上述的公共互聯網外，許多組織內部也廣泛采用Web應用執行一些關鍵業務，許多程序設計高度敏感數據和功能：HR（人力資源）應用允許用戶訪問收入信息，給出和得到工作表現反饋，管理招聘和獎懲程序。作為關鍵設備的管理界面如Web服務器和Mail服務器，用戶工作站以及虛擬機管理。協同軟件，用于共享文件，管理工作流和項目，并跟蹤問題。這些類型的功能往往經常涉及重要的安全和治理問題，并且組織完全依靠內置的Web應用來管理和控制。2023/6/4商業應用，如企業資源計劃（ERP）軟件，以前使用專有的（厚）客戶端應用程序訪問，現在則可以使用web瀏覽器訪問軟件服務如電子郵件，原本需要一個單獨的郵件客戶端，現在可以通過諸如OutlookWebAccess來進行Web訪問。傳統的桌面辦公應用，如文字處理器和Excel表等已遷移到Web應用程序服務，如谷歌Apps和微軟OfficeLive。2023/6/4在所有這些例子中，被視為“內部”的應用越來越多的被組織轉移到外部服務提供商實行外部托管以削減成本。在這些所謂的“云計算”解決方案中，組織內部的關鍵業務功能和數據被廣泛暴露在潛在的攻擊者面前，并且組織越來越依賴于外部的，完全在他們的控制之外的整體安全防御體系。2023/6/4這樣的時代正在快速迫近：大多數計算機用戶所需要的唯一客戶端就是一個Web瀏覽器用戶使用一組共享的協議和技術就能實現各種業務功能，但隨之也會得到不同范圍的共同安全漏洞2023/6/4Web應用的優點Web應用越來越流行的原因顯而易見，若干技術因素以及與主要的商業動機相結合，從而引發了互聯網使用方式上的重大變革HTTP是用于訪問互聯網的核心通信協議，它是輕量級的，無需連接。這一點提供了對通信錯誤的容錯性。應用HTTP，許多傳統client-server（CS架構）應用程序中的服務器無需向每一個用戶開放網絡連接。HTTP還可以通過代理和其它協議傳輸，允許在任何網絡配置下進行安全通信2023/6/4Web應用的優點每個Web用戶都在其計算機或智能移動終端上安裝了瀏覽器，Web應用為瀏覽器動態部署用戶界面，不再像以前那樣需要發布和管理單獨的客戶端軟件，界面的變化只需在服務器上更改一次，即可立即生效。如今的瀏覽器功能非常強大，可構建內容豐富并且令人滿意的用戶界面。Web界面使用標準導航和輸入控件，可保證用戶即時熟悉這些功能，而不需要學習使用各種程序。應用程序可通過客戶端腳本功能將部分功能處理交由客戶端完成，必要時，可使用厚客戶端組件任意擴展瀏覽器的功能。flash，ActiveX。。。2023/6/4Web應用的優點用于開發Web應用的核心技術和語言相對簡單。即使是初學者，也可以使用現有的各種平臺和開發工具，開發出強大的應用程序，還有大量開源代碼和其它資源可供整合到定制的應用程序中2023/6/4Web應用安全與任何新興技術一樣，Web應用程序也會帶來一系列新的安全方面的漏洞。這些常見的缺陷也在“與時俱進”，出現了一些開發人員在開發現有應用程序時未曾考慮到的攻擊方式。由于安全意識的加強，一些問題已經得到解決。但新技術的使用會引入新的漏洞。Web瀏覽器自身軟件的改進基本上消除了某些缺陷2023/6/4Web應用安全對Web應用程序最嚴重的襲擊事件是那些暴露敏感數據或獲得了不受限制地訪問應用程序運行的后端系統的權限。此類倍受矚目的危機繼續頻頻發生。另外，對于許多組織來說，任何攻擊導致系統宕機是一個重大事件。可使用應用程序級的拒絕服務攻擊來達到過去傳統的針對基礎設施所實施的資源枯竭攻擊相同的結果。但現在實施這些攻擊的技術和目的更加微妙，比如他們可能被用于在金融領域的服務交易，游戲，網上招標，機票預訂等領域中來中斷特殊的用戶或服務來獲得針對同行的競爭優勢。2023/6/4Web應用安全在整個發展過程中，不時有知名的網站被攻破的新聞報道。情況似乎沒有好轉，也沒有跡象表明這些安全問題已經得到解決可以說，如今的Web應用安全領域是攻擊者與計算機資源和數據防御者之間最重要的戰場，在可預見的將來，這種情況可能仍將持續2023/6/4“本站點是安全的”目前人們已經普遍認識到，對Web應用而言，安全確實是個問題。瀏覽某些網站時，他們會向你保證該網站確實是安全的。大多數網站會強調他們是安全的，因為他們采用了SSL技術，如：“本站點絕對安全，因為我們使用了128位安全套階層（SecureSocketLayer,SSL)技術設計，可防止未授權用戶查看您的任何信息。您可以放心使用本站點，我們絕對保證您的數據安全。”站點常常要求用戶核實站點證書，并想法設法讓用戶相信其所采用的先進加密協議無懈可擊，從而說服用戶放心地向其提供個人信息2023/6/4越來越多的組織還舉出他們遵守支付卡行業（PCI）標準，以保證用戶，他們是安全的。例如：我們對安全非常重視，每天掃描以確保我們的網站保持PCI兼容從而免受黑客攻擊。你可以在下面的標志下看到最新的掃描日期，從而保證我們的網站是安全的。2023/6/4事實上，大多數Web應用并不安全，盡管有SSL技術以及常規PCI掃描被廣泛使用。下面是對2007-2011年間測試的Web應用受一些常見類型的漏洞影響的比例：2023/6/4常見Web應用漏洞不完善的身份驗證措施（62%）：這類漏洞包括應用程序登陸機制中的各種缺陷，可能會使攻擊者破解保密性不強的密碼，暴力猜解或完全避開登陸。不完善的訪問控制措施（71%）：這一類問題涉及的情況包括：應用程序無法為數據和功能提供全面保護，攻擊者可以查看其他用戶保存在服務器中的敏感信息，或者執行特權操作。SQL注入（32%）：攻擊者可通過這一漏洞提交專門設計的輸入，干擾應用程序與后端數據庫的交互活動。攻擊者能從應用程序中提取任何數據、破壞其業務邏輯結構，或者在數據庫服務器上執行命令2023/6/4常見Web應用漏洞信息泄露（78%）：這一問題包括應用程序泄露敏感信息，攻擊者利用這些敏感信息通過有缺陷的錯誤處理或其他行為攻擊應用程序。跨站腳本（94%）：攻擊者可以利用該漏洞攻擊應用程序的其他用戶、訪問其信息、代表他們執行未授權操作，或者向其發起其他攻擊。2023/6/42023/6/4SSL協議SSL協議，英文SecureSocketLayerProtocol，中文稱為安全套接層協議SSL協議最初由Internet的應用先驅Netscape公司1995年設計開發，該協議是一種利用公共密鑰技術的工業標準，目前已廣泛應用于互聯網，成為事實上的工業標準，主流瀏覽器及許多服務器都支持SSL協議目的是通過在收發雙方建立安全通道來提高應用程序間交換數據的安全性，從而實現瀏覽器和服務器（通常是Web服務器）之間的安全通信2023/6/4凡是支持送SSL協議的網頁，都會以https://作為URL的開頭客戶在與服務器進行SSL會話中，如果使用的是微軟的IE瀏覽器，可以在右下方狀態欄中看到一只金黃色的鎖形安全標志，用鼠標雙擊該標志，就會彈出服務器證書信息一臺支持SSL的典型網絡主機接收SSL連接的默認端口是4432023/6/4但SSL并不能抵御直接針對某個應用程序的服務器或客戶組件的攻擊，而許多成功的攻擊都恰恰屬于這種類型。特別需要指出的是，SSL并不能阻止上述任何漏洞或許多其他使應用程序受到威脅的漏洞，無論是否使用SSL，大多數Web應用程序仍然存在安全漏洞2023/6/4核心安全問題：用戶可提交任意輸入與許多大量使用的應用程序一樣，為確保安全，Web應用程序必須解決一個根本問題。由于應用程序無法控制用戶，用戶幾乎可向服務器端應用程序提交任意輸入應用程序必須假設所有輸入的信息都是惡意的輸入，并必須采取措施確保攻擊者無法使用專門設計的輸入破壞應用程序、干擾業務邏輯或非法訪問數據及功能2023/6/4核心安全問題：用戶可提交任意輸入這個核心問題表現在許多方面：用戶可干預客戶與服務器間傳送的所有數據，包括請求參數，cookie和HTTP信息頭。可輕易避開客戶端執行的任何安全控件，如輸入確認驗證。用戶可按任何順序發送請求，并可在應用程序要求之外的不同階段不止一次提交或根本不提交參數。用戶的操作可能與開發人員對用戶和應用程序交互方式作出的任何假設完全不同用戶并不限于僅使用一種Web瀏覽器訪問應用程序。大量各種各樣的工具可以協助攻擊Web應用程序，這些工具既可整合在瀏覽器中，也可獨立于瀏覽器運作。這些工具能夠提出普通瀏覽器無法提交的請求，并能夠迅速生成大量的請求，查找和利用安全問題達到自己的目的。2023/6/4核心安全問題：用戶可提交任意輸入絕大多數針對Web應用程序的攻擊都涉及向服務器提交輸入，旨在引起一些應用程序設計者無法預料或不希望出現的事件。以下例子說明為實現這種目的而提交的專門設計的輸入：更改以隱藏的HTML表單字段提交的產品價格，以更低廉的價格欺詐性地購買東西修改在HTTPcookies中傳送的會話令牌，劫持另一個驗證用戶的會話利用應用程序處理過程中的邏輯錯誤刪除某些正常提交的參數改變由后端數據庫處理的某個輸入，從而注入一個惡意數據庫查詢以訪問敏感數據。2023/6/4核心安全問題：用戶可提交任意輸入毋庸置疑，SSL無法阻止攻擊者向服務器提交專門設計的輸入。應用程序使用SSL僅僅表示網絡上的其他用戶無法查看或修改攻擊者傳送的數據。因為攻擊者控制著SSL通道的終端，能夠通過這條通道向服務器傳送任何內容。如果前面提到的任何攻擊成功實現，那么不論其如何聲稱其站點如何安全，該應用程序都很容易受到攻擊2023/6/4關鍵問題因素任何情況下，如果一個應用程序必須接受并處理可能為惡意的未經驗證的數據，就會產生Web應用程序面臨的核心安全問題但是，對Web應用程序而言，幾種因素的結合使得問題更加嚴重，這也解釋了當今互聯網上許多Web應用無法很好解決這一問題的原因。2023/6/41：不成熟的安全意識與網絡和操作系統這些發展時間更長的領域相比，人們對Web應用安全問題的意識還遠遠不夠成熟。雖然大多數IT安全人員掌握了相當多的網絡安全與主機強化基礎知識，但他們對與Web應用安全有關的許多核心概念仍然不甚了解，甚至存有誤解。即使是經驗豐富的Web應用程序開發人員也會經常遇到一些對他們而言完全陌生的基本缺陷類型2023/6/42：獨立開發大多數Web應用程序都由企業自己的員工或合作公司獨立開發。即使應用程序采用第三方組件，通常也是使用新代碼將第三方組件進行自定義或拼湊在一起。在這種情況下，每個應用程序都各不相同，并且可能包含其獨有的缺陷。這種情形與組織購買業內一流產品并按照行業標準指南安裝的典型基礎架構部署形成鮮明對照。2023/6/43：欺騙性的簡化使用今天的Web應用程序和開發工具，一個程序員新手也可能在短期內從頭開始創建一個強大的應用程序。但是，在編寫功能性代碼和編寫安全代碼之間存在著巨大的差異。許多有問題的Web應用程序也是由善意的個人創建，他們只是缺乏發現安全問題的知識與經驗2023/6/43：欺騙性的簡化近年來的一個突出的趨勢是使用能提供現成的代碼組件的應用程序框架來處理眾多共有的功能，如身份驗證，頁面模板，留言板等，然后與常見的后端基礎組件集成。這些框架的例子包括Liferay和AppFuse企業架構等。這些產品使得建立應用工作變得快速方便，而且不需要技術上理解應用是如何工作的以及其可能包含的潛在漏洞風險。但這同時也意味著許多公司使用相同的架構，因而，一旦發現了某個安全漏洞，將影響許多不相干的應用2023/6/44：迅速發展的威脅形勢Web應用程序攻擊與防御研究發展相對不成熟，是一個正在蓬勃發展的領域，其中新概念與威脅出現的速度比傳統的技術要快得多。在項目開始之初就完全了解了當前威脅的開發團隊，很可能到應用程序開發完成并部署后也會面臨許多未知的威脅2023/6/45：資源與時間限制由于獨立、一次性開發的影響，許多Web應用程序的開發項目會受到嚴格的時間與資源限制。通常，設計或開發團隊不可能雇用專職的安全專家，而且由于項目進程的拖延，往往要等到項目周期的最后階段才由專家進行安全測試。為了兼顧各種要素，按期開發出穩定而實用的應用程序的要求往往使開發團隊忽視不明顯的安全問題。小型組織一般不愿多花時日評估一個新的應用程序。快速滲透測試通常只能發現明顯的安全漏洞，而往往會遺漏比較細微、需要時間和耐心來發現的漏洞2023/6/46：技術上強其所難Web應用程序使用的許多核心技術出現于與目前十分不同的萬維網（WWW）早期階段，從那以后，其功能已經遠遠超越最初的設想。例如，在許多基于Ajax的應用程序中使用Javascript進行數據傳輸。隨著對Web應用程序功能要求的變化，用于執行這種功能的技術已經遠遠落后于發展要求，而開發人員還是沿用原有的技術來滿足新的需求。因此，這種做法造成的安全漏洞與無法預料的負面影響也就不足為奇了2023/6/4新的安全邊界在Web應用程序出現之前，主要在網絡邊界上抵御外部攻擊。保護這個邊界需要對其提供的服務進行強化、打補丁，并在用戶訪問之間設置防火墻。Web應用程序改變了這一切。用戶要訪問應用程序，邊界防火墻必須允許其通過HTTP/S連接內部服務器；應用程序要實現其功能，必須允許其連接服務器以支持后端系統，如數據庫、大型主機以及金融與后勤系統。這些系統通常處于組織運營的核心部分，并由幾層網絡級防御保護2023/6/4新的安全邊界如果Web應用程序存在漏洞，那么公共互聯網上的攻擊者只需從Web瀏覽器提交專門設計的數據就可攻破組織的核心后端系統。這些數據會像傳送至Web應用程序的正常、良性數據流一樣，穿透組織的所有網絡防御2023/6/4新的安全邊界Web應用程序的廣泛應用使得典型組織的安全邊界發生了變化。部分安全邊界仍舊關注防火墻與防御主機。但大部分安全邊界更加關注組織所使用的Web應用程序。Web應用程序接收用戶輸入的方式多種多樣，將這些數據傳送至敏感后端系統的方式也多種多樣，這些都是一系列攻擊的潛在關口，因此必須在應用程序內部執行防御措施以阻擋這些攻擊。即使某個Web應用程序的某一行代碼存在缺陷，也會使組織的內部系統易于遭受攻擊。2023/6/4新的安全邊界Web應用程序安全邊界發生變化的另一原因，在于用戶本身在訪問一個易受攻擊的應用程序時面臨的威脅。惡意攻擊者可能會利用一個良性但易受攻擊的Web應用程序攻擊訪問它的用戶。如果用戶位于企業網內部，攻擊者可能會控制用戶的瀏覽器，并從用戶的可信位置向本地網絡發動攻擊。如果攻擊者心存惡意，他不需要用戶的任何合作，就可以代表用戶執行任何行為。2023/6/4新的安全邊界網管清楚如何防止其用戶訪問惡意的Web站點，終端用戶也逐漸意識到這種威脅。但是，鑒于Web應用程序漏洞的本質，與一個全然惡意的Web站點相比，易受攻擊的應用程序至少給用戶及其組織帶來了一種威脅因此，新的安全邊界要求應用程序所有人承擔保護其用戶的責任，使他們免受通過應用程序傳送的攻擊2023/6/4Web應用安全的未來雖然經過十幾年的廣泛應用，目前互聯網上的Web應用程序依然充滿漏洞。在了解Web應用程序面臨的安全威脅以及如何有效應對這些威脅方面，整個行業尚未形成成熟的意識。目前幾乎沒有跡象表明上述問題能夠在不遠的將來得到解決2023/6/4Web應用安全的未來Web應用程序安全形勢的細節并非是靜止不變的盡管SQL注入等熟悉的傳統漏洞還在不斷出現，但已不是主要問題。而且，現有的漏洞也變得更難以發現和利用。幾年前只需使用瀏覽器就能夠輕易探測與利用的小漏洞，現在需要花費大量精力開發先進技術來發現。2