多層次解網(wǎng)站安全之謎

文/林予松 黃信海 王宗敏

多層次解網(wǎng)站安全之謎

文/林予松 黃信海 王宗敏

隨著信息技術和Internet的高速發(fā)展，網(wǎng)站在人們的日常生活中扮演了越來越重要的角色，已成為政府、企業(yè)、學校、金融等組織和機構開展日常工作、交流及展示自我的重要平臺。同時，隨著人們對網(wǎng)站依賴性的不斷增加，網(wǎng)站也成為了“黑客”眼中一個重要的攻擊目標。據(jù)CNCERT/CC 2009年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告顯示：僅2009年，中國大陸有4.2 萬個網(wǎng)站被黑客篡改，各類網(wǎng)站被掛馬的情況也層出不窮。網(wǎng)站被黑，直接影響組織和機構的正常工作，甚至帶來名譽及經(jīng)濟損失。

網(wǎng)站安全現(xiàn)狀及主要問題

網(wǎng)站安全是一個涉及到基礎網(wǎng)絡層次，宿主操作系統(tǒng)層次，Web應用程序層次，數(shù)據(jù)庫管理系統(tǒng)層次，以及安全管理層次的系統(tǒng)工程。它遵循“木桶原理”，任何一個層次的漏洞或缺陷，都可能成為網(wǎng)站受到攻擊的原因。隨著網(wǎng)站技術的發(fā)展，攻擊技術也在不斷發(fā)展，各種自動化攻擊工具層出不窮，發(fā)起攻擊的技術門檻越來越低，同時攻擊日益呈現(xiàn)利益驅動化、團體化，使得網(wǎng)站安全現(xiàn)狀不容樂觀。根據(jù)CNCERT/CC 2010年第23期網(wǎng)絡安全信息與動態(tài)周報顯示：2010年6月14日至6月20日，境內被木馬控制的主機IP地址數(shù)目為491402個，被僵尸網(wǎng)絡控制的主機IP地址數(shù)目為5572個，被篡改的政府網(wǎng)站數(shù)量為108個。惡劣的網(wǎng)絡環(huán)境，使得網(wǎng)站安全面臨嚴重的安全威脅。

由于網(wǎng)站安全涉及到多個層次，因此網(wǎng)站面臨的安全威脅主要有以下幾個方面 ：

1基礎網(wǎng)絡層次

來自基礎網(wǎng)絡層次的威脅主要是網(wǎng)絡設備的物理安全以及威脅網(wǎng)絡安全的一些常見的攻擊手段。

網(wǎng)絡設備物理安全威脅：主要指網(wǎng)絡設備受火災、洪水、風暴、地震等破壞，以及環(huán)境(溫度、濕度、振動、沖擊、污染、電磁輻射/干擾、停斷電等)和人為因素（操作失誤造成設備損壞、設備被盜竊等）的影響。

探測攻擊：攻擊者使用各種工具對網(wǎng)絡和服務器信息進行探測，進而收集網(wǎng)絡拓撲、有效IP、操作系統(tǒng)類型、活動端口、漏洞、安全弱點等信息。

拒絕服務攻擊（DoS Attack）：拒絕服務（DoS，Denial of Service）攻擊或者分布式拒絕服務（DDoS，Distributed Denial of Service）攻擊是指攻擊者利用網(wǎng)絡上大量的已被攻陷的主機作為僵尸（或稱“肉雞”），向某一特定的目標主機發(fā)送大量的服務請求，來消耗目標主機的網(wǎng)絡資源和系統(tǒng)資源，使之無法向正常請求的用戶提供服務，從而達到攻擊的目的。根據(jù)攻擊目標不同，DoS攻擊主要分為網(wǎng)絡帶寬攻擊和連通性攻擊。

緩沖區(qū)溢出攻擊：緩沖區(qū)溢出攻擊的目的在于擾亂以特權身份運行的程序功能，使攻擊者獲得程序的控制權，進而控制整個主機。它通過向程序的緩沖區(qū)寫入超出其長度的內容，造成緩沖區(qū)溢出，破壞程序堆棧，使程序運行出錯或者轉而執(zhí)行其他的指令，進而達到攻擊效果。如果被跳轉執(zhí)行的指令是放在具有超級管理員權限的內存里，攻擊者就有機會以超級管理員的權限控制整個系統(tǒng)。

TCP劫持：TCP劫持是一種中間人攻擊方式，它的基本要求是攻擊者要獲取被攻擊主機間發(fā)送的數(shù)據(jù)報文進而獲得正確的序列號并偽造數(shù)據(jù)。因此，攻擊者必須位于兩臺主機的通信路徑之間，從而可以對攻擊目標進行竊聽、復制、篡改并發(fā)送數(shù)據(jù)。攻擊者利用這種攻擊可以在兩臺主機之間進行正常的驗證，奪取連接的控制權，進而利用TCP劫持來對私人信息等進行非授權的訪問和篡改。

2宿主操作系統(tǒng)層次

運行著Web服務器和數(shù)據(jù)庫管理系統(tǒng)的操作系統(tǒng)是網(wǎng)站運行的基礎，它往往存在很多的系統(tǒng)缺陷和漏洞（例如0day漏洞）, 默認以及不合理的安裝設置導致了不安全因素的存在，不必要的服務也會降低操作系統(tǒng)的安全性。黑客、病毒、木馬等正是利用了這些漏洞和不安全因素來破壞系統(tǒng)，進而威脅到運行于系統(tǒng)之上的網(wǎng)站的安全性。

3Web應用程序和數(shù)據(jù)庫管理系統(tǒng)層次

Web應用程序和數(shù)據(jù)庫管理系統(tǒng)層次的主要威脅有：解釋執(zhí)行Web應用程序腳本的Web服務器和存儲數(shù)據(jù)的數(shù)據(jù)庫管理系統(tǒng)本身的漏洞和配置不當；Web應用程序邏輯設計上存在的身份認證邏輯不嚴密、會話管理沒有正確實施、用戶輸入校驗缺失、重要文件和數(shù)據(jù)沒有加密等。 OWASP公布了2010年最新的OWASP Top 10，列舉了十大Web應用安全威脅，包括注入攻擊、跨站腳本攻擊、認證和會話管理失效、不安全的加密存儲等。以下簡要介紹一些常見的Web應用和數(shù)據(jù)庫方面的安全威脅。

注入攻擊：包括SQL注入、OS注入等，是指攻擊者將惡意數(shù)據(jù)等作為命令或者查詢語句的一部分發(fā)送給處理程序來欺騙處理程序，以執(zhí)行計劃外的命令或者訪問未被授權的數(shù)據(jù)。對網(wǎng)站威脅很大的SQL注入攻擊，其本質是攻擊者利用網(wǎng)站應用程序沒有對用戶輸入的數(shù)據(jù)進行嚴格充分的合法性檢查等錯誤在應用程序中插入并執(zhí)行自己精心構造的SQL語句。

舉一個用戶登錄驗證的例子，當?shù)卿浺粋€網(wǎng)站時，用戶輸入自己的用戶名和密碼，點擊登錄按鈕，將會產(chǎn)生如下類似的SQL查詢語句：

語句“——”將會注釋掉后邊的語句，而語句“or 1=1”將會導致查詢條件永遠為真，進而返回用戶表中的所有數(shù)據(jù)紀錄，從而使得返回的結果不為空，用戶因此也就獲得了所謂的“授權”訪問資格。

跨站腳本（XSS）攻擊：當網(wǎng)站應用程序將所包含或者攜帶的腳本等不可信數(shù)據(jù)不經(jīng)有效驗證就輸出發(fā)送給客戶端瀏覽器時，跨站腳本攻擊就可能發(fā)生。攻擊者利用跨站腳本可以在受害者的瀏覽器上執(zhí)行腳本，進而劫持用戶會話，危害網(wǎng)站安全。

根據(jù)注入的途徑，XSS分為Reflected（反射型)XSS、Stored（存儲型）XSS 、DOM-based（基于DOM文檔對象模型）XSS三種。

反射型XSS：也稱First-order XSS，是指網(wǎng)站應用程序將用戶表單中輸入的內容，未經(jīng)安全檢查或重新編碼就立刻顯示在返回的頁面上，攻擊者插入的腳本會立即被執(zhí)行。

存儲型XSS：也稱Second-order XSS，原理與基于反射的XSS類似，它將惡意腳本等代碼提交并保存到服務器端的數(shù)據(jù)庫中，而后生成動態(tài)網(wǎng)頁時從數(shù)據(jù)庫中取出惡意代碼并插入到相應的頁面中，從而使得訪問該頁面的用戶全部受到攻擊。存儲型XSS危害范圍比較大，并且不用像反射型XSS那樣需要采用社會工程學的方法誘騙用戶去點擊偽造的鏈接。

基于DOM的XSS：惡意代碼是借助于DOM本身的問題植入的，它表現(xiàn)在客戶端的瀏覽器中，而惡意代碼則來源于別處（查詢字符串中，或調用其他的外部網(wǎng)站的內容片段），這種XSS攻擊也需要攻擊者誘騙用戶點擊精心構造的URL。

認證和會話管理失效：用戶身份認證不嚴密或缺失，會話功能配置不正確，導致攻擊者可以破譯密碼、會話令牌或者利用這些漏洞偽造其他用戶身份。

不安全的加密存儲：許多Web應用程序沒有使用恰當?shù)募用芩惴▽τ脩裘舾行畔ⅲㄈ鐐€人信息、信用卡信息、認證證書等）進行加密，攻擊者可能利用這種缺陷實現(xiàn)身份偽造、信用卡盜用等。

不安全的重定向和轉發(fā)：網(wǎng)站互聯(lián)的特性使得Web應用需要在不同網(wǎng)頁和網(wǎng)站間進行重定向和轉發(fā)，而在確定重定向地址時采用不可信的數(shù)據(jù)，沒有進行適當?shù)尿炞C，從而使得攻擊者可以將用戶重定向轉發(fā)到掛馬、釣魚等惡意網(wǎng)站，或者使用戶訪問了未經(jīng)授權的頁面。

網(wǎng)頁篡改攻擊：網(wǎng)頁篡改是指攻擊者對被攻陷網(wǎng)站的文件進行增加、刪除、修改等操作，破壞網(wǎng)站的完整性和保密性，進而通過網(wǎng)站后門工具（webshell）提升權限并達到長期控制網(wǎng)站服務器的目的。網(wǎng)頁被篡改、服務器被控制，將會嚴重影響網(wǎng)站所有者（特別是政府、銀行、電子商務行業(yè)等）的信譽，使其經(jīng)濟利益受損，并且會嚴重影響到用戶的使用安全。

網(wǎng)頁惡意代碼：攻擊者向數(shù)據(jù)庫中注入惡意代碼或者直接修改網(wǎng)站的網(wǎng)頁文件使之成為攜帶木馬等惡意代碼的“掛馬”網(wǎng)頁，當存在安全漏洞的用戶訪問這些頁面時，惡意代碼會劫持用戶瀏覽器，侵入用戶系統(tǒng)，對用戶系統(tǒng)進行攻擊破壞并竊取用戶敏感信息。這種攻擊方式具有很強的隱蔽性，用戶僅僅瀏覽了網(wǎng)頁即會受到攻擊，潛在危害性比較大。

4安全管理層次

“三分技術七分管理”，一直是安全領域的重要準則。只重技術而忽視管理，沒有相應的管理制度，人員安全意識淡薄，都可能給網(wǎng)站安全帶來極大的隱患。

網(wǎng)站安全防護技術

1 基礎網(wǎng)絡層次防護

基礎網(wǎng)絡層次的防護包括網(wǎng)絡設備的物理防護及對一些常見的網(wǎng)絡安全威脅的防范。

物理防護指采取防火、防水、防震等防止自然力量破壞的措施；在網(wǎng)絡環(huán)境中設置屏障和隔離設施，防止來自物理線路的電磁信號竊聽，在網(wǎng)管中心、重要的數(shù)據(jù)交換和存儲中心，安裝溫度、濕度控制設備，采取防靜電、接地、物理屏蔽或防電磁干擾等措施；使用UPS等防斷電設備，使得環(huán)境對網(wǎng)絡設備的影響降到最低；針對網(wǎng)絡設備進行冗余備份，防止人為或設備自身的故障對網(wǎng)絡環(huán)境造成影響，加強網(wǎng)絡設備等的防盜保護措施等。

對于一些常見的網(wǎng)絡安全威脅，采用傳統(tǒng)的防火墻，入侵檢測/防御系統(tǒng)，漏洞掃描相結合的方式，進行合理恰當?shù)呐渲茫梢杂行У貞獙ΑＴ诰W(wǎng)絡層使用IPsec VPN，在應用層和數(shù)據(jù)鏈路層使用會話及用戶（或主機）驗證和數(shù)據(jù)加密鏈接技術，可以有效地防范會話劫持等攻擊。

2 宿主操作系統(tǒng)安全防護

宿主操作系統(tǒng)是Web服務器及數(shù)據(jù)庫管理系統(tǒng)運行的基礎，宿主操作系統(tǒng)的漏洞、錯誤的配置及不必要的服務安裝都將造成Web應用系統(tǒng)不安全。位于OWASP TOP 10第六位的“安全配置錯誤”正體現(xiàn)了這一點。

保障宿主操作系統(tǒng)的安全有以下措施：

(1)及時了解每個已部署環(huán)境的所有最新軟件的更新和補丁，并進行升級部署等，周期性地運用自動掃描工具來檢測配置錯誤或缺失的補丁；

(2)修改系統(tǒng)安裝時的默認設置，在Windows系統(tǒng)中，使用NTFS格式分區(qū)，并進行相應合適的權限分配，關閉默認共享，修改默認的遠程服務端口。禁止建立空連接，卸載Net-Bios協(xié)議，或者關閉139端口，僅開放Web服務、數(shù)據(jù)庫服務等端口；關閉卸載不必要的服務，改名或關掉不安全的組件；

(3)安裝相應的防病毒反間諜軟件，可以有效的應對常見的病毒及間諜軟件，同時對網(wǎng)站后門木馬的運行也有一定的抑制作用。

3 Web應用和數(shù)據(jù)庫安全防護

對Web應用的攻擊大部分利用Web應用本身的缺陷或漏洞，采用了“正常”和“合法”的途徑對Web應用進行攻擊，傳統(tǒng)的安全防范措施不能有效地應對這種類型的攻擊。注入和跨站腳本攻擊是Web應用10大安全威脅的前2位，以下主要對SQL注入和跨站腳本攻擊（XSS）這兩種安全威脅的防范進行分析，同時也將介紹其他一些安全威脅的防范措施。

SQL注入防范

SQL注入的本質是應用程序對用戶數(shù)據(jù)合法性的檢查不足或缺失，防止SQL注入的措施有以下幾種：

(1)變量標準化（Variable Normalization）：這種方法通過學習提取基本的SQL語句結構，并定義一系列所允許執(zhí)行的標準化的SQL語句，當一個SQL注入攻擊發(fā)生時，攻擊語句會改變SQL語句的基本結構，系統(tǒng)探測到與所允許執(zhí)行的SQL語句不符，從而拒絕執(zhí)行注入的語句。這種方法引入一個代理驅動——SQLBlock，需要的開銷很小，并且不需要修改客戶端任何源代碼就可以與各種數(shù)據(jù)庫服務器同時工作。但是這種方法也有缺陷，它不適用于使用關鍵字in進行范圍限制查詢，因為選擇的多樣化使其無法構造出標準化的SQL語句基本結構。

(2)AMNESIA：這種方法采用基于模型的方法來檢測非法的語句，它包括靜態(tài)分析和動態(tài)監(jiān)控兩部分。靜態(tài)分析部分找出源碼中所有動態(tài)SQL語句的構造點，為動態(tài)SQL語句建立自動機模型，同時在原系統(tǒng)中插入檢測代碼；動態(tài)監(jiān)控部分檢查提交的SQL語句是否滿足自動機模型，如果滿足則是正常操作，否則，就認為發(fā)生了SQL注入攻擊。這種方法的主要弱點是需要能夠獲得應用程序的源代碼，并且需要修改源代碼。

(3)SQL DOM：這是一個對象模型，它允許通過操縱對象來構造SQL語句，從而將查詢構建過程轉變成API類型檢查的系統(tǒng)過程。它創(chuàng)建新的SQL命令不產(chǎn)生包含SQL關鍵字的字符串，這樣在應用程序中就沒有了SQL注入攻擊主要目標的SQL字符串的產(chǎn)生。SQL DOM提供了防范重言式，非法或邏輯不正確語句，聯(lián)合查詢語句以及推理攻擊、替換編碼的機制。SQL DOM也有缺陷，它要求新的編程模式，并且對存儲過程的攻擊沒有任何防護。

(4)SQLRand：基于命令集隨機化技術的SQLRand方法是在開始時對源代碼中包含動態(tài)SQL語句模版中的關鍵字進行隨機化編碼處理，這些編碼規(guī)則攻擊者事先是不知道的。在運行時，對隨機化編碼之后的SQL命令進行解碼，如果解碼失敗則表示遭受到了SQL注入攻擊。例如：

隨機數(shù)為整數(shù)123，則編碼后SQL命令為

這種方法的缺點是需要擁有源碼和修改源碼，同時需要改變原有業(yè)務系統(tǒng)的部署，方案復雜。

(5) Defensive Programming：Web應用開發(fā)過程中采取防范性的編程方法、過濾機制，以及對用戶輸入等進行SQL關鍵字及特殊符號過濾，這種方法存在過濾不全面的問題和被繞過的可能，不能完全防范注入攻擊。

以上幾種方法主要針對在Web應用程序本身進行SQL注入的檢測和防范，對于已經(jīng)部署且存在SQL注入漏洞的Web應用程序，重新實現(xiàn)Web應用程序往往不現(xiàn)實且代價比較大。針對此種情況，研究和關注的技術重點主要是過濾技術，它可以保證在不修改Web應用源碼的基礎上防范SQL注入攻擊。比如Web應用防火墻，以及微軟的UrlScan均采用過濾技術，根據(jù)配置對有害信息進行過濾，從而保障Web應用的安全。當然由于配置信息的不同，可能產(chǎn)生誤報或者漏報的現(xiàn)象。浙江大學蔡亮等人提出的數(shù)據(jù)庫防火墻的參考模型對SQL注入防范也是一種不錯的選擇，它提供了全面的語義控制和SQL API流的審查，并且對數(shù)據(jù)庫實施基于內容驅動的訪問控制。

XSS攻擊防范

XSS（跨站腳本）攻擊的本質是惡意攻擊者向Web頁面或URL中插入惡意腳本，當用戶瀏覽該頁時，嵌入其中的惡意腳本會被執(zhí)行，從而達到惡意攻擊用戶的特殊目的。

常用的源程序級防范XSS攻擊的技術有：

(1)與SQL注入防范的建議類似，對所有輸入中的script、iframe等關鍵字進行嚴格的檢查。這些輸入包括用戶可以直接與之交互的輸入接口，URL中的參數(shù)，HTTP請求Cookie中的變量，HTTP請求頭部中的變量等；

(2)驗證數(shù)據(jù)的類型、格式、長度、范圍和內容等；

(3)在客戶端和服務器端同時做數(shù)據(jù)的驗證與過濾，使得客戶端驗證被繞過時，驗證與過濾機制依然有效；

(4)無論輸入時是否做了編碼等操作，輸出時都要對輸出數(shù)據(jù)進行檢查；

(5)使用黑盒Web應用測試工具及白盒漏洞掃描工具對源程序進行檢測。

以上方法主要針對源程序進行XSS攻擊的防范，對于已經(jīng)部署的Web應用程序主要的防范措施有：

(1)客戶端防范：在客戶端增加腳本審查機制；在客戶端增加Web-proxy轉發(fā)所有的流量，相當于一個應用層防火墻。現(xiàn)在IE8中已經(jīng)推出防跨站腳本漏洞的功能。這種客戶端防范的方法往往需要在客戶端安裝更新或者額外的軟件，實施起來不太方便；

(2)服務器端防范：除了源程序級的防范技術和在客戶端及服務器端之間增加應用防火墻外，Peter Wurzinger等人提出在反向代理服務器上對Web應用的響應進行腳本檢測，如發(fā)現(xiàn)異常腳本則提示客戶端或簡單的對異常腳本進行刪除；

(3)用戶自身防范：除了存儲型XSS攻擊外，其他的XSS攻擊往往需要攻擊者誘騙用戶點擊精心構造的URL。因此，用戶（特別是網(wǎng)站管理員）需要提高自己的安全意識，拒絕點擊那些陌生或不可信站點的鏈接。

其他安全防護措施

為了防范“認證和會話管理失效”，需要開發(fā)一套統(tǒng)一的認證和會話管理機制，同時對Web服務器相關功能進行正確合理的配置。

為了防范“網(wǎng)頁篡改攻擊”，可以采用專業(yè)的網(wǎng)頁防篡改系統(tǒng)，當前主流的防篡改軟件都采用基于底層文件過濾驅動技術和事件觸發(fā)方式相結合的第三代防竄改技術，實時監(jiān)測網(wǎng)站文件夾內容，攔截非法的增、刪、改等操作，使用戶無法看到被篡改的頁面。

對于掛馬等惡意網(wǎng)站，蜜網(wǎng)項目組的高交互蜜罐技術可以有效地對惡意代碼進行檢測，它通過虛擬機里真實的瀏覽器等客戶端與惡意網(wǎng)頁進行交互，根據(jù)事先定義好的白名單等規(guī)則以及與網(wǎng)頁交互后系統(tǒng)的各項狀態(tài)來判斷網(wǎng)頁是否是惡意的。

4 網(wǎng)站安全管理

除了技術層次的安全防護外，網(wǎng)站的安全管理也是必不可少的環(huán)節(jié)。首先，在人員保障方面，需要配備專業(yè)的技術人才從事網(wǎng)站安全管理工作，負責網(wǎng)絡、操作系統(tǒng)、Web服務器的安全配置；同時，制定用戶使用網(wǎng)絡資源的規(guī)章制度、機房管理制度，明確系統(tǒng)管理員、網(wǎng)絡管理員及運行維護人員的相關權限，建立值班制度、密碼管理制度等，制定計算機病毒預報制度和安全漏洞預報制度，建立病毒、安全應急響應及處置預案，制定安全日志管理制度等；最后，要定期對網(wǎng)站管理人員等進行培訓，提高人員的安全防范意識和技術水平，增強人員的責任感和防范各種社會工程學攻擊的能力。

網(wǎng)站安全是一個相對的概念，網(wǎng)站的絕對安全是不存在，合理有效地運用各種安全防范措施可以最大程度地保障網(wǎng)站的正常穩(wěn)定運行。

(作者單位為鄭州大學河南省教育科研網(wǎng)網(wǎng)絡中心)