揭秘Web應用程序攻擊技術

⑴ web應用防火牆(WAF)的基本原理是什麼

WAF，又名Web應用防火牆，能夠對常見的網站漏洞攻擊進行防護，例如SQL注入、XSS跨站等；目前WAF最基本的防護原理為特徵規則匹配，將漏洞特徵與設備自身的特徵庫進行匹配比對，一旦命中，直接阻斷，這種方法能夠有效防範已知的安全問題，但是需要一個強大的特徵庫支持，特徵庫需要保證定期更新及維護；但是對於零日漏洞（未經公開的漏洞），就需要設備建立自學習機制，能夠根據網站的正常狀態自動學習建立流量模型，以模型為基準判斷網站是否遭受攻擊。

⑵ Web滲透技術及實戰案例解析的內容簡介

本書從Web滲透的專業角度，結合網路安全中的實際案例，圖文並茂地再現Web滲透的精彩過程。本書共分7章，由淺入深地介紹和分析了目前網路流行的Web滲透攻擊方法和手段，並結合作者多年的網路安全實踐經驗給出了相對應的安全防範措施，對一些經典案例還給出了經驗總結和技巧，通過閱讀本書可以快速掌握目前Web滲透的主流技術。本書最大的特色就是實用和實戰性強，思維靈活。內容主要包括Web滲透必備技術、Google黑客技術、文件上傳滲透技術、SQL注入、高級滲透技術、0day攻擊和Windows提權與安全防範等。
前言
經過近一年時間的艱辛苦戰，終於將本書完成。本書是我寫的第三本書，主要從Web滲透的專業角度來討論網路安全的攻防技術，盡可能地再現Web滲透場景，每一個小節都代表某一個場景，此書是我工作數年的總結，最後終於不辱使命將所有成果放在本書中與大家分享。
本書是在我上一本書《黑客攻防及實戰案例解析》基礎上的又一本安全類書籍，主要討論Web滲透攻防技術。攻擊與防護是辯證統一的關系，掌握了攻擊技術，也就掌握了防護技術。Web滲透是網路安全攻防的最熱門技術，通過滲透Web伺服器，利用已有信息，逐漸深入公司或者大型網路，最終完成滲透目標。
最近二年來網路安全特別火爆，可以說從事網路安全還是蠻有前途的職業之一。目前網路安全界非常缺人，特別是在2011年CSDN、天涯等大型網站用戶資料庫泄露後，各大公司對安全人士求賢若渴，掌握網路安全攻防技術，擁有豐富經驗的從業人員，年薪一般在10萬以上，能夠獨立挖掘漏洞的從業人員年薪一般在20萬以上。其實Web安全滲透技術也不是那麼高不可攀，只要自己鎖定這個方向，持之以恆，不斷地進行試驗和研究，終將成為一名高手，而且安全攻防技術還跟學歷無關，很多技術高手都沒有上過大學。
Web滲透攻防技術可以通過以下方法來自學，一是通過安全站點漏洞更新通告、安全文章，了解漏洞的形成原理和利用過程，掌握漏洞的核心原理；二是在本地搭建試驗環境進行實際測試，掌握漏洞利用方法；三是在互聯網上對存在漏洞的站點進行實際操作，在真實環境下進行驗證，提出修補漏洞的方法。在技術研究的同時還要做好記錄，總結失敗和成功的方法，積累技巧和經驗，我曾經看過一位牛人，Web漏洞收集超過10GB數據！
本書以Web滲透攻擊與防禦為主線，主要通過典型的滲透實際案例來介紹Web滲透和防禦技術，在每一個小節中除了技術原理外，還對這些技術進行總結和提煉，掌握和理解這些技術後，讀者在遇到類似的滲透場景時可以自己去進行滲透。本書採用最為通俗易懂的圖文解說，按照書中的步驟即可還原當時的攻防情景。通過閱讀本書，初學者可以很快掌握Web攻防的流程、最新的一些技術和方法，有經驗的讀者可以在技術上更上一層樓，使攻防技術從理論和實踐中更加系統化，同時可以使用本書中介紹的一些防禦方法來加固伺服器系統。
本書共分為7章，由淺入深，依照Web攻防的一些技術特點安排內容，每一小節都是一個具體Web攻防技術的典型應用，同時結合案例給予講解，並給出一些經典的總結。本書主要內容安排如下。
第1章 Web滲透必備技術
介紹Web滲透的一些必備的基本知識，創建和使用VPN隱藏自己，獲取操作系統密碼、破解MD5密碼、破解MySQL密碼、資料庫還原等，這些技術可以在Web滲透中使用，也可以在網路管理中使用。
第2章 Google——我愛你又恨你
利用Google等搜索引擎技術來獲取信息，輔助Web滲透，在某些場景中往往會起到意想不到的效果，也被稱為Nday攻擊（0day後的數天持續攻擊）。在進行Web攻防技術研究的同時，可以通過Google來進行實際演練，最好的效果就是網上爆出漏洞後利用Goolge技術來抓肉雞。
第3章 都是上傳惹的禍
上傳是Web滲透中最容易獲得WebShell的捷徑之一，在本章中介紹了如何利用WebEditor、FCKeditor、CuteEditor等典型編輯器漏洞來獲取WebShell的方法，同時還對登錄繞過後通過Flash上傳、文件上傳等方法來獲取WebShell進行探討。
第4章 SQL注入——滲透主樂章
SQL注入是Web滲透的核心技術，本章主要介紹使用SQL注入方法獲取WebShell，穿插介紹使用多種掃描軟體、攻擊工具來滲透Web伺服器並提權。
第5章 高級滲透技術
本章介紹如何充分利用多種技術組合，結合巧妙的思路，最終成功滲透一些高難度的Web伺服器。
第6章 0day攻擊
0day是Web滲透中的「神器」，幾乎是無往不勝，所向披靡，本章介紹利用Discuz!6.0、Discuz!7.2、Discuz!NT、PHP168、WordPress、Citrix、Art2008cms、Phpcms2008sp4等0day滲透Web伺服器的一些方法。
第7章 Windows提權與安全防範
獲取WebShell後，獲得伺服器許可權一直是Web滲透的終極目標，本章對主流的一些提權方法進行介紹，掌握這些方法和原理後，可以舉一反三，觸類旁通。最後還對如何設置一個安全「變態」的Web伺服器進行介紹。
雖然本書內容已經很豐富與完整，但仍然無法涵蓋所有的Web滲透的技術，但通過本書的學習，可以快速了解和掌握Web滲透技術，加固自己的伺服器。本書的目的是通過Web滲透技術並結合一些案例來探討網路安全，更好地加固Web伺服器、遠離黑客的威脅。

⑶ web漏洞攻擊有哪些

一、SQL注入漏洞
SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用於非法獲取網站控制權，是發生在應用程序的資料庫層上的安全漏洞。在設計程序，忽略了對輸入字元串中夾帶的SQL指令的檢查，被資料庫誤認為是正常的SQL指令而運行，從而使資料庫受到攻擊，可能導致數據被竊取、更改、刪除，以及進一步導致網站被嵌入惡意代碼、被植入後門程序等危害。
通常情況下，SQL注入的位置包括：
（1）表單提交，主要是POST請求，也包括GET請求；
（2）URL參數提交，主要為GET請求參數；
（3）Cookie參數提交；
（4）HTTP請求頭部的一些可修改的值，比如Referer、User_Agent等；
（5）一些邊緣的輸入點，比如.mp3文件的一些文件信息等。
常見的防範方法
（1）所有的查詢語句都使用資料庫提供的參數化查詢介面，參數化的語句使用參數而不是將用戶輸入變數嵌入到SQL語句中。當前幾乎所有的資料庫系統都提供了參數化SQL語句執行介面，使用此介面可以非常有效的防止SQL注入攻擊。
（2）對進入資料庫的特殊字元（』」<>&*;等）進行轉義處理，或編碼轉換。
（3）確認每種數據的類型，比如數字型的數據就必須是數字，資料庫中的存儲欄位必須對應為int型。
（4）數據長度應該嚴格規定，能在一定程度上防止比較長的SQL注入語句無法正確執行。
（5）網站每個數據層的編碼統一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。
（6）嚴格限制網站用戶的資料庫的操作許可權，給此用戶提供僅僅能夠滿足其工作的許可權，從而最大限度的減少注入攻擊對資料庫的危害。
（7）避免網站顯示SQL錯誤信息，比如類型錯誤、欄位不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。
（8）在網站發布之前建議使用一些專業的SQL注入檢測工具進行檢測，及時修補這些SQL注入漏洞。

二、跨站腳本漏洞
跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發生在客戶端，可被用於進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。
XSS攻擊使用到的技術主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對WEB伺服器雖無直接危害，但是它藉助網站進行傳播，使網站的使用用戶受到攻擊，導致網站用戶帳號被竊取，從而對網站也產生了較嚴重的危害。
XSS類型包括：
（1）非持久型跨站：即反射型跨站腳本漏洞，是目前最普遍的跨站類型。跨站代碼一般存在於鏈接中，請求這樣的鏈接時，跨站代碼經過服務端反射回來，這類跨站的代碼不存儲到服務端（比如資料庫中）。上面章節所舉的例子就是這類情況。
（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲於服務端（比如資料庫中）。常見情況是某用戶在論壇發貼，如果論壇沒有過濾用戶輸入的Javascript代碼數據，就會導致其他瀏覽此貼的用戶的瀏覽器會執行發貼人所嵌入的Javascript代碼。
（3）DOM跨站（DOM XSS）：是一種發生在客戶端DOM（Document Object Model文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。
常用的防止XSS技術包括：
（1）與SQL注入防護的建議一樣，假定所有輸入都是可疑的，必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入介面，也包括HTTP請求中的Cookie中的變數，HTTP請求頭部中的變數等。
（2）不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。
（3）不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。
（4）對輸出的數據也要檢查，資料庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。
（5）在發布應用程序之前測試所有已知的威脅。

三、弱口令漏洞
弱口令(weak password) 沒有嚴格和准確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。設置密碼通常遵循以下原則：
（1）不使用空口令或系統預設的口令，這些口令眾所周之，為典型的弱口令。
（2）口令長度不小於8個字元。
（3）口令不應該為連續的某個字元（例如：AAAAAAAA）或重復某些字元的組合（例如：tzf.tzf.）。
（4）口令應該為以下四類字元的組合，大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字元。每類字元至少包含一個。如果某類字元只包含一個，那麼該字元不應為首字元或尾字元。
（5）口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息，以及字典中的單詞。
（6）口令不應該為用數字或符號代替某些字母的單詞。
（7）口令應該易記且可以快速輸入，防止他人從你身後很容易看到你的輸入。
（8）至少90天內更換一次口令，防止未被發現的入侵者繼續使用該口令。

四、HTTP報頭追蹤漏洞
HTTP/1.1（RFC2616）規范定義了HTTP TRACE方法，主要是用於客戶端通過向Web伺服器提交TRACE請求來進行測試或獲得診斷信息。當Web伺服器啟用TRACE時，提交的請求頭會在伺服器響應的內容（Body）中完整的返回，其中HTTP頭很可能包括Session Token、Cookies或其它認證信息。攻擊者可以利用此漏洞來欺騙合法用戶並得到他們的私人信息。該漏洞往往與其它方式配合來進行有效攻擊，由於HTTP TRACE請求可以通過客戶瀏覽器腳本發起（如XMLHttpRequest），並可以通過DOM介面來訪問，因此很容易被攻擊者利用。
防禦HTTP報頭追蹤漏洞的方法通常禁用HTTP TRACE方法。

五、Struts2遠程命令執行漏洞
ApacheStruts是一款建立Java web應用程序的開放源代碼架構。Apache Struts存在一個輸入過濾錯誤，如果遇到轉換錯誤可被利用注入和執行任意Java代碼。
網站存在遠程代碼執行漏洞的大部分原因是由於網站採用了Apache Struts Xwork作為網站應用框架，由於該軟體存在遠程代碼執高危漏洞，導致網站面臨安全風險。CNVD處置過諸多此類漏洞，例如：「GPS車載衛星定位系統」網站存在遠程命令執行漏洞(CNVD-2012-13934)；Aspcms留言本遠程代碼執行漏洞（CNVD-2012-11590）等。
修復此類漏洞，只需到Apache官網升級Apache Struts到最新版本：http://struts.apache.org

六、文件上傳漏洞
文件上傳漏洞通常由於網頁代碼中的文件上傳路徑變數過濾不嚴造成的，如果文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件後綴以及文件類型，攻擊者可通過 Web 訪問的目錄上傳任意文件，包括網站後門文件（webshell），進而遠程式控制制網站伺服器。
因此，在開發網站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執行許可權，防範webshell攻擊。

七、私有IP地址泄露漏洞
IP地址是網路用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網路情況採取不同的方法，如：在區域網內使用Ping指令，Ping對方在網路中的名稱而獲得IP；在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲並分析對方的網路數據包。攻擊者可以找到並直接通過軟體解析截獲後的數據包的IP包頭信息，再根據這些信息了解具體的IP。
針對最有效的「數據包分析方法」而言，就可以安裝能夠自動去掉發送數據包包頭IP信息的一些軟體。不過使用這些軟體有些缺點，譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網站時會受影響；不適合網吧用戶使用等等。現在的個人用戶採用最普及隱藏IP的方法應該是使用代理，由於使用代理伺服器後，「轉址服務」會對發送出去的數據包有所修改，致使「數據包分析」的方法失效。一些容易泄漏用戶IP的網路軟體(QQ、MSN、IE等)都支持使用代理方式連接Internet，特別是QQ使用「ezProxy」等代理軟體連接後，IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理，查找到對方的真實IP地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

八、未加密登錄請求
由於Web配置不安全，登陸請求把諸如用戶名和密碼等敏感欄位未加密進行傳輸，攻擊者可以竊聽網路以劫獲這些敏感信息。建議進行例如SSH等的加密後再傳輸。

九、敏感信息泄露漏洞
SQL注入、XSS、目錄遍歷、弱口令等均可導致敏感信息泄露，攻擊者可以通過漏洞獲得敏感信息。針對不同成因，防禦方式不同

十、CSRF
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

Web應用是指採用B/S架構、通過HTTP/HTTPS協議提供服務的統稱。隨著互聯網的廣泛使用，Web應用已經融入到日常生活中的各個方面：網上購物、網路銀行應用、證券股票交易、政府行政審批等等。在這些Web訪問中，大多數應用不是靜態的網頁瀏覽，而是涉及到伺服器側的動態處理。此時，如果Java、PHP、ASP等程序語言的編程人員的安全意識不足，對程序參數輸入等檢查不嚴格等，會導致Web應用安全問題層出不窮。

本文根據當前Web應用的安全情況，列舉了Web應用程序常見的攻擊原理及危害，並給出如何避免遭受Web攻擊的建議。

Web應用漏洞原理
Web應用攻擊是攻擊者通過瀏覽器或攻擊工具，在URL或者其它輸入區域（如表單等），向Web伺服器發送特殊請求，從中發現Web應用程序存在的漏洞，從而進一步操縱和控制網站，查看、修改未授權的信息。

1.1 Web應用的漏洞分類
1、信息泄露漏洞

信息泄露漏洞是由於Web伺服器或應用程序沒有正確處理一些特殊請求，泄露Web伺服器的一些敏感信息，如用戶名、密碼、源代碼、伺服器信息、配置信息等。

造成信息泄露主要有以下三種原因：

–Web伺服器配置存在問題，導致一些系統文件或者配置文件暴露在互聯網中；

–Web伺服器本身存在漏洞，在瀏覽器中輸入一些特殊的字元，可以訪問未授權的文件或者動態腳本文件源碼；

–Web網站的程序編寫存在問題，對用戶提交請求沒有進行適當的過濾，直接使用用戶提交上來的數據。

2、目錄遍歷漏洞

目錄遍歷漏洞是攻擊者向Web伺服器發送請求，通過在URL中或在有特殊意義的目錄中附加「../」、或者附加「../」的一些變形（如「..\」或「..//」甚至其編碼），導致攻擊者能夠訪問未授權的目錄，以及在Web伺服器的根目錄以外執行命令。

3、命令執行漏洞

命令執行漏洞是通過URL發起請求，在Web伺服器端執行未授權的命令，獲取系統信息，篡改系統配置，控制整個系統，使系統癱瘓等。

命令執行漏洞主要有兩種情況：

–通過目錄遍歷漏洞，訪問系統文件夾，執行指定的系統命令；

–攻擊者提交特殊的字元或者命令，Web程序沒有進行檢測或者繞過Web應用程序過濾，把用戶提交的請求作為指令進行解析，導致執行任意命令。

4、文件包含漏洞

文件包含漏洞是由攻擊者向Web伺服器發送請求時，在URL添加非法參數，Web伺服器端程序變數過濾不嚴，把非法的文件名作為參數處理。這些非法的文件名可以是伺服器本地的某個文件，也可以是遠端的某個惡意文件。由於這種漏洞是由PHP變數過濾不嚴導致的，所以只有基於PHP開發的Web應用程序才有可能存在文件包含漏洞。

5、SQL注入漏洞

SQL注入漏洞是由於Web應用程序沒有對用戶輸入數據的合法性進行判斷，攻擊者通過Web頁面的輸入區域(如URL、表單等) ，用精心構造的SQL語句插入特殊字元和指令，通過和資料庫交互獲得私密信息或者篡改資料庫信息。SQL注入攻擊在Web攻擊中非常流行，攻擊者可以利用SQL注入漏洞獲得管理員許可權，在網頁上加掛木馬和各種惡意程序，盜取企業和用戶敏感信息。

6、跨站腳本漏洞

跨站腳本漏洞是因為Web應用程序時沒有對用戶提交的語句和變數進行過濾或限制，攻擊者通過Web頁面的輸入區域向資料庫或HTML頁面中提交惡意代碼，當用戶打開有惡意代碼的鏈接或頁面時，惡意代碼通過瀏覽器自動執行，從而達到攻擊的目的。跨站腳本漏洞危害很大，尤其是目前被廣泛使用的網路銀行，通過跨站腳本漏洞攻擊者可以冒充受害者訪問用戶重要賬戶，盜竊企業重要信息。

根據前期各個漏洞研究機構的調查顯示，SQL注入漏洞和跨站腳本漏洞的普遍程度排名前兩位，造成的危害也更加巨大。

1.2 SQL注入攻擊原理
SQL注入攻擊是通過構造巧妙的SQL語句，同網頁提交的內容結合起來進行注入攻擊。比較常用的手段有使用注釋符號、恆等式（如1＝1）、使用union語句進行聯合查詢、使用insert或update語句插入或修改數據等，此外還可以利用一些內置函數輔助攻擊。

通過SQL注入漏洞攻擊網站的步驟一般如下：

第一步：探測網站是否存在SQL注入漏洞。

第二步：探測後台資料庫的類型。

第三步：根據後台資料庫的類型，探測系統表的信息。

第四步：探測存在的表信息。

第五步：探測表中存在的列信息。

第六步：探測表中的數據信息。

1.3 跨站腳本攻擊原理
跨站腳本攻擊的目的是盜走客戶端敏感信息,冒充受害者訪問用戶的重要賬戶。跨站腳本攻擊主要有以下三種形式：

1、本地跨站腳本攻擊

B給A發送一個惡意構造的Web URL，A點擊查看了這個URL，並將該頁面保存到本地硬碟（或B構造的網頁中存在這樣的功能）。A在本地運行該網頁，網頁中嵌入的惡意腳本可以A電腦上執行A持有的許可權下的所有命令。

2、反射跨站腳本攻擊

A經常瀏覽某個網站，此網站為B所擁有。A使用用戶名/密碼登錄B網站，B網站存儲下A的敏感信息（如銀行帳戶信息等）。C發現B的站點包含反射跨站腳本漏洞，編寫一個利用漏洞的URL，域名為B網站，在URL後面嵌入了惡意腳本（如獲取A的cookie文件），並通過郵件或社會工程學等方式欺騙A訪問存在惡意的URL。當A使用C提供的URL訪問B網站時，由於B網站存在反射跨站腳本漏洞，嵌入到URL中的惡意腳本通過Web伺服器返回給A，並在A瀏覽器中執行，A的敏感信息在完全不知情的情況下將發送給了C。

3、持久跨站腳本攻擊

B擁有一個Web站點，該站點允許用戶發布和瀏覽已發布的信息。C注意到B的站點具有持久跨站腳本漏洞，C發布一個熱點信息，吸引用戶閱讀。A一旦瀏覽該信息，其會話cookies或者其它信息將被C盜走。持久性跨站腳本攻擊一般出現在論壇、留言簿等網頁，攻擊者通過留言，將攻擊數據寫入伺服器資料庫中，瀏覽該留言的用戶的信息都會被泄漏。

Web應用漏洞的防禦實現
對於以上常見的Web應用漏洞漏洞，可以從如下幾個方面入手進行防禦：

1)對 Web應用開發者而言

大部分Web應用常見漏洞，都是在Web應用開發中，開發者沒有對用戶輸入的參數進行檢測或者檢測不嚴格造成的。所以，Web應用開發者應該樹立很強的安全意識，開發中編寫安全代碼；對用戶提交的URL、查詢關鍵字、HTTP頭、POST數據等進行嚴格的檢測和限制，只接受一定長度范圍內、採用適當格式及編碼的字元，阻塞、過濾或者忽略其它的任何字元。通過編寫安全的Web應用代碼，可以消除絕大部分的Web應用安全問題。

2) 對Web網站管理員而言

作為負責網站日常維護管理工作Web管理員，應該及時跟蹤並安裝最新的、支撐Web網站運行的各種軟體的安全補丁，確保攻擊者無法通過軟體漏洞對網站進行攻擊。

除了軟體本身的漏洞外，Web伺服器、資料庫等不正確的配置也可能導致Web應用安全問題。Web網站管理員應該對網站各種軟體配置進行仔細檢測，降低安全問題的出現可能。

此外，Web管理員還應該定期審計Web伺服器日誌，檢測是否存在異常訪問，及早發現潛在的安全問題。

3）使用網路防攻擊設備

前兩種為事前預防方式，是比較理想化的情況。然而在現實中，Web應用系統的漏洞還是不可避免的存在：部分Web網站已經存在大量的安全漏洞，而Web開發者和網站管理員並沒有意識到或發現這些安全漏洞。由於Web應用是採用HTTP協議，普通的防火牆設備無法對Web類攻擊進行防禦，因此可以使用IPS入侵防禦設備來實現安全防護。

H3C IPS Web攻擊防禦

H3C IPS入侵防禦設備有一套完整的Web攻擊防禦框架，能夠及時發現各種已經暴露的和潛在的Web攻擊。下圖為對於Web攻擊的總體防禦框架。

圖1：Web攻擊防禦框架，參見：http://blog.csdn.net/moshenglv/article/details/53439579

H3C IPS採用基於特徵識別的方式識別並阻斷各種攻擊。IPS設備有一個完整的特徵庫，並可定期以手工與自動的方式對特徵庫進行升級。當網路流量進入IPS後，IPS首先對報文進行預處理，檢測報文是否正確，即滿足協議定義要求，沒有錯誤欄位；如果報文正確，則進入深度檢測引擎。該引擎是IPS檢測的核心模塊，對通過IPS設備的Web流量進行深層次的分析，並與IPS攻擊庫中的特徵進行匹配，檢測Web流量是否存在異常；如果發現流量匹配了攻擊特徵，IPS則阻斷網路流量並上報日誌；否則，網路流量順利通過。

此Web攻擊防禦框架有如下幾個特點：

1) 構造完整的Web攻擊檢測模型，准確識別各種Web攻擊

針對Web攻擊的特點，考慮到各種Web攻擊的原理和形態，在不同漏洞模型之上開發出通用的、層次化的Web攻擊檢測模型，並融合到特徵庫中。這些模型抽象出Web攻擊的一般形態，對主流的攻擊能夠准確識別，使得模型通用化。

2) 檢測方式靈活，可以准確識別變形的Web攻擊

在實際攻擊中，攻擊者為了逃避防攻擊設備的檢測，經常對Web攻擊進行變形，如採用URL編碼技術、修改參數等。H3C根據Web應用漏洞發生的原理、攻擊方式和攻擊目標，對攻擊特徵進行了擴展。即使攻擊者修改攻擊參數、格式、語句等內容，相同漏洞原理下各種變形的攻擊同樣能夠被有效阻斷。這使得IPS的防禦范圍擴大，防禦的靈活性也顯著增強，極大的減少了漏報情況的出現。

3) 確保對最新漏洞及技術的跟蹤，有效阻止最新的攻擊

隨著Web攻擊出現的頻率日益增高，其危害有逐步擴展的趨勢。這對IPS設備在防禦的深度和廣度上提出了更高的要求，不僅要能夠防禦已有的Web攻擊，更要有效的阻止最新出現的、未公布的攻擊。目前，H3C已經建立起一套完整的攻防試驗環境，可以及時發現潛在Web安全漏洞。同時還在繼續跟蹤最新的Web攻擊技術和工具，及時更新Web攻擊的特徵庫，第一時間發布最新的Web漏洞應對措施，確保用戶的網路不受到攻擊。

4) 保證正常業務的高效運行

檢測引擎是IPS整個設備運行的關鍵，該引擎使用了高效、准確的檢測演算法，對通過設備的流量進行深層次的分析，並通過和攻擊特徵進行匹配，檢測流量是否存在異常。如果流量沒有匹配到攻擊特徵，則允許流量通過，不會妨礙正常的網路業務，在准確防禦的同時保證了正常業務的高效運行。

結束語

互聯網和Web技術廣泛使用，使Web應用安全所面臨的挑戰日益嚴峻，Web系統時時刻刻都在遭受各種攻擊的威脅，在這種情況下，需要制定一個完整的Web攻擊防禦解決方案，通過安全的Web應用程序、Web伺服器軟體、Web防攻擊設備共同配合，確保整個網站的安全。任何一個簡單的漏洞、疏忽都會造成整個網站受到攻擊，造成巨大損失。此外 ，Web攻擊防禦是一個長期持續的工作，隨著Web技術的發展和更新，Web攻擊手段也不斷發展，針對這些最新的安全威脅，需要及時調整Web安全防護策略，確保Web攻擊防禦的主動性，使Web網站在一個安全的環境中為企業和客戶服務。

原文鏈接：

⑷ 基於web的安全防範措施的研究與應用

一、計算機網路攻擊的常見手法

互聯網發展至今，除了它表面的繁榮外，也出現了一些不良現象，其中黑客攻擊是最令廣大網民頭痛的事情，它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。

（一）利用網路系統漏洞進行攻擊

許多網路系統都存在著這樣那樣的漏洞，這些漏洞有可能是系統本身所有的，如WindowsNT、UNIX等都有數量不等的漏洞，也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。

對於系統本身的漏洞，可以安裝軟體補丁；另外網管也需要仔細工作，盡量避免因疏忽而使他人有機可乘。

（二）通過電子郵件進行攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時，還有可能造成郵件系統對於正常的工作反映緩慢，甚至癱瘓，這一點和後面要講到的「拒絕服務攻擊（DDoS）比較相似。

對於遭受此類攻擊的郵箱，可以使用一些垃圾郵件清除軟體來解決，其中常見的有SpamEater、Spamkiller等，Outlook等收信軟體同樣也能達到此目的。

（三）解密攻擊

在互聯網上，使用密碼是最常見並且最重要的安全保護方法，用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人，只要有密碼，系統就會認為你是經過授權的正常用戶，因此，取得密碼也是黑客進行攻擊的一重要手法。取得密碼也還有好幾種方法，一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到伺服器端，而黑客就能在兩端之間進行數據監聽。但一般系統在傳送密碼時都進行了加密處理，即黑客所得到的數據中不會存在明文的密碼，這給黑客進行破解又提了一道難題。這種手法一般運用於區域網，一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼，但這項工作十分地費時，不過如果用戶的密碼設置得比較簡單，如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。

為了防止受到這種攻擊的危害，用戶在進行密碼設置時一定要將其設置得復雜，也可使用多層密碼，或者變換思路使用中文密碼，並且不要以自己的生日和電話甚至用戶名作為密碼，因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息，如生日等，然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼，這樣使其被破解的可能性又下降了不少。

（四）後門軟體攻擊

後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬，它們可以非法地取得用戶電腦的超級用戶級權利，可以對其進行完全的控制，除了可以進行文件操作外，同時也可以進行對方桌面抓圖、取得密碼等操作。這些後門軟體分為伺服器端和用戶端，當黑客進行攻擊時，會使用用戶端程序登陸上已安裝好伺服器端程序的電腦，這些伺服器端程序都比較小，一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時，後門軟體的伺服器端就安裝完成了，而且大部分後門軟體的重生能力比較強，給用戶進行清除造成一定的麻煩。

當在網上下載數據時，一定要在其運行之前進行病毒掃描，並使用一定的反編譯軟體，查看來源數據是否有其他可疑的應用程序，從而杜絕這些後門軟體。

（五）拒絕服務攻擊

互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊（DDoS）的難度比較小，但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包，幾乎佔取該伺服器所有的網路寬頻，從而使其無法對正常的服務請求進行處理，而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強，一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件，而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。

對於個人上網用戶而言，也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作，所以大家在上網時一定要安裝好防火牆軟體，同時也可以安裝一些可以隱藏IP地址的程序，怎樣能大大降低受到攻擊的可能性。

二、計算機網路安全的防火牆技術

計算機網路安全是指利用網路管理控制和技術措施，保證在一個網路環境里，信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的，就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。

（一）防火牆的含義

所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。

（二）防火牆的安全性分析

防火牆對網路的安全起到了一定的保護作用，但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究，作者對防火牆的安全性有如下幾點認識：

1．只有正確選用、合理配置防火牆，才能有效發揮其安全防護作用

防火牆作為網路安全的一種防護手段，有多種實現方式。建立合理的防護系統，配置有效的防火牆應遵循這樣四個基本步驟：

a.風險分析；

b.需求分析；

c.確立安全政策；

d.選擇准確的防護手段，並使之與安全政策保持一致。

然而，多數防火牆的設立沒有或很少進行充分的風險分析和需求分析，而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆，這樣的防火牆能否「防火」還是個問題。

2．應正確評估防火牆的失效狀態

評價防火牆性能如何，及能否起到安全防護作用，不僅要看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡，而且要看到一旦防火牆被攻破，它的狀態如何? 按級別來分，它應有這樣四種狀態：

a.未受傷害能夠繼續正常工作；

b.關閉並重新啟動，同時恢復到正常工作狀態；

c.關閉並禁止所有的數據通行；

d. 關閉並允許所有的數據通行。

前兩種狀態比較理想，而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證，無法確定其失效狀態等級，因此網路必然存在安全隱患。

3.防火牆必須進行動態維護

防火牆安裝和投入使用後，並非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快發布補救(Patch) 產品，此時應盡快確認真偽(防止特洛伊木馬等病毒)，並對防火牆軟體進行更新。

4.目前很難對防火牆進行測試驗證

防火牆能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大，主要原因是：

a.防火牆性能測試目前還是一種很新的技術，尚無正式出版刊物，可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。

b.防火牆測試技術尚不先進，與防火牆設計並非完全吻合，使得測試工作難以達到既定的效果。

c.選擇「誰」進行公正的測試也是一個問題。

可見，防火牆的性能測試決不是一件簡單的事情，但這種測試又相當必要，進而提出這樣一個問題：不進行測試，何以證明防火牆安全？

5.非法攻擊防火牆的基本「招數」

a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面，因此攻擊者無需表明進攻數據包的真正來源，只需偽裝IP地址，取得目標的信任，使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。

b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能，處於失效狀態。

c.防火牆也可能被內部攻擊。因為安裝了防火牆後，隨意訪問被嚴格禁止了， 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息，個別人會對防火牆不滿進而可能攻擊它、破壞它，期望回到從前的狀態。這里，攻擊的目標常常是防火牆或防火牆運行的操作系統，因此不僅涉及網路安全，還涉及主機安全問題。

（三）防火牆的基本類型

實現防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。

1.網路級防火牆

一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。

先進的網路級防火牆可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

下面是某一網路級防火牆的訪問控制規則：

(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1；

(2)允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口)到主機150.0.0.2上；

(3)允許任何地址的E-mail(25口)進入主機150.0.0.3；

(4)允許任何WWW數據（80口）通過；

(5)不允許其他數據包進入。

網路級防火牆簡潔、速度快、費用低，並且對用戶透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的信息無理解能力。

2.規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣， 可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/服務機模式來分析應用層的數據， 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於用戶透明，在OSI最高層上加密數據，不需要你去修改客戶端的程序，也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。

從趨勢上看，未來的防火牆將位於網路級防火牆和應用級防火牆之間，也就是說，網路級防火牆將變得更加能夠識別通過的信息，而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統，可保護數據以加密方式通過，使所有組織可以放心地在節點間傳送數據。

（四）防火牆的配置

防火牆配置有三種：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間，這個Dual-omedGateway又稱為bastionhost。 這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力，而它往往是受「黑客」攻擊的首選目標，它自己一旦被攻破，整個網路也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網，稱之為"停火區"（DMZ，即DemilitarizedZone）,Bastionhost放置在"停火區"內。這種結構安全性好，只有當兩個安全單元被破壞後，網路才被暴露，但是成本也很昂貴。

（五）防火牆的安全措施

各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施：

1.防電子欺騙術

防電子欺騙術功能是保證數據包的IP地址與網關介面相符，防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別，並向網路管理員報警。

2.網路地址轉移

地址轉移是對Internet隱藏內部地址，防止內部地址公開。這一功能可以克服IP定址方式的諸多限制，完善內部定址模式。把未注冊IP地址映射成合法地址，就可以對Internet進行訪問。

3.開放式結構設計

開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易，典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。

4.路由器安全管理程序

它為Bay和Cisco的路由器提供集中管理和訪問列表控制。

（六）傳統防火牆的五大不足

1．無法檢測加密的Web流量

如果你正在部署一個光鍵的門戶網站，希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求，對於傳統的網路防火牆而言，是個大問題。

由於網路防火牆對於加密的SSL流中的數據是不可見的，防火牆無法迅速截獲SSL數據流並對其解密，因此無法阻止應用程序的攻擊，甚至有些網路防火牆，根本就不提供數據解密的功能。

2、普通應用程序加密後，也能輕易躲過防火牆的檢測

網路防火牆無法看到的，不僅僅是SSL加密的數據。對於應用程序加密的數據，同樣也不可見。在如今大多數網路防火牆中，依賴的是靜態的特徵庫，與入侵監測系統（IDS，Intrusion Detect System）的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時，防火牆才能識別和截獲攻擊數據。

但如今，採用常見的編碼技術，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉換成某種形式，既能欺騙前端的網路安全系統，又能夠在後台伺服器中執行。這種加密後的攻擊代碼，只要與防火牆規則庫中的規則不一樣，就能夠躲過網路防火牆，成功避開特徵匹配。

3、對於Web應用程序，防範能力不足

網路防火牆於1990年發明，而商用的Web伺服器，則在一年以後才面世。基於狀態檢測的防火牆，其設計原理，是基於網路層TCP和IP地址，來設置與加強狀態訪問控制列表（ACLs，Access Control Lists）。在這一方面，網路防火牆表現確實十分出色。

近年來，實際應用過程中，HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商，均已轉移到基於Web的體系結構，安全防護的目標，不再只是重要的業務數據。網路防火牆的防護范圍，發生了變化。

對於常規的企業區域網的防範，通用的網路防火牆仍佔有很高的市場份額，繼續發揮重要作用，但對於新近出現的上層協議，如XML和SOAP等應用的防範，網路防火牆就顯得有些力不從心。

由於體系結構的原因，即使是最先進的網路防火牆，在防範Web應用程序時，由於無法全面控制網路、應用程序和數據流，也無法截獲應用層的攻擊。由於對於整體的應用數據流，缺乏完整的、基於會話（Session）級別的監控能力，因此很難預防新的未知的攻擊。

4、應用防護特性，只適用於簡單情況

目前的數據中心伺服器，時常會發生變動，比如：

★ 定期需要部署新的應用程序；

★ 經常需要增加或更新軟體模塊；

★ QA們經常會發現代碼中的bug，已部署的系統需要定期打補丁。

在這樣動態復雜的環境中，安全專家們需要採用靈活的、粗粒度的方法，實施有效的防護策略。

雖然一些先進的網路防火牆供應商，提出了應用防護的特性，但只適用於簡單的環境中。細看就會發現，對於實際的企業應用來說，這些特徵存在著局限性。在多數情況下，彈性概念（proof-of-concept）的特徵無法應用於現實生活中的數據中心上。

比如，有些防火牆供應商，曾經聲稱能夠阻止緩存溢出：當黑客在瀏覽器的URL中輸入太長數據，試圖使後台服務崩潰或使試圖非法訪問的時候，網路防火牆能夠檢測並制止這種情況。

細看就會發現，這些供應商採用對80埠數據流中，針對URL長度進行控制的方法，來實現這個功能的。

如果使用這個規則，將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁，確實需要涉及到很長的URL時，就要屏蔽該規則。

網路防火牆的體系結構，決定了網路防火牆是針對網路埠和網路層進行操作的，因此很難對應用層進行防護，除非是一些很簡單的應用程序。

5、無法擴展帶深度檢測功能

基於狀態檢測的網路防火牆，如果希望只擴展深度檢測（deep inspection）功能，而沒有相應增加網路性能，這是不行的。

真正的針對所有網路和應用程序流量的深度檢測功能，需要空前的處理能力，來完成大量的計算任務，包括以下幾個方面：

★ SSL加密/解密功能；

★ 完全的雙向有效負載檢測；

★ 確保所有合法流量的正常化；

★ 廣泛的協議性能；

這些任務，在基於標准PC硬體上，是無法高效運行的，雖然一些網路防火牆供應商採用的是基於ASIC的平台，但進一步研究，就能發現：舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。

三、結束語

由於互聯網路的開放性和通信協議的安全缺陷，以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點，網上傳輸的數據信息很容易泄露和被破壞，網路受到的安全攻擊非常嚴重，因此建立有效的網路安全防範體系就更為迫切。實際上，保障網路安全不但需要參考網路安全的各項標准以形成合理的評估准則，更重要的是必須明確網路安全的框架體系、安全防範的層次結構和系統設計的基本原則，分析網路系統的各個不安全環節，找到安全漏洞，做到有的放矢。

⑸ 《Web前端黑客技術揭秘》pdf下載在線閱讀全文，求百度網盤雲資源

《Web前端黑客技術揭秘》（鍾晨鳴）電子書網盤下載免費在線閱讀

鏈接：

書名：Web前端黑客技術揭秘

豆瓣評分：7.6

作者:鍾晨鳴/徐少培

出版社:電子工業出版社

出版年:2013-1

頁數:361

內容簡介：

Web前端的黑客攻防技術是一門非常新穎且有趣的黑客技術，主要包含Web前端安全的跨站腳本（XSS）、跨站請求偽造（CSRF）、界面操作劫持這三大類，涉及的知識點涵蓋信任與信任關系、Cookie安全、Flash安全、DOM渲染、字元集、跨域、原生態攻擊、高級釣魚、蠕蟲思想等，這些都是研究前端安全的人必備的知識點。本書作者深入剖析了許多經典的攻防技巧，並給出了許多獨到的安全見解。

本書適合前端工程師閱讀，同時也適合對Web前端各類安全問題或黑客攻防過程充滿好奇的讀者閱讀，書中的內容可以讓讀者重新認識到Web的危險，並知道該如何去保護自己以免受黑客的攻擊。

作者簡介：

鍾晨鳴，畢業於北京化工大學，網名：餘弦。國內著名Web安全團隊xeye成員，除了愛好Web Hacking外，還對宇宙學、人類學等保持著濃厚興趣。2008年加入北京知道創宇信息技術有限公司，現任研究部總監，團隊致力於Web安全與海量數據研究，並進行相關超酷平台的實現。如果大家想和我交流，可以私信我微博：weibo.com/evilcos，同時本書的最新動態也會發布在我的微博上。

徐少培，畢業於河北工業大學。網名：xisigr。國內著名Web安全團隊xeye成員。2008年加入北京天融信公司，現任北京天融信資深安全專家，重點負責安全研究工作，主要研究領域包括：WEB安全、HTML5安全、瀏覽器安全、協議分析等。

⑹ 攻擊WEB應用伺服器有幾種方式

當然，我們對安全問題越來越重視，影響安全的因素有很多。如，病毒、間諜軟體、漏洞等。而惡意軟體由來已久，遠遠超出了我們的記憶。特別是在當今，特洛伊木馬等惡意代碼日益橫行，這種趨勢好像並沒有減緩的跡象。不過，惡意軟體問題比起攻擊者通過利用脆弱的應用程序伺服器竊取大量的關鍵信息來說，顯得還是相形見絀。
南昌網站建設
帶你了解對WEB應用伺服器的三種攻擊:
Blind SQL 注入式攻擊
Blind SQL注入式攻擊是發動攻擊的另一個方法，但卻是另一種略有不同的方法。在執行一次標準的SQL注入式攻擊時，攻擊者將一個SQL查詢插入到一個WEB應用程序中，期望使伺服器返回一個錯誤消息。這種錯誤消息能夠使攻擊者獲得用於執行更精確的攻擊所需要的信息。這會致使資料庫管理員相信只要消除這種錯誤的消息就會解決引起SQL注入式攻擊的潛在的問題。管理員可能不會認識到雖然這樣會隱藏錯誤消息，這種脆弱性仍然存在。這樣會為攻擊者增加點兒困難，卻不能阻止攻擊者使用錯誤消息收集信息，攻擊者會不斷地將偽造的SQL查詢發送給伺服器，以期獲得對資料庫的訪問。
SQL 注入式攻擊
SQL注入式攻擊如今日益成為互聯網上竊取機密信息的受歡迎的途徑。一次SQL注入式攻擊都包含這樣一種方法：攻擊者在一個WEB表單的搜索欄位中輸入一個SQL查詢，如果這個查詢被WEB應用程序接受，就會被傳遞到後端的資料庫伺服器來執行它，當然這要建立在從WEB應用程序到資料庫伺服器的讀/寫訪問操作被准許的前提下。這可以導致兩種情況發生，一是攻擊者可以查看資料庫的內容，二是攻擊者刪除資料庫的內容。無論哪一種情況發生，對用戶來說都意味著災難。
很多人可能認為，SQL注入式攻擊需要高深的知識。其實恰恰相反，實質上，任何人，只要對SQL有一個基本的理解並擁有一定的查詢程序（這種程序在互聯網上比比皆是），這種攻擊就可以實施。
跨站點腳本攻擊
跨站點的腳本攻擊，也可稱為XSS或CSS，是黑客損害那些提供動態網頁的WEB應用的一種技術。當今的許多WEB站點都提供動態的頁面，這些頁面由為用戶動態建造的多個源站點的信息組成。如果WEB站點管理員不注意這個問題，惡意內容能夠插入到Web頁面中，以收集機密信息或簡單地用戶端系統上執行。對抗手段
有許多對抗Web應用伺服器攻擊的對策和措施。對問題的清醒的認識無疑是最重要的。許多企業組織正專注於一些需要執行的預防性的措施，不過卻不知曉這些攻擊是如何執行的。如果不理解WEB應用伺服器攻擊是如何工作的，將會使對抗措施不能真正起作用，簡單地依靠防火牆和入侵防禦系統不能從根本上解決問題。例如，如果你的WEB應用伺服器沒有對用戶輸入進行過濾，你就很容易遭受上述類型的攻擊。
領先於攻擊者的另一個關鍵問題是定期對你的WEB應用進行徹底的檢查。在技術領域，亡羊補牢，未為晚也可能不太適用，因為如果你不及時檢查修補你的牆，你丟失的將不僅僅是羊，很有可能是你的整個羊圈甚至更多。

⑺ web應用中的注入漏洞主要有哪幾種

網路發展至今，他的高端我們都見識過，但是網路安全也是一直以來不變的話題，怎樣能使網路更加安全呢?如何構建一個安全的Web環境，是應該考慮的事情。該選擇哪些安全工具呢?我們可以再危險發生之前，先測試一下自己系統中的漏洞。為大家推薦10大Web漏洞掃描程序。 1. Nikto 這是一個開源的Web伺服器掃描程序，它可以對Web伺服器的多種項目進行全面的測試。其掃描項目和插件經常更新並且可以自動更新。Nikto可以在盡可能短的周期內測試你的Web伺服器，這在其日誌文件中相當明顯。不過，如果你想試驗一下，它也可以支持 LibWhisker的反IDS方法。不過，並非每一次檢查都可以找出一個安全問題，雖然多數情況下是這樣的。有一些項目是僅提供信息類型的檢查，這種檢查可以查找一些並不存在安全漏洞的項目，不過Web管理員或安全工程師們並不知道。 2. Paros proxy 這是一個對Web應用程序的漏洞進行評估的代理程序，即一個基於Java的web代理程序，可以評估Web應用程序的漏洞。它支持動態地編輯/查看 HTTP/HTTPS,從而改變cookies和表單欄位等項目。它包括一個Web通信記錄程序，Web圈套程序，hash 計算器，還有一個可以測試常見的Web應用程序攻擊的掃描器。 3. WebScarab: 它可以分析使用HTTP和HTTPS協議進行通信的應用程序，WebScarab可以用最簡單地形式記錄它觀察的會話，並允許操作人員以各種方式觀查會話。如果你需要觀察一個基於HTTP(S)應用程序的運行狀態，那麼WebScarabi就可以滿足你這種需要。不管是幫助開發人員調試其它方面的難題，還是允許安全專業人員識別漏洞，它都是一款不錯的工具。 4. WebInspect： 這是一款強大的Web應用程序掃描程序。SPI Dynamics的這款應用程序安全評估工具有助於確認Web應用中已知的和未知的漏洞。它還可以檢查一個Web伺服器是否正確配置，並會嘗試一些常見的 Web攻擊，如參數注入、跨站腳本、目錄遍歷攻擊等等。 5. Whisker/libwhisker : Libwhisker是一個Perla模塊，適合於HTTP測試。它可以針對許多已知的安全漏洞，測試HTTP伺服器，特別是檢測危險CGI的存在。 Whisker是一個使用libwhisker的掃描程序。 6. Burpsuite： 這是一個可以用於攻擊Web應用程序的集成平台。Burp套件允許一個攻擊者將人工的和自動的技術結合起來，以列舉、分析、攻擊Web應用程序，或利用這些程序的漏洞。各種各樣的burp工具協同工作，共享信息，並允許將一種工具發現的漏洞形成另外一種工具的基礎。 7. Wikto: 可以說這是一個Web伺服器評估工具，它可以檢查Web伺服器中的漏洞，並提供與Nikto一樣的很多功能，但增加了許多有趣的功能部分，如後端 miner和緊密的Google集成。它為MS.NET環境編寫，但用戶需要注冊才能下載其二進制文件和源代碼。 8. Acunetix Web Vulnerability Scanner : 這是一款商業級的Web漏洞掃描程序，它可以檢查Web應用程序中的漏洞，如SQL注入、跨站腳本攻擊、身份驗證頁上的弱口令長度等。它擁有一個操作方便的圖形用戶界面，並且能夠創建專業級的Web站點安全審核報告。 9. Watchfire AppScan： 這也是一款商業類的Web漏洞掃描程序。AppScan在應用程序的整個開發周期都提供安全測試，從而測試簡化了部件測試和開發早期的安全保證。它可以掃描許多常見的漏洞，如跨站腳本攻擊、HTTP響應拆分漏洞、參數篡改、隱式欄位處理、後門/調試選項、緩沖區溢出等等。 10. N-Stealth： N-Stealth是一款商業級的Web伺服器安全掃描程序。它比一些免費的Web掃描程序，如Whisker/libwhisker、 Nikto等的升級頻率更高。還要注意，實際上所有通用的VA工具，如Nessus, ISS Internet Scanner, Retina, SAINT, Sara等都包含Web 掃描部件。N-Stealth主要為Windows平台提供掃描，但並不提供源代碼。