【51CTO.com 綜合消息】隨著各種各樣的Web應(yīng)用（電子商務(wù)、論壇、新聞、博客等）不斷進入人們的生活，越來越多的動態(tài)元素被加入到網(wǎng)站建設(shè)中來。表單、登錄、信息發(fā)布等動態(tài)內(nèi)容允許訪問者獲得和提交動態(tài)的內(nèi)容，如果這些Web應(yīng)用存在不安全的隱患，那么整個數(shù)據(jù)庫甚至是Web站點系統(tǒng)都會面臨安全風險。據(jù)統(tǒng)計，目前75%的網(wǎng)絡(luò)攻擊行為都是通過Web來進行的。

對Web應(yīng)用的安全性進行手工測試和審計是一項復雜且耗時的工作，不僅需要極大的耐心還需要專業(yè)的技術(shù)經(jīng)驗。對于Web管理人員來說，基于安全的管理將占用大量工作時間。自動化的漏洞掃描工具能夠大幅簡化對于未知安全隱患的檢測工作，有助于Web管理人員將精力轉(zhuǎn)向如何處理安全風險上。

針對系統(tǒng)平臺安全性的自動化漏洞掃描、審計產(chǎn)品已經(jīng)為人們所熟悉，這些產(chǎn)品能夠很方便的檢測操作系統(tǒng)、端口服務(wù)、Web服務(wù)平臺、口令通信等方面存在的安全隱患。但是針對Web應(yīng)用層的成熟的安全性檢測系統(tǒng)目前還比較少，本文使用的是國舜科技的UnisWebScanner系統(tǒng)來進行的。

本次檢測對象為某貿(mào)易公司網(wǎng)站，檢測行為已獲得該公司認可。檢測項目為注入漏洞、跨站漏洞、掛馬漏洞以及敏感信息泄漏等。 

圖1

檢測過程中發(fā)現(xiàn)有3個注入漏洞風險，其中兩個為SQL盲注漏洞，一個為普通SQL注入漏洞。為了檢測注入漏洞是否可以被惡意攻擊者利用，可以對其進行注入漏洞狀態(tài)驗證。 

圖2

對于兩個盲注漏洞的狀態(tài)驗證，我們還原掃描系統(tǒng)的檢測結(jié)果發(fā)現(xiàn)該網(wǎng)站對用戶提交的訪問沒有進行合規(guī)性過濾。對于提交的特殊構(gòu)造訪問，依然返回了相關(guān)信息。 

圖3

圖4

而對于普通SQL注入漏洞，我們發(fā)現(xiàn)了該網(wǎng)站使用的數(shù)據(jù)庫類型，對數(shù)據(jù)庫內(nèi)的敏感信息進行了掃描，并獲取了一定的敏感信息。碰巧的是，出現(xiàn)這個注入漏洞的不是別的頁面，正是網(wǎng)站的后臺管理登錄頁面，于是為了驗證獲得的敏感信息，我們使用了之前獲取的帳號密碼，發(fā)現(xiàn)果然可以進入。對于惡意的攻擊者來說，這樣的漏洞對于網(wǎng)站來說簡直是災(zāi)難性的，攻擊者甚至不需要去尋找后臺登錄頁面，也不需要進行密碼暴力破解，在3-5分鐘內(nèi)就可以完成對整個網(wǎng)站的控制。 

圖5

對于3個跨站漏洞，系統(tǒng)使用了 >"> 構(gòu)造語句串對頁面上的變量進行信息提交，結(jié)果果然彈出了我們輸入的信息。

對于這個貿(mào)易公司網(wǎng)站來說主要存在的是兩方面的安全威脅，第一是來源于注入漏洞，惡意攻擊者可以利用這些漏洞獲得數(shù)據(jù)庫內(nèi)的某些敏感信息，假如獲得后臺管理員的帳號密碼，那么整個網(wǎng)站服務(wù)器就岌岌可危了。另外，跨站漏洞雖然對于網(wǎng)站服務(wù)器本身的威脅并不是很嚴重，但是作為一個交易平臺，作為一個以服務(wù)客戶為目的的網(wǎng)站系統(tǒng)，如果使得客戶的隱私信息發(fā)生泄漏又或是客戶訪問主機被執(zhí)行了惡意操作，那么對于這個貿(mào)易公司來說，商業(yè)信譽以及經(jīng)濟方面的損失將是不可估量的。