在Web信息系統(tǒng)高速發(fā)展的今天，Web信息系統(tǒng)的各種各樣的安全問題已暴漏在我們面前。就在8月份聯(lián)想網(wǎng)御安全服務(wù)部滲透測試工程師在給某部委的OA信息系統(tǒng)做滲透測試時，發(fā)現(xiàn)該OA信息系統(tǒng)的多處安全漏洞。OA信息系統(tǒng)采用JSP+Oracle的B/S架構(gòu)設(shè)計，滲透測試工程師對OA信息安全測試時發(fā)現(xiàn)幾處SQL注入及XSS跨站漏洞。SQL注入漏洞可以獲取所有表的數(shù)據(jù)，可以對數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行添加、刪除等操作，可以獲取數(shù)據(jù)庫的諸多配置及對主機(jī)系統(tǒng)執(zhí)行shell命令。

應(yīng)客戶要求，滲透測試工程師針對XSS跨站漏洞進(jìn)行了測試，在短時間內(nèi)就收集到多個用戶的Cookies，發(fā)現(xiàn)Cookies信息里包含用戶密碼的MD5值。此處的XSS跨站漏洞經(jīng)測試都可以被嵌入惡意網(wǎng)頁、自動發(fā)送短信息、網(wǎng)絡(luò)釣魚等。OA系統(tǒng)的多處XSS漏洞，如果被人惡意利用，嚴(yán)重的話就會在OA系統(tǒng)內(nèi)產(chǎn)生XSS蠕蟲病毒。

僅在2009年上半年，著名的社交網(wǎng)站校內(nèi)網(wǎng)就爆發(fā)了多處的XSS Worm威脅，就在前幾天在校內(nèi)網(wǎng)又爆發(fā)了Flash XSS Worm威脅，現(xiàn)在已經(jīng)有許多的用戶執(zhí)行惡意代碼并受到了各種病毒威脅。相信08年的QQ Mail的XSS跨站漏洞大家都還記憶猶新，當(dāng)你打開一封QQ好友發(fā)來的信件時，惡意代碼已經(jīng)悄悄被你執(zhí)行了，此時你主機(jī)可能成為黑客的一臺肉機(jī)。

Web信息系統(tǒng)各種安全問題潛伏在Web系統(tǒng)中，Web系統(tǒng)的時時刻刻遭受各種攻擊的安全威脅?，F(xiàn)在大多數(shù)的企業(yè)已經(jīng)意識到Web信息系統(tǒng)的安全威脅，采取了眾多安全措施，花費(fèi)大量的人力物力在網(wǎng)絡(luò)及服務(wù)器的安全上，為什么信息系統(tǒng)還是得不到真正的安全呢?

企業(yè)的Web安全現(xiàn)狀：

現(xiàn)在據(jù)調(diào)查統(tǒng)計75%網(wǎng)絡(luò)攻擊行為都來自于Web應(yīng)用層面而非網(wǎng)絡(luò)層面，同時調(diào)查表明國內(nèi)有近大于50%的站點(diǎn)存在各種Web層面的安全問題?，F(xiàn)在很多的企業(yè)給自己的網(wǎng)絡(luò)應(yīng)用了入侵檢測系統(tǒng)、網(wǎng)絡(luò)防火墻、VPN、網(wǎng)絡(luò)防病毒系統(tǒng)等，為什么還得不到真正的安全呢?我們應(yīng)用了諸多的安全設(shè)備，但是我們的Web服務(wù)還是要外開放的，也就是說80、443端口還是要開放的。80及443即是Http及Http服務(wù)的端口，只要你的Web服務(wù)開放，那么與Web服務(wù)通訊的信息，有些是正常的訪問，有些是帶有攻擊行為的訪問，Web系統(tǒng)無法判斷那些訪問是惡意的訪問，所有你的Web系統(tǒng)就會出現(xiàn)諸多Web層面的安全問題。

現(xiàn)在企業(yè)的Web信息系統(tǒng)大多為新聞、留言版、郵件、Blog、論壇、OA及其它應(yīng)用系統(tǒng)，試想一下這些多的Web信息系統(tǒng)沒有安全漏洞的嗎?目前關(guān)于Web信息系統(tǒng)出現(xiàn)的漏洞最多最嚴(yán)重的漏洞就是SQL Injection、XSS跨站安全漏洞。

SQL Injection漏洞

SQL Injection，中文名稱為“SQL 注入”是一種數(shù)據(jù)庫攻擊手段，也是Web應(yīng)用程序漏洞存在的一種表現(xiàn)形式，它的實(shí)際意義就是利用某些數(shù)據(jù)庫的外部接口把用戶數(shù)據(jù)插入到實(shí)際的數(shù)據(jù)庫操作語言當(dāng)中，從而達(dá)到入侵?jǐn)?shù)據(jù)庫乃至操作系統(tǒng)的目的。

Web程序員在編寫Web系統(tǒng)時對Web的安全性考慮不夠，對用戶輸入的數(shù)據(jù)沒有進(jìn)行有限的驗證及過濾，從而會引發(fā)SQL注入漏洞。如果我們的新聞系統(tǒng)或者OA辦公系統(tǒng)出現(xiàn)SQL注入漏洞，那么攻擊者通過構(gòu)造的特殊SQL語句就可以查看、插入、刪除數(shù)據(jù)的的數(shù)據(jù)及可以執(zhí)行主機(jī)的系統(tǒng)命令等具有很大的危害。

SQL注入攻擊具有如下特點(diǎn)：

(1)sql 注入種類繁多：

按數(shù)據(jù)庫分類就有：

Access、MsSql、Oracle、Informix 、DB2、Sybase 、PostgreSQL 、SQLite 數(shù)據(jù)庫注入，幾乎包含了所有的主流數(shù)據(jù)庫。

按程序語言分類就有：

ASP、ASPX、JSP、PHP、CGI、PL注入，也幾乎包含了所有Web編程語言。

按程序提交數(shù)據(jù)方式分類就有：

GET注入、POST注入、Cookies注入等。

這導(dǎo)致傳統(tǒng)的特征匹配檢測方法僅能識別相當(dāng)少的攻擊，難以防范。

(2)攻擊過程簡單，目前互聯(lián)網(wǎng)上流行眾多的SQL注入攻擊工具，攻擊者借助這些工具可很快對目標(biāo)Web系統(tǒng)實(shí)施攻擊和破壞。

(3)危害大，由于Web編程語言自身的缺陷以及具有安全編程能力的開發(fā)人員少之又少，大多數(shù)Web業(yè)務(wù)系統(tǒng)均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功，可以對控制整個Web業(yè)務(wù)系統(tǒng)，對數(shù)據(jù)做任意的修改數(shù)據(jù)、甚至刪除整個數(shù)據(jù)庫，給企事業(yè)單位帶來毀滅性的災(zāi)難。

(4)SQL攻擊語句多樣性

就SQL注入攻擊語句就有有攻擊語句大小寫混淆、部分攻擊語句url編碼性、部分攻擊語句16進(jìn)制編碼等編碼格式、就空格字符就可以用“+”“、“/**/”、“%09”、“[TAB]空格”字符來代替空格。

#p#

XSS 跨站漏洞

XSS攻擊：跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在Web應(yīng)用中的計算機(jī)安全漏洞，它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊

而變得廣為人知。對于跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“，而JavaScript是新型的“ShellCode”。

XSS 漏洞的特點(diǎn)：

(1)XSS跨站漏洞種類多樣性：XSS攻擊語句可插入到、URL地址參數(shù)后面、輸入框內(nèi)、img標(biāo)簽及DIV標(biāo)簽等HTML函數(shù)的屬性里、Flash的getURL()動作等地方都會觸發(fā)XSS漏洞。

(2)XSS跨站漏洞代碼多樣性：

為了躲避轉(zhuǎn)義HTML特殊字符函數(shù)及過濾函數(shù)的過濾，XSS跨站的代碼使用“/”來代替安字符“””、使用Tab鍵代替空格、部分語句轉(zhuǎn)找成16進(jìn)制、添加特殊字符、改變大小寫及使用空格等來繞過過濾函數(shù)。

如果在您的新聞系統(tǒng)發(fā)現(xiàn)安全漏洞，如果該漏洞是一個SQL 注入漏洞，那么該漏洞就會得到您的網(wǎng)站管理員密碼、可以在主機(jī)系統(tǒng)上執(zhí)行shell命令、對數(shù)據(jù)庫添加、刪除數(shù)據(jù)。如果在您的新聞或郵件系統(tǒng)中發(fā)現(xiàn)安全漏洞，如果該漏洞是一個XSS跨站漏洞，那么可以構(gòu)造一些特殊代碼，只要你訪問的頁面包含了構(gòu)造的特殊代碼，您的主機(jī)可能就會執(zhí)行木馬程序、執(zhí)行盜取Cookies代碼、突然轉(zhuǎn)到一個銀行及其它金融類的網(wǎng)站、泄露您的網(wǎng)銀及其它賬號與密碼等。

現(xiàn)在Web業(yè)務(wù)系統(tǒng)的安全防護(hù)意見不統(tǒng)一，最早我們以為使用了防火墻關(guān)閉了危險端口、安裝了殺毒軟件我們的信息系統(tǒng)將會很安全。現(xiàn)在隨著企業(yè)對信息安全重示及關(guān)主度的提高，開始為自己的信息安全部署入侵預(yù)防系統(tǒng)(IPS: Intrusion Prevension System)來提高信息系統(tǒng)的安全性，由于技術(shù)等各方面因素制約，IPS并不能100%正確分析入侵行為，從而可能會阻斷有用信息，導(dǎo)致業(yè)務(wù)系統(tǒng)的客戶獲取信息不全，因此不適用于對數(shù)據(jù)完整性有較高要求的場合。

因IPS存在的一定的誤報性，所以一些企業(yè)會把IPS的高危險策略的動作由阻斷改為忽略。IPS的檢測技術(shù)流程是攻擊者向我們服務(wù)器提交惡意的代碼時，我們的IPS會做它做出一個動作是阻斷還是放行，只有攻擊者在向我們服務(wù)器進(jìn)行攻擊時我們才IPS才會做出動作，所以我們不能真正了解目前我們的Web信息系統(tǒng)的安全狀態(tài)，我們信息系統(tǒng)的安全一直處在被動的狀態(tài)。我們的信息系統(tǒng)同樣得不到真正的安全，那怎么來保護(hù)我們信息系統(tǒng)的安全呢?

主動出擊防護(hù)您的信息系統(tǒng)

聯(lián)想網(wǎng)御安全服務(wù)部成立多年來，一直關(guān)注于國內(nèi)信息安全的發(fā)展趨勢，目前，應(yīng)用安全已經(jīng)成為信息安全中的重點(diǎn)。應(yīng)用系統(tǒng)是客戶的業(yè)務(wù)、生產(chǎn)系統(tǒng)的基本組成，應(yīng)用系統(tǒng)安全才是客戶目前都迫切解決的安全。針對目前客戶所面臨信息安全的狀況，聯(lián)想網(wǎng)御把以往的安全服務(wù)項目做了一個針對性的調(diào)整，推出了“Web應(yīng)用安全服務(wù)” 。

“Web應(yīng)用安全服務(wù)”是針對客戶的Web應(yīng)用系統(tǒng)首先由專業(yè)滲透測試工程師對Web應(yīng)用系統(tǒng)進(jìn)行滲透測試;具有安全編程的工程師對Web源代碼進(jìn)行安全審計;對客戶的網(wǎng)絡(luò)環(huán)境進(jìn)行安全評估;最后把滲透測試、源代碼審計、網(wǎng)絡(luò)評估的安全加固，做出一個全面有針對性的安全加固方案。全面對主機(jī)系統(tǒng)、Web應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固，保證客戶的Web應(yīng)用安全，使客戶安全放心使用信息系統(tǒng)。

【編輯推薦】

1. Websense提供業(yè)內(nèi)最先進(jìn)Web安全防護(hù)
2. WEB安全防護(hù)新思路：雙重保護(hù)、立體防御
3. 企業(yè)Web安全威脅在線評估診斷系統(tǒng)