【51CTO獨(dú)家特稿】在微軟OCS系統(tǒng)中，對(duì)于所有通過Web瀏覽器方式發(fā)起的會(huì)話請(qǐng)求，都將通過CWA作為入口點(diǎn)，從而發(fā)送到Front End Server進(jìn)行后續(xù)的信令和媒體路由，并最終完成會(huì)話。而所有非Web瀏覽器方式發(fā)起的會(huì)話請(qǐng)求將以Front End Server作為入口點(diǎn)。那么，CWA服務(wù)器具有外部接口，將成為一個(gè)安全風(fēng)險(xiǎn)點(diǎn)。其安全威脅主要包括如下幾個(gè)方面：

1、會(huì)話固定

在會(huì)話固定攻擊中，攻擊者會(huì)在用戶和 Web服務(wù)器之間建立會(huì)話之前設(shè)置用戶的會(huì)話令牌。這樣一來，攻擊者就擁有了會(huì)話 ID，而無需在會(huì)話建立之后確定會(huì)話 ID。Communicator Web Access 在設(shè)計(jì)上可最大程度地減小此類威脅。

2、會(huì)話劫持

在會(huì)話劫持攻擊中，攻擊者會(huì)通過探查網(wǎng)絡(luò)上未經(jīng)加密的通信來訪問用戶的會(huì)話。Communicator Web Access 通過將 SSL 用作客戶端與 Communicator Web Access 服務(wù)器之間的默認(rèn)通信協(xié)議來最大程度地減小此類威脅。

3、跨站請(qǐng)求偽造

跨站請(qǐng)求偽造是指攻擊者偽裝成用戶并嘗試使用在用戶與基于 Web 的應(yīng)用程序之間建立的會(huì)話來執(zhí)行命令的行為。攻擊者通過向用戶發(fā)送電子郵件或通過其他方式誘使用戶訪問專為執(zhí)行惡意代碼而開發(fā)的網(wǎng)站來發(fā)起此類攻擊。攻擊者可以執(zhí)行的命令包括打開防火墻、刪除數(shù)據(jù)以及在內(nèi)部網(wǎng)絡(luò)內(nèi)執(zhí)行其他命令。

Communicator Web Access 在設(shè)計(jì)上可阻止攻擊者使用此方法通過惡意網(wǎng)站來控制用戶的 Communicator Web Access 會(huì)話。

4、跨站腳本（CSS、XSS、代碼插入）

跨站腳本攻擊是指攻擊者使用 Web 應(yīng)用程序向目標(biāo)用戶發(fā)送惡意代碼（通常采用腳本形式）的行為（有時(shí)也稱作 CSS、XSS 或代碼插入攻擊）。目標(biāo)用戶的瀏覽器無法檢測(cè)出不應(yīng)信任該腳本，從而將會(huì)執(zhí)行該腳本。在執(zhí)行惡意腳本后，該腳本可以訪問 Cookie、會(huì)話令牌或最終用戶的瀏覽器保留的其他敏感信息。此類腳本還可以重寫 HTML 頁的內(nèi)容。

可以存儲(chǔ)或反射跨站腳本攻擊。在存儲(chǔ)的攻擊中，惡意腳本會(huì)永久存儲(chǔ)在受到攻擊的 Web服務(wù)器（例如，數(shù)據(jù)庫、消息論壇、訪問者日志和評(píng)論欄）中。當(dāng)用戶訪問 Web服務(wù)器時(shí)，用戶的瀏覽器將執(zhí)行此腳本。在反射的跨站腳本攻擊中，攻擊者會(huì)誘使用戶單擊某個(gè)鏈接或提交專門設(shè)計(jì)的包含惡意代碼的表單。當(dāng)用戶單擊該鏈接以提交表單數(shù)據(jù)時(shí)，包含惡意代碼的 URL 將會(huì)隨同用戶數(shù)據(jù)一起發(fā)送到 Web服務(wù)器。當(dāng)網(wǎng)站向用戶顯示其信息時(shí)，該信息看起來源自受信任的源。然而，該信息實(shí)際上包含惡意代碼，然后在用戶計(jì)算機(jī)上會(huì)執(zhí)行此惡意代碼。

僅在未正確驗(yàn)證用戶輸入的網(wǎng)站中會(huì)存在此漏洞。Communicator Web Access 使用詳盡的用戶輸入驗(yàn)證來阻止此類威脅。

5、令牌威脅

HTTP 是一種無連接協(xié)議，每個(gè)網(wǎng)頁需要多次服務(wù)器請(qǐng)求和響應(yīng)才能完成。在會(huì)話期間，將使用多種方法來維護(hù)頁面請(qǐng)求之間的會(huì)話持久性。Web服務(wù)器使用的一種方法是向發(fā)出請(qǐng)求的客戶端瀏覽器頒發(fā)令牌。這也是 Communicator Web Access 采用的方法。

在 Communicator Web Access 服務(wù)器對(duì)內(nèi)部用戶或外部用戶成功進(jìn)行身份驗(yàn)證后，它將在會(huì)話 Cookie 中頒發(fā)一個(gè)令牌，然后將該令牌返回到客戶端。此 Cookie 用于在單個(gè)會(huì)話中訪問服務(wù)器。因此，客戶端必須接受來自 Communicator Web Access 服務(wù)器的 Cookie 才能正常工作。攻擊者可能會(huì)竊取并重用此令牌。Communicator Web Access 可通過采取以下措施來減輕令牌威脅：只發(fā)出一個(gè)會(huì)話 Cookie；使用 SSL（在已啟用的情況下）傳輸令牌；在會(huì)話結(jié)束時(shí)清除令牌；以及在客戶端經(jīng)過一段非活動(dòng)期后使令牌過期。

6、令牌 Ping 操作

在令牌 Ping 操作（也稱作“令牌保持活動(dòng)”）中，經(jīng)過身份驗(yàn)證的用戶會(huì)反復(fù)向 Web服務(wù)器發(fā)送請(qǐng)求以阻止會(huì)話，從而使會(huì)話令牌過期。由于令牌 Ping 操作攻擊可以繞過服務(wù)器內(nèi)置的超時(shí)邏輯，因此可將此類攻擊視為威脅。不過，由于用戶必須先經(jīng)過身份驗(yàn)證，因此此類威脅的級(jí)別較低。

7、網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚攻擊采用欺騙方法，屬于一種中間人攻擊。未經(jīng)授權(quán)的攻擊者嘗試通過偽裝成有權(quán)獲得信息的實(shí)體來獲取用戶的信息。通常，攻擊者會(huì)通過誘使用戶在偽造的網(wǎng)站、Web 窗體或電子郵件中輸入密碼或帳號(hào)來達(dá)到此目的。您應(yīng)告知最終用戶有關(guān)攻擊者用來獲取個(gè)人信息的各種方法。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/p>

【編輯推薦】

1. IIS 服務(wù)器向Windows Server 2003中添加Web服務(wù)器功能
2. 微軟IISWeb服務(wù)器超越了Apache
3. 保護(hù)IIS Web服務(wù)器的15個(gè)技巧
4. 建立多Web服務(wù)器備份