電子商務網(wǎng)站隨著WEB2.0是帶的到來也逐漸掀起了新熱潮，如今利用JSP制作的電子商務網(wǎng)站更是數(shù)不勝數(shù)。那么面對網(wǎng)絡上日益增多的黑客與病毒攻擊，入侵JSP網(wǎng)站的難度究竟有多大呢？是不是想對于其他網(wǎng)站而言JSP網(wǎng)站就更加安全呢？本文通過實例簡述如何入侵JSP網(wǎng)站。

入侵JSP網(wǎng)站測試第一步：掃描

掃描是入侵的第一步，它可以讓你對即將入侵的目標有一個全面的了解。同時掃描還有可能發(fā)現(xiàn)掃描對象的漏洞，為入侵提供一個指導方向。

朋友的兩臺服務器為Linux，一臺為Windows系統(tǒng)，在路由器后面還有一臺Cisco PIX 525對三臺主機進行保護，只允許外部用戶連接不同主機的部分端口，例如80,25,110。

根據(jù)檢測，Cisco PIX防火墻過濾規(guī)則設置比較嚴密，基本上沒有多余端口允許外部用戶訪問。細致分析后，我發(fā)現(xiàn)，目標網(wǎng)絡的主機通過地址轉換來提供對外訪問，內部使用192.168.*.*地址段。

先不考慮那么多，找個掃描軟件來看看主機的安全情況。我找來了X-Scan，在外部對這幾臺主機進行了端口掃描之后，生成了一份關于端口的報表，發(fā)現(xiàn)其中有一個Tomcat服務器，解釋的自然就是JSP文件了。

小知識：

Tomcat Web服務器是一款開源的適合于各種平臺的免費網(wǎng)絡服務器。eBay.com與Dell 計算機等知名網(wǎng)站都采用或者曾經(jīng)采用Tomcat的container容器執(zhí)行Servlet 與JSP。

看來，只能通過Web服務進行間接攻擊。首先檢查TCP 80端口的服務。我發(fā)現(xiàn)，新聞搜索的功能是由端口8080提供的，輸入http:// 202.103.*.168:8080/之后，得到了一個系統(tǒng)管理登錄頁面，簡單地測試了一下，輸入“test/test”作為“用戶名/口令”，似乎認證成功，但實際上并不能進入下一個頁面。

專家支招：對于掃描來說，它很容易暴露我們網(wǎng)站的弱勢方面。應對掃描，我們可以架設一個蜜罐來誤導掃描者，蜜罐可以讓系統(tǒng)偽裝成到處是漏洞，從而遮蔽真正存在的漏洞，也可以偽裝成沒有任何漏洞，讓入侵者不知道從何入手(在去年第47期《電腦報》中，我們對制作蜜罐進行了介紹)。

入侵JSP網(wǎng)站測試第二步：漏洞嘗試

嘗試JSP各種已知漏洞，這個是在掃描結果中無法獲得任何有效信息指導入侵的情況下，被迫使用的方法。這種方法雖然效果不一定好，但是往往能夠起到意想不到的效果，從而讓入侵繼續(xù)下去。

我進行了JSP大小寫的測試，因為JSP對大小寫是敏感的，Tomcat只會將小寫的jsp后綴的文件當作是正常的JSP文件來執(zhí)行，如果大寫了就會引起Tomcat將index.JSP當作是一個可以下載的文件讓客戶下載，若干測試后，我發(fā)現(xiàn)這個方法并不奏效，可能管理員已經(jīng)在服務器軟件的網(wǎng)站上下載了最新的補丁。

我發(fā)現(xiàn)大部分的JSP應用程序在當前目錄下都會有一個WEB-INF目錄，這個目錄通常存放的是JavaBeans編譯后的class 文件，如果不給這個目錄設置正常的權限，所有的class就會曝光。

而采用JAD軟件對下載的class文件反編譯后，原始的Java文件甚至變量名都不會改變。如果網(wǎng)頁制作者開始把數(shù)據(jù)庫的用戶名密碼都寫在了Java代碼中，反編譯后，說不定還能看到數(shù)據(jù)庫的重要信息。那么，怎么得到這些文件呢?

Tomcat版本的缺省“/admin”目錄是很容易訪問的。輸入：http://202.103.*.168/admin/，管理員目錄赫然在列。默認情況下，“User Name”應該是admin，“Password”應該是空，輸入用戶和密碼后，并點擊“Login”按鈕，不能進入，陸續(xù)使用了幾個比較常見的密碼，也無濟于事。 默認情況下，Tomcat打開了目錄瀏覽功能，而一般的管理員又很容易忽視這個問題。也就是說，當要求的資源直接映射到服務器上的一個目錄時，由于在目錄中缺少缺省的index.jsp等文件，Tomcat將不返回找不到資源的404錯誤，而是返回HTML格式的目錄列表。

想到了這點后，我打開剛才用X-Scan掃描后生成的報表文件，找到“安全漏洞及解決方案”欄目，看到了幾個可能會有CGI漏洞的目錄。在地址欄輸入其中之一一些很典型的JSP文件和JS文件都列出來了。大喜之下，隨便選擇一個文件，點擊右鍵，然后，選擇“用FlashGet下載全部鏈接”選項，于是，這個目錄下的所有文件都被我下載到了本地。

其中最有價值的是一個名字為dbconn.js的文件，看來程序設計者是為了方便省事，把一些數(shù)據(jù)庫連接的密碼和連接地址都寫在里面了(這是很多開發(fā)者可能會忽略的問題)。不過，我現(xiàn)在最關心的還是Tomcat的管理員密碼。

簡單破解后，發(fā)現(xiàn)Tomcat系統(tǒng)中的admin用戶使用了非常簡單的口令：web123456。利用這個漏洞，有了這個密碼，下面的工作就相對簡單了。

專家支招：對于網(wǎng)站中的漏洞，我們要即時打上各種補丁，然后對幾個已知的安全弱勢方面進行加強，比如我們可以將“/admin”目錄進行修改，讓入侵者不容易找到管理路徑。然后關閉Tomcat的目錄瀏覽功能，讓入侵者的漏洞嘗試徹底失敗。

入侵JSP網(wǎng)站測試第三步：注入攻擊

很多網(wǎng)站對于注入防范做得都很不到位，注入攻擊可以讓網(wǎng)站暴露出自己的數(shù)據(jù)庫信息以至于暴露數(shù)據(jù)庫表中的管理員賬號和密碼。

重新登錄Tomcat的管理界面，點擊“Context (Admin)”這個鏈接，列出了WEB目錄下的一些文件和目錄的名稱，現(xiàn)在就可以對Tomcat的Context進行管理，例如查看、增加、刪除Context。

回到Tomcat的管理界，我發(fā)現(xiàn)了一個上傳文件的組件，并且網(wǎng)站還有一個論壇。于是，我編寫了一個input.jsp文件，并將它當作一般的Web 應用程序，通過上傳的組件上傳到對方的WEB目錄里。打開input.jsp這個頁面網(wǎng)頁對查詢窗體不會做任何輸入驗證，但是對用戶名稱的窗體則會。將數(shù)據(jù)填入窗體，來測試一下網(wǎng)頁的漏洞，例子如下：

(1)將 填入搜索字段，以便用XSS 來顯示進程的cookie。

(2)將填入搜索字段來示范HTML 注入攻擊。

通過這些方法，我得到了一些論壇的用戶信息，當然，這些都是針對JSP做的一些測試，以驗證Web應用程序中的所有輸入字段。有了用戶信息，卻沒有密碼，怎么辦?在登錄時，我發(fā)現(xiàn)了一個8888端口，這會是個什么服務呢?

專家支招：在網(wǎng)頁連接數(shù)據(jù)庫的設計中，網(wǎng)頁設計人員要加入對一些敏感符號的審核機制，屏蔽一些在數(shù)據(jù)庫中有作用的符號，這可以在很大程度上成功防御注入攻擊。

入侵JSP網(wǎng)站第四步：攻其“軟肋”

根據(jù)入侵的逐漸深入，系統(tǒng)存在的安全問題也漸漸清楚，下面就是針對網(wǎng)站的安全“軟肋”進行攻擊。一般針對安全“軟肋”的攻擊會使入侵成功。
 

【編輯推薦】

1. 網(wǎng)絡安全知識之抵御黑客入侵的竅門
2. 利用云安全技術分析病毒只需一秒
3. 成功評估：PCI DSS標準和安全數(shù)據(jù)存儲
4. ScanSafe:近期3波SQL注入攻擊100萬中國網(wǎng)站
5. 使用IDS技術防止SQL注入攻擊