常見高危Web漏洞原理及檢測技術分析與研究

卜宋博 葛小虎

（1.楊陵職業技術學院 陜西省咸陽市 712100 2.貴陽愛立示信息科技有限公司 貴州省貴陽市 550000）

1 引言

目前，網絡安全形式日益嚴峻，網絡安全威脅不斷增加對國家政治、經濟、文化、國防安全及公民在網絡空間中的合法權益面臨諸多風險與挑戰。而Web 漏洞作為網絡安全威脅因素中一個重要來源，更是不能忽視的。因此對Web 漏洞進行分析及其檢測技術的研究是具有重大意義的。

2 Web漏洞原理及其威脅

2.1 Web漏洞定義

Web 漏洞主要指網站程序自身存在致使網絡信息系統安全策略相沖突的缺陷，使得系統或其應用數據的保密性、完整性、可用性、訪問控制等面臨威脅。攻擊者基于這些漏洞可能對網絡系統構成：敏感信息泄露、身份假冒、拒絕服務、非授權訪問等威脅。

2.2 Web漏洞的分類

（1）高危漏洞：可以直接被利用的漏洞，并且利用難度較低。利用之后可能對網站或服務器的正常運行造成嚴重影響、對用戶財產及個人信息造成重大損失。

（2）中危漏洞:利用難度極高，或滿足嚴格條件才能實現攻擊的漏洞。或漏洞本身無法被直接攻擊，但能為進一步攻擊起較大幫助作用的漏洞。

（3）低危漏洞：無法直接實現攻擊，當信息泄露可能讓攻擊者更容易找到其他安全漏洞。

2.3 Web漏洞的介紹

本文將著重去介紹、分析常見的 SQL 注入漏洞、跨站腳本、使用含有已知漏洞的組件，不安全的反序列化、XML 外部實體、文件上傳漏洞這六種常的Web 漏洞。

2.3.1 注入漏洞

是指因字符的過濾規則不嚴謹造成的，攻擊者可以將不受用戶信任的數據作為命令或者信息發送到服務器解析器。攻擊者的惡意數據可以誘使服務器解釋器在沒有相應授權的情況下執行惡意命令和非法訪問數據。最常見的當屬SQL 注入漏洞，根據注入點的數據類型不同，我們主要將其分為兩大類：數字/整數型注入和字符型注入。

數字/整數型注入：

當注入的參數為整數時就是數字型注入，或者叫整數型注入。其SQL 語句原型一般為：

SELECT * FROM table WHERE id=1

此處id 參數為整數，語句兩邊沒有引號。測試時候可以使用1+2 和4-1 這種計算結果相同的參數值去構造請示，對比響應結果是否一致，如果兩者結果相同就可能存在數字型注入。

字符型注入：

注入參數為字符串時就是字符型注入，其 SQL 語句原型類似：

SELECT * FROM table WHERE name='test'

此處的 name 為字符串參數，兩邊包含引號。這種類型的注入一般很好判斷。

除了這兩種類型，常見的搜索型注入，但我們認為其本質仍然屬于字符型注入，只是相對特殊，因為此類注入常常用%作為關鍵字去閉合SQL 語句。

實際場景常見的注入方式包含布爾型盲注、報錯型注入、聯合查詢注入、多語句堆疊注入、基于時間延遲盲注、內聯/嵌套查詢注入。通常防御 SQL 注入的方法有白名單、參數化查詢、WAF、RASP 等方法。如果請求參數有特定值的約束，比如參數是固定整數值，那么就只允許接收整數；還有就是常量值限制，比如特定的字符串、整數值等。這個時候，最好采用白名單的方式。參數化查詢是預編譯 SQL 語句的一種處理方式，所以也叫預編譯查詢，它可以將輸入數據插入到 SQL 語句中的“參數”（即變量）中，防止數據被當作 SQL 語句執行，從而防止 SQL 注入漏洞的產生。WAF（Web 防火墻）能夠抵擋住部分的SQL 注入攻擊。RASP 不用考慮網絡請求中的各種復雜的數據處理過程，只需要在對應的漏洞觸發函數進行 Hook 插樁檢測等操作，同時 RASP 能夠給出漏洞觸發的程序上下文，幫助開發人員和安全人員快速定位漏洞代碼，并實現漏洞的檢測、告警和阻斷。

2.3.2 跨站腳本（XSS）

在常見的Web 漏洞中，XSS 漏洞無疑是最常多見的。

XSS 漏洞具體是指在網頁中包含不受信任的、未經恰當驗證或轉義的數據時，或者使用可以創建 HTML 或 JavaScript 的瀏覽器API 更新現有的網頁時，就會出現 XSS 缺陷。XSS 讓攻擊者能夠在受害者的瀏覽器中執行腳本，實現盜號、釣魚欺詐、篡改頁面、刷廣告流量、網頁掛馬、挖礦、鍵盤監聽、竊取用戶隱私等等惡意行為。

反射式XSS：這種類型的XSS 漏會使應用程序或API 包括未經過驗證的用戶進行輸入，作為HTML 輸出的一部分。攻擊者事將先制作好攻擊鏈接,需要欺騙用戶自己去點擊鏈接才能觸發XSS代碼，。換而言之，用戶將需要與指向攻擊者控制頁面的某些惡意鏈接進行交互。常見形態有廣告或非法內容、惡意漏洞網站。

存儲式XSS：應用程序或者API 將未過濾的用戶輸入存儲下來了，并在后期在其他用戶或者管理員的頁面展示出來。也就是說，代碼是存儲在服務器中的，如在個人信息或發表文章等地方加入代碼，如果沒有過濾或過濾不嚴，那么這些代碼將儲存到服務器中，每當有用戶訪問該頁面的時候都會觸發代碼執行，容易造成蠕蟲，盜竊cookie 等。

基于DOM 的XSS：DOM 是一個與平臺、編程語言無關的接口，它允許程序或者腳本動態的訪問和更新文檔內容、結構和樣式，處理后的結果仍然能夠成為顯示頁面的一部分。如果DOM 中的數據沒有經過邏輯嚴密的確認，就會產生基于DOM 的XSS 漏洞。這種XSS 漏洞一般存在于頁面的JavaScript 框架、API、單頁面程序中，攻擊者可以動態的將可控腳本加入其中。

XSS 的防御也必須根據不同位置采取不同的方案，具體有四種防御手段：輸入檢查、輸出檢查、Httponly Cookie、CSP。在測試XSS 時，經常需要輸入一些特殊字符，所以在最開始就直接做好輸入檢查有利于減少被攻擊的可能性；XSS 的出發關鍵點在于輸出的位置，所以對輸出檢查尤為重要，當有網站需要支持富文本時，此時采用白名單的方式，直接限制允許輸入的標簽、字符是最佳方案；如果你在 Cookie 中設置了 HttpOnly 屬性，那 JavaScript 腳本將無法讀取到 Cookie，這樣就能防止通過 XSS 竊取 Cookie，在一定程度上能夠減少 XSS 的攻擊范圍；內容安全策略（Content Security Policy，CSP）也是減少 XSS 攻擊的一種方式，是瀏覽器提供一種防御機制。它采用的是白名單機制，告訴瀏覽器可以加載和執行哪些外部資源，這樣就能防止被一些第三方惡意腳本注入執行，我們可以通過HTTP 頭信息的Content-Security-Policy 的字段和網頁的標簽設置去開啟CSP。

2.3.3 使用含有已知漏洞的組件

組件（例如：庫、框架和其他軟件模塊）擁有和應用程序相同的權限。如果應用程序中含有已知漏洞的組件被攻擊者利用，可能會造成嚴重的數據丟失或服務器接管。使用含有已知漏洞的組件的應用程序和API 可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。

在軟件開發或者運行維護就當我們要做到：使用公共數據庫（如CVE 和CNVD 等漏洞中心），項目郵件列表和安全郵件列表中時刻關注這些組件的安全信息并保證它們是最新的；建立組件使用的安全策略，比如需要某些軟件開發實踐，通過安全性測試保障發全新；在適當的情況下，考慮增加對組件的安全封裝，去掉不使用的功能和/或安全薄弱的或者組件易受攻擊的方面。

2.3.4 不安全的反序列化

在Web 應用程序中，序列化是把對象轉換成有序字節流，通常都是一段可閱讀的字符串，以便在網絡上傳輸或者保存在本地文件中。同樣，如果我們想直接使用某對象時，就可能通過反序列化前面保存的字符串，快速地重建對象，也不用重寫一遍代碼，提高工作效率。

不安全的反序列化會導致遠程代碼執行。即使反序列化缺陷不會導致遠程代碼執行，攻擊者也可以利用改變應用邏輯或者實現遠程代碼來執行攻擊，我們稱其為數據結構攻擊。包括：重播攻擊、注入攻擊和特權升級攻擊。

2.3.5 XML 外部實體

XML 全稱可擴展標記語言。與HTML一樣，XML 使用標簽和數據的樹狀結構。XML 外部實體攻擊是一種針對解析XML 格式應用程序的攻擊類型之一，許多較早的或配置錯誤的XML 處理器評估了XML 文件中的外部實體引用，攻擊一般發生在配置不當的XML 解析器處理指向外部實體的文檔時。信息安全人員通過構造惡意內容，導致讀取任意文件、執行系統命令、內網探測與攻擊等危害的一類漏洞。

XML 主要的漏洞是XXE，不同的 XML 解析庫有不同的關閉方式，比如全面介紹 XXE 防御方案的是 OWASP 發表的“XML External Entity Prevention Cheat Sheet”，針對不同的語言、XML 解析庫，給出不同的防御方案，并提供關閉 XML 實體引用的代碼示例。

2.3.6 文件上傳漏洞

這是由于在文件上傳功能中，由于對用戶上傳的文件數據未做有效檢測或過濾不嚴，導致上傳的惡意文件被服務端解釋器解析執行，利用漏洞可獲取系統控制權。很多網站都有一些文件上傳功能，常見的是圖片、視頻、壓縮文檔上傳，如果網站是 PHP 寫的，那么上傳 PHP 到服務器就有可能被解析，若服務器支持其他語言的解析執行，比如 ASP、JSP、ASPX 等文件也可達到同等攻擊效果，達到惡意代碼執行。

針對這種漏洞，使用WAF 攔截木馬上傳，但這種比較容易被繞過；重編碼文件，比如對視頻或者圖片做轉換處理；嚴格檢測上傳文件后綴名、文件頭、Content-type；限制文件大小和上傳的目錄不可解析；隱藏上傳文件路徑相關信息，比如關閉錯誤回顯；這些都是常見的安全防護措施。

3 Web漏洞檢測技術與研究

現在主流的Web 漏洞檢測方式基本分為以下三種：SAST（靜態應用安全測試）、DAST（動態應用安全測試）和 IAST（交互式應用安全測試）。

SAST（Static Application Security Testing,靜態應用程序安全測試）

SAST 是通過分應用程序源代碼以提早發現安全漏洞，也包括二進制文件的靜態逆向分析。在產品形式上，主要體現為代碼審計系統等。SAST 分析比較全面，漏洞發現率高，哪怕是當前未能執行到的代碼，也可能被發現到漏洞，但是對于它最大的挑戰是如何降低誤報率。但代碼審計本質上就是在誤報率與發現率之間相互協調，直到在可接受的范圍內找到一個平衡的過程。如果發現率很高，但其中包含過多的誤報，告警量多到無法運營的程度，那也等同于沒發現。

DAST（Dynamic Application Security Testing，動態應用程序安全測試）

DAST 是對應用程序進行黑盒分析，通常在測試或運行階段分析應用程序的動態運行狀態，通過模擬黑客行為對應用程序進行動態攻擊，分析應用程序的反應，從而確定是否存在漏洞。DAST 通過動態發送 payload 來測試漏洞，所以準確率相對較高，而且檢測出來后就直接有現成的 PoC（Proof of Concept，概念驗證）可以驗證。但如果有些代碼未執行，就無法發現。因此，跟 SAST 結合使用是最好的方式。DAST 在產品上一般體現為漏洞掃描器。

IAST（Interactive Application Security Testing，交互式應用安全測試）

IAST 是近幾年興起的一種應用安全測試新技術，曾被 Gartner咨詢公司列為網絡安全領域的 Top 10 技術之一。IAST 融合了DAST 和 SAST 的優勢，漏洞檢出率極高、誤報率極低，同時可以定位到 API 接口和代碼片段。

4 結束語

本文介紹了一些常見的Web 漏洞特性以及防范技術、當下主流的Web 漏洞檢測技術，這些漏洞掃描技術在一定程度保證了網絡系統的安全。希望信息安全從業人員、開發人員在日常研究工作中能夠提防這些漏洞，研究開發下一代新型漏洞檢測技術，為網絡安全提供保障。