Web 安全及其防護技術研究

李盛達

（南京審計大學信息工程學院，江蘇南京 211815）

0 引言

目前，隨著社交類、工具類、游戲類等新型互聯網產品的誕生，以Web 平臺為基礎環境的互聯網應用愈加廣泛，導致攻擊者們將攻擊目標轉移到Web 平臺上。Web 作為互聯網應用的主要載體被廣泛應用于各個業務系統，但Web 應用程序的安全性卻未受到人們重視，攻擊者利用網絡漏洞令用戶個人信息被泄露、篡改或銷毀，造成巨大損失。其中，又以連續幾年漏洞數量和嚴重性高居第一的注入漏洞為主，對網絡的安全性構成了極大威脅，用戶使用Web 平臺的頻率隨之降低［1-2］。

網站安全包括Web 服務器軟件安全、Web 應用程序安全和Web 防攻擊設備安全3 部分［3］。產生以上安全隱患的原因是服務器本身的漏洞以及應用程序開發時留下的缺口，只有充分了解Web 應用程序系統漏洞和攻擊者使用的攻擊手段，才能對這些漏洞采取有效的防御措施。通過對Web 服務器與應用程序的研究了解各種漏洞特征，及時調整Web 安全防護策略，確保Web 攻防設備將這些安全威脅維持在可控范圍內，對于構建一個安全的網絡環境，提高Web 服務器和應用程序的安全性，減少安全事故的發生具有重要意義。

1 相關技術研究綜述

Web 安全漏洞是指一個Web 系統（包括服務器、應用程序等組件）在設計與實現過程中存在的易受攻擊的安全缺陷。一些非法用戶利用這些漏洞可獲得更高權限，并在未經授權的情況下對系統進行操作，從而破壞系統的安全性［4-5］。Web 體系結構如圖1 所示。

Fig.1 Web architecture圖1 Web 體系結構

1.1 Web 服務器漏洞

目前針對Web 服務器上的安全隱患研究主要分為3 個方面：一是用戶對Web 進行訪問請求時遭拒，接收不到響應消息。李爽等［6］結合DDoS 攻擊原理與攻擊過程，提出使用免費開源工具DDoS deflate 預防DDoS 攻擊。二是公共網關接口是外部應用程序與Web 信息服務之間交換數據的接口，可實現Web 瀏覽器各用戶之間的交互，因此易造成安全隱患。盧志科等［7］采用分布式架構與多線程技術，將主動掃描與被動檢測相結合，并通過相應插件對Web 系統進行掃描，從而快速識別出owasp10 常見漏洞。三是當遠程用戶向服務器發送信息（如賬戶、密碼）時，在傳輸過程中被攻擊者攔截。Traore［8］通過simple Box 和secret Box，應用固態加密算法Salsa20/Chacha20 構建一種安全的Web 服務。但以上方案只介紹了漏洞查詢方法與攻擊原理，未涉及漏洞測試及修復工作，因此可使用CSRF 等工具進行目標枚舉，實施對點防護。實驗結果證明，該方法可有效阻止漏洞產生。

1.2 Web 應用系統漏洞

目前，圍繞Web 應用安全所探討的問題主要分為4 類：一是Web 平臺軟件的安全威脅（包括Web 應用程序使用的操作系統、http 底層服務器軟件和第三方應用程序等，涵蓋數據庫和企業內部網絡）。周琳娜等［9］針對網絡信息安全威脅提出具體防護措施，抵御以高級持續威脅為主的惡意攻擊，并彌補傳統網絡安全缺陷。二是拒絕服務攻擊Dos，由于網關映射等虛擬IP 的存在，不能根據IP 地址判斷請求來源，目前尚無可靠辦法確定http 請求來源，導致合法用戶不能使用服務。Yang 等［10］針對最小化問題設計一種基于梯度下降思想的改進多智能體一致性協議，以期在通信網絡遭受惡意DoS 攻擊時，保障網絡電力系統的抗毀性和經濟性。三是SQL 注入，通過SQL 命令插入到Web 表單遞交、域名輸入、頁面請求的查詢字符串中，最終達到欺騙服務器執行惡意SQL 命令的目的。在此情況下，Web 應用程序在數據輸入程序之前忽略對數據合法性的檢驗，從而使攻擊者操縱SQL 代碼以獲取用戶名、密碼等信息，或竊取并銷毀后臺數據。Fu 等［11］研究SQL 注入攻擊機制與原理，以解決SaaS、PaaS 和IaaS 虛擬化技術未能增強抵御此類攻擊能力的問題。四是跨站腳本攻擊XSS，針對攻擊者、客戶和網站三方設計，用于Web 應用服務器端的通用網關接口（CGI）程序，竊取客戶端Cookie 或其他網站用來識別客戶身份的敏感信息，這些可執行代碼由攻擊者提供，并最終加載到用戶瀏覽器。馮倩［12］提出XSS 攻擊防御策略，并實現了一種XSS 漏洞檢測工具，能有效檢測Web 應用中存在的XSS 漏洞。上述問題雖然已得到詳細的分析與處理，但未采取實驗驗證方法，說服性較弱。因此，本文通過搭建實驗平臺，針對AWVS 所掃描的漏洞進行統一測試與修復，提出多種測試及修復方案供研究者參考，并從Web 服務器、Web 應用開發者、Web 網站管理員3 個方面提出多項防護策略及建議，可有效彌補這一短板。

2 研究設計

2.1 環境準備

從開源網站下載ASP+ACCESS 源碼進行網站搭建，如圖2 所示。

Fig.2 Website building圖2 網站搭建

2.2 信息收集

2.2.1 域名信息

由于本地測試網站無正式域名，因此先測試一個有域名的正式網站。測試網站為：www.chinaz.com，進行對應IP收集，檢測結果如圖3 所示。

Fig.3 IP collection圖3 IP 收集

使用站長工具（www.chinaz.com）進行whois 查詢，根據查詢結果，可根據已知域名進行反查，分析出域名的注冊人、郵箱、電話、注冊地址等。

2.2.2 整站分析

整站分析界面如圖4 所示。由圖可知，網站主要為ASP.NET 類型，服務器為Microsoft-IIS/6.0，響應頭為cookie，連接類型為text/html，字符集為utf-8，緩存規則為private，即內容僅緩存到私有緩存中，且客戶端可緩存，代理服務器不能緩存。

2.2.3 敏感目錄分析

本文主要的收集方向為：robots.txt、后臺目錄、安裝包、上傳目錄、安裝頁面、編輯器、iis 短文件等，使用御劍掃描結果如圖5 所示。

Fig.4 Whole station analysis圖4 整站分析

Fig.5 Catalog scan圖5 目錄掃描

從txt 說明里可得出默認管理路徑為www，域名為com/admin，用戶名和密碼均為admin。本地測試是指需要開啟IIS 的父路徑，設置默認文檔中存在index.asp 是指本地測試時網站所在文件需要開啟讀寫權限。網絡攻擊者可利用這些信息修改拿到后臺權限，并進行破壞。

2.2.4 端口掃描

利用Nmap 進行主機端口掃描，完成主機探測、版本檢測與系統檢測等。通過對設備或防火墻的探測審計其安全性，探測目標主機所開放的端口，通過識別新的服務器審計網絡的安全性，并探測網絡上的主機［13］。掃描結果如圖6 所示。

Fig.6 Port scan圖6 端口掃描

從掃描結果中可看到網站開放的8 個端口，以及各端口的所屬協議、服務名稱、版本信息。網絡攻擊者可通過這些信息進行深層次的攻擊，破壞網絡安全。

2.3 漏洞查詢

通過Acunetix Web Vulnerability Scanner（AWVS）進行漏洞查詢，測試網站安全性并通過網絡爬蟲檢測流行的安全漏洞［14］，如圖7 所示。共發現24 處安全風險，檢測結果如表1 所示。

Fig.7 Vulnerability scanning圖7 漏洞掃描

Table 1 AWVS test results表1 AWVS 檢測結果

SQL 注入是最常見的手工查詢方式。經過測試，在地址欄進行and 1=1 時轉碼，分析出該網站并沒有SQL 注入漏洞。

2.4 漏洞分析

根據AWVS 掃描結果可知有3 種形式的漏洞：高危漏洞、中危漏洞和低危漏洞。

2.4.1 高危漏洞

跨站點腳本（XSS）：這是一種html 注入攻擊，分為反射型和存儲型。反射型XSS 誘導用戶點擊帶有惡意代碼的鏈接或圖片；存儲型XSS 在服務器端保留一個含有惡意代碼的JS 代碼，每一個訪問者都會被動執行該代碼。由于瀏覽器無法識別腳本來源是否可靠，因此腳本將在用戶上下文中執行，攻擊者可訪問瀏覽器保留的全部Cookie 和會話令牌。攻擊原理如圖8 所示［15］。

惡意用戶可能會將JavaScript、VBScript、ActiveX、HTML 或Flash 注入易受攻擊的應用程序中，欺騙用戶從這些應用程序中收集數據。攻擊者可竊取會話Cookie 并冒充用戶接管賬戶，還可修改呈現給用戶的頁面內容［16］。受影響的項目：/nav/。

Fig.8 XSS attack principle圖8 XSS 攻擊原理

Microsoft IIS 目錄枚舉：通過在Microsoft IIS 的幾個版本中使用一些向量，可檢測在Windows 中具有與8.3 文件命名方案等效的文件和目錄短名稱。特別是對于.net 網站而言，由于攻擊者可以找到通常不可見的重要文件和文件夾，因此能很容易地直接訪問URL，這種脆弱性可能使敏感信息暴露。

2.4.2 中危漏洞

沒有CSRF 保護的HTML 表單：此警告可能為假陽性，需要手動確認。CSRF 是攻擊者利用用戶身份操作用戶賬戶的一種方式，由于Web 的隱式身份驗證機制，通過這種攻擊，未經授權的命令從網站信任的用戶那里傳輸。AWVS 發現了一個沒有明顯實現CSRF 保護的HTML 表單，受影響的項目包括/message.asp 等，這種脆弱性使攻擊者能夠強制Web 應用程序的用戶執行攻擊者選擇的操作［17］。若管理員用戶遭到攻擊，將波及到整個Web 站點。

脆弱的JavaScript 庫：該版本的JavaScript 庫報告了一個或多個漏洞，受影響的項目為/common/ js/ jquery-1.8.3.min.js。若網站包含指向第三方托管JavaScript 文件的script 標簽，則該網站所有訪問者都將下載并執行該文件。一旦攻擊者破壞托管JavaScript 文件的此類服務器并將DDoS 代碼添加到文件中，則所有訪問者都將成為DDoS 攻擊的一部分，從而造成拒絕服務攻擊，使服務器癱瘓。

2.4.3 低危漏洞

缺少X-Frame-Options 頭：“點擊劫持”是一個惡意的欺騙技術，指Web 用戶點擊不同內容可能會透露機密信息，分為用戶界面糾正攻擊、UI 糾正攻擊、UI 糾正3 類［18］。服務器沒有返回X-Frame-Options 頭，意味著該網站可能面臨點擊劫持攻擊的風險。受影響的項目：Web 服務器。這種脆弱性的影響：取決于受影響的Web 應用程序。

沒有設置HttpOnly 標志的Cookie：此Cookie 沒有設置HttpOnly 標志。這種脆弱性的影響：無。

啟用OPTIONS 方法：此Web 服務器上啟用了HTTP 選項。OPTIONS 方法提供Web 服務器支持的方法列表，表示對于url 標識請求可用的通信選項信息［19］。受影響的項目：Web 服務器。這種脆弱性的影響：OPTIONS 方法可能會暴露敏感信息，從而幫助惡意用戶準備更高級的攻擊。

可能敏感的目錄：找到一個可能的敏感目錄，該目錄不是直接從網站鏈接。檢查并查找常見的敏感資源，如備份目錄、數據庫轉儲、管理頁面、臨時目錄等。每一個目錄信息都能使攻擊者更全面地了解攻擊目標。受影響的項目：/system。這種脆弱性的影響：該目錄可能會暴露敏感信息，幫助惡意用戶準備更高級的攻擊。

3 實驗驗證

3.1 漏洞測試

XSS 跨站腳本漏洞測試：XSS 跨站腳本漏洞是指由于Web 應用程序對用戶輸入過濾不嚴，出現在Web 應用程序中的計算機安全漏洞。攻擊者利用網站漏洞把惡意的腳本代碼注入網頁中，當其他用戶瀏覽這些網頁時，就會執行其中的惡意代碼，其可能采用Cookie 資料竊取、會話劫持、釣魚欺騙等攻擊手段［20］。在測試過程中使用JavaScript腳本，經過AWVS 掃描可得知漏洞在產品展示頁面，故在展示頁面菜單欄內寫入測試腳本：