web网络安全攻击与防护Word文件下载.docx

1、AbstractAlong with the rapid development of computer technology, Internet technology, the application of computers and the Internet have deep into the political, military and economic fields, however, will face the problem of network security is becoming more and more.For example: SQL injection, XSS

2、 cross-site, website backstage weak passwords, etc.It is because of vast Web site information, and cant let people identify the true and false.So the Web became hackers use the means of attack, especially after the rise of e-commerce, Web attack caused by the loss is not to be ignored.This article m

3、ainly tells the Web attack principle and some of the major reasons, Web attack prevention measures.Key words: SQL injection XSS cross-site attack principle of protective measures1.引言1.1 Web安全技术的背景随着Internet的快速发展，人们对它的依赖也越来越强，但是正是由于Internet的开放性，以及在设计的时候对于信息的保密和系统的安全考虑的不完善，造成了现在网络的攻击与破坏事件越来越多，给人们的日常生活

4、和经济活动造成了非常大的麻烦。由于Web服务作为当今Internet上使用最广泛的服务，所以Web站点被黑客入侵的事情屡有发生，Web安全问题已引起社会各界的极大重视。然而由于社交网络、购物网站、微博等等一系列新颖的互联网产品相继推出，基于Web环境的网络应用也越来越广泛，企业信息化过程中的各种应用大部分都需要架设在Web平台上，所以Web应用的飞速发展也引起了黑客们的高度关注，随之而来的就是Web网络安全的问题，黑客们利用网站的操作系统漏洞和一些Web服务程序中的SQL注入漏洞得到Web服务器的操控权。这样，他们不但可以篡改网页内容，还可以窃取内部的重要数据，更严重的是在网页中植入自制的恶意

5、代码程序，使得那些访问网站的访问者受到攻击。正因如此，这也使得越来越多的用户关注Web的安全问题，对Web应用安全的关注度也逐渐升温。1.2 Web安全的概述安全是什么？什么样的情况下会产生安全问题？我们要如何看待安全问题？只有搞明白了这些最基础，最简单的问题，才能明白一切防御技术的出发点，才能明白为什么我们要这样做。那么安全问题是怎么产生的呢？举个例子：当我们 出去旅游或者出差的时候，无论是用什么交通方式，都要经过安检这一环节，安检就是为了将一些危险品过滤掉，这样才能保证旅客们真正的安全。同样，从安全的角度看，我们可以将不同信任域之间建立一个信任边界。那些从高等级信任域往低等级信任域流的数据

6、时不需要进行检查的，而反之低等级信任域到高等级信任域是要进行检查的。这也就是为什么我们从车站，机场出来不需要检查，而想要再次进入时需要再次进行检查。2.Web安全现状和未来发展2.1Web安全现状在日益发展的今天，Internet已经成为了一个非常重要的基础平台，很多企业都将自己的应用架设在互联网平台上，为客户提供更方便、快捷的服务。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够多的重视。而且现在网络技术发展的越来越成熟，黑客们也将他们的注意力从以往对网络服务器的攻击逐渐转移到了Web应用端的攻击上。根据 2014年12月份Gartner 的最新调查，信

7、息安全攻击有 75% 都是发生在Web的应用层而非网络层上。同时，数据也显示，三分之二的Web站点都相当脆弱，非常容易受到攻击。然而绝大多数企业都是将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证来解决Web应用本身的安全，给黑客有可乘之机。那么黑客主要用什么手段进行Web攻击呢，就在近期有统计过Web网络遭受攻击的手段如图1所示。图1：Web遭受攻击情况统计图从图1中可以看出来除了简单的扫描之外，最严重的还是SQL注入和XSS跨站攻击了，这两中攻击手段是目前来说危害较大的了。而且就在2015年1月20日左右，国内最大的互联网安全公司360最新发布的2014中国个人电脑上网安全报告

8、，报告从恶意程序统计、挂马钓鱼形势、系统漏洞的安全防护等多个角度对去年中国国内个人电脑上网安全情况做了全面分析。报告还披露了2014年度国际国内发生的14起震惊中外的互联网安全事件，这些互联网安全事件中有5起主要发生在中国。从图2中可以看出我国对Web安全的重视程度远远不够，很多地方对于Web安全意识还很薄弱。图2：2014年点奥病毒疫情各省高危人群比例图正是因为如此，了解Web网络的攻击手段和一些必要的防护措施迫在眉睫。下面将会着重介绍以下当下流行的攻击手段和防护措施。2.2Web安全的未来发展Web 原来被设想为通用的应用，它可以在任何地方运行的最低标准的应用，但是这样的应用它的功能就要被

9、内容所限制了。而App提供了另外一种替代的方法，也就是在后台执行代码、进行数据缓存供离线使用，采用推送通告等，这些都是网站无法做到的。但是 Web 并没有坐以待毙，它也正在快速的变化来应对 app 的威胁。拥有 18 年Web经验的Haakenson专家认为，2015 年将会是有史以来 Web 发展最令人兴奋的一年，他预测了2015 年 Web的发展会有以下一些重要的趋势：1、ServiceWorkers可以让网站安装JS的文件，JS文件会在一个独立于页面的环境下运行。这样的 javascript的脚本就可以提供跨页面的持续性，还可以来侦听页面的请求，然后在无需通过网络的情况下返回内容。这样一

10、来，内容就可以在不需要在百分之百连接的情况下进行缓存、转换或者用有创意的新方式提供出来。2、传感器访问能够赋予页面对用户环境的感知能力。一直以来，Web页面掌握的用户情况十分有限，通常只有用户的屏幕尺寸还有浏览器的类型等。但现在的各种标准把环境、光亮、摄像头等各种数据都提供出来了。这就使得网站可以在跳出页面之外掌握更为丰富的信息。3、推送通告可以让网站与用户保持处于连接的状态，哪怕用户关闭了网站的浏览器标签页，也可以接受到网站的推送报告。4、ServiceWorkers 与推送通告的结合也能产生非常重要的效应。推送未必就要把通告给用户，也可以是执行任意ServiceWorker代码。某个你很感

11、兴趣的节目又出新的内容了，这是就可以触发推送给某个ServiceWorker，让后者把内容预加载到缓冲，这样你坐车回家的时候就可以使用离线浏览了。不过有人也许会对浏览器是否具备这种能力感到担忧。但是这种担心大可不必，这些功能的使用都需要经过权限检查，在使用的时候也会有可以见到的提示信号。比方说，用麦克风进行录音时，标签的图标上会显示录音的符号，这样用户可以知道也可以随时取消。另一个重要趋势是 Web 的安全化。像推送这样的新功能过于强大，需要用 HTTPS来进行一个保护措施。HTTPS还可以防止恶意的植入代码，给网站和用户造成长期影响。正如SANS研究员Ed Skoudis所说：“当一切不同的

12、事物进入这个环境中，如果你不知道漏洞出现在哪里，那你便无法抵御它。”该论断对于Web安全同样适用，传统的Web威胁防御方式是基于对木马、病毒等安全威胁的认识经验而来，而新的威胁已经完全了解了这些传统的做法，攻击时根据实际情况改变策略，就可以轻松绕过防御，造成破坏。特别是黑客对于安全漏洞的利用更加使Web安全威胁进入了一个新的阶段。仅仅在2014年，就出现了“心脏流血”漏洞、Bash漏洞等特大型漏洞，利用这些漏洞，黑客很有可能完全控制网站服务器等的目标系统。更可怕的是，这些漏洞在被发现之前都是远离安全研究人员视线，这些漏洞很有可能正在或者已经被黑客用来攻击目标系统。而且，地下黑客市场的兴起让黑客

13、可以快速获取漏洞攻击套件，对用户造成重大的威胁。越来越多的攻击案例证明，Web安全事故很有可能导致组织遭受重大的损失。在今年4月份法国电视5台遭受的重大网络攻击中，黑客袭击了法国电视5台的官方网站，导致大量电视台服务被中断，以及重要的网站内容被篡改成黑客声明，攻击波及人数高达两亿。有分析指出，黑客很有可能通过对未知网站漏洞的利用，或者对网站服务器的控制来实现攻击目标，这一事件给我们提了一个醒，让我们意识到对网站威胁进行监控、预警的重要性。而在专家看来，Web安全并非只是对已知漏洞、脚本、木马的清除与防护，而是越来越多的指向对未知安全威胁方面的防范，以达到防范于未然的效果。这就需要Web服务提供

14、商建立一个完整的Web安全体系，将安全情报搜集、安全预警放在Web防护的重要位置，在安全事故发生之前就消灭威胁的根源，这样不仅可以有效的防范Web安全威胁，还能在最大的程度上减少因Web安全事故导致的损失。”3.常用的Web攻击手段Web的攻击手段多种多样，然而目前主流的手段有XSS跨站攻击，SQL注入以及网站的钓鱼等。下面主要就是介绍一下这三类的攻击手法。3.1XSS跨站跨站脚本攻击XSS时客户端脚本安全中的头号敌人，OWASP TOP 10威胁曾经多次把XSS列为榜首。XSS攻击，通常是指黑客通过对网页的修改，并且在网页中插入了一些自己制作的恶意脚本或者病毒，当用户在浏览网页时，就可以控制

15、用户浏览器的一种攻击。在以前刚开始的时候，这种攻击是需要跨域的，所以也就有了跨站攻击之说，但是互联网发展到今天，随着javascript的日益完善，现在的XSS是否跨域已经不是那么重要了，但是因为好多人都习惯了叫跨站攻击为XSS，所以XSS这个名字就被保留了下来。XSS漏洞有很多种，大概可以分为：反射性，存储型两大类，而从某种意义上来讲存储型XSS漏洞的危害性要更大一些。如何判断反射型和存储型的XSS：简单来讲，反射型的XSS是需要用户手工去点击的，所以反射性的XSS也被称之为“非持久型的XSS”，而存储型的只要打开网页就会自动出现的，因此具有很强的稳定性。当然XSS也不可能是空穴来风，每件事

16、情的发生都必然会有原因的存在，所以XSS形成的原因也有很多种：1用户提交的，未经过过滤的信息直接写到网页上2网页或FLASH文件调用js时,参数未经过过滤3网页给用户设置cookie时让用户可以修改参数4其他类型的XSS有人说XSS的危害性并不大，认为不过就是弹出一个弹框而已，没有什么大不了的，但是事实却不是这样，黑客正是利用弹窗来窃取用户的cookie等信息的。比如以前轰动一时的XSS事件：“微博病毒”攻击事件回顾：2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”

17、，“这是传说中的神仙眷侣啊”等等微博和私信，并自动关注一位名为hellosamy的用户。事件的经过线索如下：20:14，陆续开始有大量带V的认证用户中毒，并自动转发蠕虫30，随后某网站中的病毒使得该页面无法访问32，继而新浪微博中hellosamy用户无法访问21:02，最后新浪漏洞修补完毕此次事件我们可以看出，XSS攻击还是比较可怕的一种攻击手段。常见的Web攻击除了XSS以外，危害性比较大的要属SQL注入和网站钓鱼了。接下来就探讨一下SQL注入的一些知识。3.2 SQL注入所谓SQL注入，就是构造SQL命令加入到Web表单提交或输入在域名以后以及在页面请求查询的字符串，最终成功欺骗服务器，

18、从而执行恶意的SQL命令，达到入侵的效果。然而，SQL注入攻击的本质，就是把用户输入的数据当做命令来执行，然而完成这一个动作则需要两个很关键的条件，第一个就是用户能够控制输入内容，第二个就是原程序要执行代码，并且要与用户输入的数据进行合并。简单来说，就是利用现有应用程序，将恶意的SQL命令插入到后台的数据库中并执行，它可以通过在Web表单中输入一串恶意的SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计师的想法去执行SQL语句。 下面是一则关于雅虎的SQL注入事件，当然这次的事件也给广大厂商和用户敲响了安全警钟。SQL注入安全事件：新浪科技讯 北京时间2012年7月14日凌晨消息，

19、雅虎已经成为一个安全漏洞的受害者，导致数十万个用户密码泄露，但看起来用户在自我保护方面做得也不够多。雅虎的泄露数据已经被发到黑客网站D33D上，其中包括45.3万个用户密码。黑客称，他们利用SQL注入技术渗透雅了虎的子域。业界人士指出，如果能从这个安全漏洞中学到一件事情，那就是用户需要在设置密码的问题上更有创造性。黑客表示，他们希望此次事件能成为一个警报信号，让网站关注自身安全性的问题；与此同时，个人用户也应将此作为一个警报信号来增强自身的个人密码。雅虎网站上最流行的密码就是“123456”，目前已经发现了2295个例子。当然，如果想要深入的了解SQL注入，那么就应该要知道他的一些手法，也就是

20、所谓的攻击技巧。一般来说，SQL注入的方式分为两种：一种是盲注，还有一种是显注。在很多的时候，Web服务器关闭了错误的提示，就是为了不让攻击者轻易的进行注入，于是盲注因此而诞生。所谓的“盲注”，就是在服务器没有返回错误信息的时候进行的注入。最简单的盲注就是尽量自己构造一些简单的条件语句，然后根据页面返回的信息来判断SQL语句是否能够顺利的执行。当然当我们找到并且确定一个注入点时，我们可以使用运行在windows下python环境中的sqlmap工具，也可以使用kail系统中自带的sqlmap。 sqlmap支持五种不同的注入模式，我们可以根据自己的实际需求来针对性的使用这款工具：1、基于布尔的

21、盲注，即可以根据返回页面判断条件真假的注入。2、基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。3、基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。4、联合查询注入，可以使用union的情况下的注入。5、堆查询注入，可以同时执行多条语句的执行时的注入。一旦有符合sqlmap可以注入的条件，那么就可以将整个url扔进sqlmap进行注入，如果想知道详细的情况可以用-v3来获得，当然sqlmap中还有好多命令，这里就不一一赘述了。当然，不否认前两者是目前主流的手段，但是网站的钓鱼也是不容小觑的，虽然

22、有的黑客认为这个并不能算是主流的攻击手段，因为这个完全可以防范。但是正是由于这样，也正是由于人类的好奇心，以及贪小便宜的这种心态，使得钓鱼网站日益猖獗。3.3网络钓鱼3.3.1. 什么是网络钓鱼攻击？网络钓鱼就是伪造一些政府或者企业机构，甚至是银行等向用户发送一些欺骗性的电子邮件，并且一步一步的诱导被害人将自己的敏感信息泄露出来，如：用户名，密码等重要的信息。然而通常最普遍而且最不容易使人察觉的往往是那些与原网站相差不多，几乎一模一样的网站，从而制造一个假象，使用户产生错觉，从而在该网站上留下那些敏感数据，更重要的是这种攻击往往不会让受害者察觉。网络钓鱼主要的一些手常见手段如下：1欺骗性的电子

23、邮件和伪造的Web站点2攻陷服务器加入恶意脚本3架设钓鱼网站目标:知名金融机构及商务网站4发送大量欺骗性垃圾邮件5滥用个人敏感信息：资金转账经济利益，冒用身份犯罪目的3.3.2.网络钓鱼的特点1虚假性：钓鱼攻击者一般都是利用自己制作的网站来模仿那些官网，别且用了一些非常相似的域名来增加真实性。2针对性：一般与钓鱼攻击者息息相关的企业都是一些银行或者商业机构，购物网站等等。因为这都涉及到大量的网络资金流动。3多样性：网络钓鱼是一种针对人性的弱点来攻击的，钓鱼者不会仅仅只是用钓鱼邮件，网站钓鱼，还有其他很多很多。4可识别性：网络钓鱼并不是防不胜防，因为有些真实网站会有自己的一些独特的资源，比如说数

24、字证书，专属的域名等，这些都是无法伪造出来的。3.3.3.常见的类型恶意软件的钓鱼 ：引入电子邮件的附件，如从网上下载的恶意软件，或者利用已知的漏洞例如word、excel一些办公软件，甚至是一些做了后门的免费vpn等 （劫持流量）网页木马：通过攻陷的网站插入恶意脚本、恶意插件收集用户信息、凭据等系统重构：修改用户的PC用户恶意目的的设置，例如修改收藏夹里的url为恶意的钓鱼网站，例如某银行网址为、 给用户浏览器添加外部Web代理（一种中间人攻击另外讨论）、修改系统hosts文件、及DNS的配置导向钓鱼网站、这样用户的信息就会被窃取DNS劫持：修改本地dns或hosts文件或篡改域名系统把用户

25、导向钓鱼网站，其结果是:用户并不知道他们正在进入的机密系统已经被掉包 .eg（攻击域名服务商篡改DNS记录、缓存投毒、利用CSRF修改路由dns解析）重定向钓鱼：url重定:如:网络流量重定向:在获得服务器权限以后将指定端口重定向到另外一个地址中间人钓鱼:包括Wifi伪热点、SSL中间人钓鱼、ARP等、伪基站钓鱼搜索引擎钓鱼：创建富有吸引力的站点、利用搜索引擎竞价排名，致钓鱼网站置顶。（例如虚假的银行提供较低的信贷成本更高的利率、电商提供较低的产品价格）3.3.4.网站钓鱼的事件人民网十堰4月15日电 4月8日，家住十堰城区的黄某的手机接到某银行的一条信息：您在我行已满5000积分，可兑现5%

26、的现金，请登录我行手机网领取。随后，黄某进入了信息上提供的网址，各种信息填写下来，提交时系统显示繁忙。多次试过后，仍然未成功。之后，黄某突然发现自己卡上存的3000元钱被人转走了，才知道遇上了电信诈骗。据十堰市东岳区警方介绍，电信诈骗的操作一般首先是电话欺骗被害人，引导其登录虚假的网页，然后填写个人信息，之后利用木马程序对受害人账户密码进行解析，从而划转资金。而此类电信诈骗案件破案率很低，而跨境作案的破案率更低。黄某的上当经历就是目前出现的一种新型诈骗手段，即目前的5.0版移动端诈骗。犯罪分子将伪基站装在私家车内，在人员较为密集的商业圈或工业区兜转。一台伪基站可以向方圆1公里范围内所有用户手机

27、发送既定号码信息，每天发送的信息数量可达到万余条。在发送的积分兑换短信中显示的下载链接暗藏木马程序，诱使被害人点击。被害人一旦点击，手机就会自动安装木马程序或进入钓鱼网站，犯罪分子轻易获取被害人的银行卡号、密码及相关验证信息，进而通过支付宝等第三方支付平台进行消费套现。通过以上事例我们可以明白网络钓鱼的危害性，而大部分受害者都是由于对内容的诱惑，或者好奇心所驱使，导致了被钓鱼。所以，记住“天上不会掉馅饼”，“好奇心害死人”这些简单的道理，并且在上网的时候多注意点，那么被钓鱼的几率将会大大减小。4.攻击原理4.1XSS跨站攻击原理XSS并不是属于主动攻击的手段。攻击者首先要构造一个具有跨站的页面

28、，利用各种各样的方式让用户来浏览这个页面，触发对被攻击站点的页面请求。此时，如果受害者已经在被攻击站点登录，那么攻击者就会持有该站点cookie。这样该站点会认为受害者发起了一个页面请求。而实际上这个请求是在受害者不知情的情况下发起的，由此攻击者在一定程度上达到了冒充被攻击者的目的。知道了XSS的攻击原理，那么也就等于清楚了XSS攻击的步骤了。图3：XSS攻击流程图如图3所示，就是XSS攻击的一个具体的流程，其实当用户在接收到e-mail或者一些url链接的时候，攻击已经开始了，用户将攻击者所发的内容打开之后，就会执行嵌入在里面的脚本，这种链接的脚本一般都是自动执行的，当执行完成后，就会在用户

29、不知情的情况下，将用户的cookie等敏感信息发送给攻击者，然后攻击者收到用户发来的数据，就可以伪装成此用户，然后可以任意的操作该用户所拥有的账户。4.2SQL注入攻击原理SQL注入攻击指的是构造恶意的SQL语句，并且插入到Web应用程序，而这些恶意的SQL语句都是SQL语法里的一些组合，通过执行恶意的SQL语句从而完成攻击者所要的操作，所以被攻击的主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。根据相关技术原理：SQL注入可以分为平台层注入和代码层注入。平台注入由不安全的数据库配置或数据库平台的漏洞所致；代码层注入主要是因为程序员没有对输入的数据进行编码和过滤，所以执行了非

30、法的数据查询。由此可以总结出，SQL注入的产生原因一般有以下的几方面：不当的类型处理；不安全的数据库配置；不合理的查询集处理；不当的错误处理；转义字符处理不合适；多个提交处理不当。这么分析下来，SQL注入攻击也并不是什么难事。图4：SQL注入攻击流程图如图4所示，当攻击者要对一个网站的数据库进行攻击的时候，首先就要先找到一个注入点，找注入点的过程是比较耗时的，当找完注入点之后，可以根据数据库的特性构造数据库语句，并执行。一般来说，如果数据库语句发生错误的话，就会返回错误信息，而攻击者一旦得到错误信息，就可以根据数据库的特性来判断数据库的类型，然后根据其特性，利用一定的测试软件辅助攻击，就可以拿到管理的的账号密码，最后控制改网站，进行数据的窃取和修改。4.3 钓鱼网站攻击原理通过一系列的手段将钓鱼网站发布在互联网上，吸引不知情的用户进行访问、输入隐私信息等操作，然后窃取用户的个人信息，严重的还可能进行网络敲诈活动，给用户利益造成非常严重的损害。由于这种攻击方式类似于日常的钓鱼活动，因此通常被称为“钓鱼网站”。然而就在近日，根据360安全中心统计，我国钓鱼网站新增98万家，同比增长95.9%，其中有关网购类钓鱼网站达39.27万 家，占年新增钓鱼网站总量的40.8%。