吳 凡

說到Web業(yè)務(wù)系統(tǒng),很多人會下意識地認為Web業(yè)務(wù)系統(tǒng)就是網(wǎng)站,但實際上,我們通常所說的Web業(yè)務(wù)系統(tǒng)指的是利用各種動態(tài)Web技術(shù)開發(fā)的基于B/S(瀏覽器/服務(wù)器)式的事務(wù)處理系統(tǒng)。比如:ERP系統(tǒng)、CRM系統(tǒng)以及常見的網(wǎng)站系統(tǒng)(如電子政務(wù)網(wǎng)站、企業(yè)網(wǎng)站等)都是Web業(yè)務(wù)系統(tǒng)。而這些Web業(yè)務(wù)系統(tǒng),都會遭受Web威脅的影響。

被篡改了頁面的網(wǎng)站

Z先生是某市信息中心主任,這個職位可不像外人想象的那么輕松,這不,一大早Z先生就被電話吵醒了:“Z主任,咱們網(wǎng)站被人黑了。”待到Z先生打開網(wǎng)站時赫然發(fā)現(xiàn)首頁已經(jīng)被換成了“小飛俠到此一游”的滾動文字……

經(jīng)專業(yè)安全公司專家確認,這是由于網(wǎng)站存在漏洞,黑客利用漏洞進行攻擊造成的。在用網(wǎng)站備份恢復(fù)了頁面后,Z先生馬上找到了當(dāng)初網(wǎng)站的開發(fā)人員,要求迅速進行漏洞的修補,經(jīng)過近一個月的代碼修改、測試和試運行后,網(wǎng)站才重新上線。

讓我們來回顧一下這個小故事,如果我們遇到了這個問題,該如何處理呢?

網(wǎng)站頁面被篡改意味著攻擊者拿到了Web發(fā)布系統(tǒng)的和后臺數(shù)據(jù)庫的權(quán)限(如果有后臺數(shù)據(jù)庫),通常來說如果網(wǎng)站是靜態(tài)頁面(全是HTML類型的文件,目前已非常少見),黑客可能獲得了操作系統(tǒng)或發(fā)布系統(tǒng)的權(quán)限,這就需要仔細檢查相關(guān)日志信息(操作系統(tǒng)日志和發(fā)布系統(tǒng)日志),如果黑客未修改和刪除這些日志,則可以從日志中分析判斷攻擊者利用了哪些漏洞進行攻擊。對靜態(tài)頁面站點的安全防護相對來說比較簡單,只要及時升級操作系統(tǒng),正確配置和使用最新版本的Web發(fā)布系統(tǒng),同時部署網(wǎng)頁防篡改系統(tǒng)就可以達到目的。

除了靜態(tài)頁面架構(gòu)外,另外一種情況就是網(wǎng)站采用的是動態(tài)頁面架構(gòu),目前來看,90%以上的網(wǎng)站采用了這種架構(gòu),在政府機關(guān),這個比例也達到70%以上。所以,我們的Z先生,有70%的幾率無法簡單地通過部署網(wǎng)頁防篡改系統(tǒng)進行防御。

常見的政務(wù)網(wǎng)站功能不外乎信息發(fā)布和網(wǎng)上辦事兩個大塊功能,而網(wǎng)上辦事將會涉及到與使用者的信息交互。如果網(wǎng)站的開發(fā)人員沒有對這些信息交互做過濾和限制,就有可能造成安全隱患。Web應(yīng)用威脅中最著名的SQL注入,就是由此而產(chǎn)生的。據(jù)OWASP(開放式Web應(yīng)用程序安全項目組織)的統(tǒng)計,SQL注入作為最嚴重的Web威脅行為之一,與60%以上的Web安全事件有關(guān)。

那么怎么來判斷自己到底是否遭受了SQL注入的威脅呢?由于SQL注入攻擊門檻很低,黑客很有可能并不知道該如何清理自己留下的系統(tǒng)日志,所從,在對日志的分析中可以很容易地看到是否有SQL注入行為發(fā)生。

比如可以在日志中檢索“ and ”(空格and空格),或者是“‘”(半角單引號)等關(guān)鍵字符,如果發(fā)現(xiàn)有類似[id=21 and 1=1] 的字符串,則基本可以判斷系統(tǒng)遭受了SQL注入的掃描或攻擊。當(dāng)然,這需要分析者具備一定的技術(shù)能力。另外,還可以借助專業(yè)安全公司的安全服務(wù)來判斷自己是否遭受了SQL注入的威脅。

帶病毒的網(wǎng)絡(luò)鏈接

經(jīng)常上網(wǎng)的朋友會發(fā)現(xiàn),有時候有些鏈接點擊進去后,防病毒軟件會報警,提示有病毒/木馬存在。某銀行科技處處長Y女士,正在為這樣的一起客戶投訴頭疼不已:某網(wǎng)銀用戶收到一封網(wǎng)銀活動通知郵件,點擊后居然發(fā)現(xiàn)被防病毒軟件報出存在木馬。

在經(jīng)過Y女士一番道歉后,客戶的怒氣似乎消退了一些,并表示可以把那封“肇事”郵件轉(zhuǎn)發(fā)給Y女士。這封郵件內(nèi)容是銀行這段時間正在搞的一個小調(diào)查活動,點擊“參加活動”按鈕后,防病毒軟件馬上發(fā)出病毒報警。經(jīng)專業(yè)安全公司專家分析后得知,這是一封偽造的活動郵件,黑客偽造了“參加活動”按鈕的URL鏈接,用戶點擊后,雖然會進入活動頁面,但同時也會被鏈接到一個惡意站點下載木馬,這就是防病毒軟件報警的原因。而能造成這種現(xiàn)象的原因是:該銀行的網(wǎng)站頁面編碼存在缺陷?？紤]到銀行的業(yè)務(wù)連續(xù)性要求,Y女士按照安全專家的建議購買了安全防護產(chǎn)品,并迅速部署上線,用以屏蔽此類攻擊行為。

為什么網(wǎng)頁鏈接會帶有病毒呢,主要原因是網(wǎng)站所有者故意在頁面嵌入惡意代碼。這種行為常見于私人小站,為了牟取私利,有些站長故意在網(wǎng)站頁面中嵌入惡意代碼,以竊取訪問者的信息。一般來說,企業(yè)用戶不會存在這種情況,但是在黑客攻擊網(wǎng)站獲取權(quán)限后,也可以在正常頁面中添加惡意代碼,這也就是常提到的XSS(跨站腳本)攻擊。

在實際表現(xiàn)中,XSS攻擊會有兩種常見的形態(tài):存儲式攻擊和反射式攻擊。

存儲式XSS:最常見的類型,黑客將攻擊腳本上傳到Web服務(wù)器上,使得所有訪問該頁面的用戶都面臨信息泄漏的可能,其中也包括了Web服務(wù)器的管理員。其攻擊過程如下:

1. Bob擁有一個Web站點,該站點允許用戶發(fā)布信息/瀏覽已發(fā)布的信息。

2. Charly注意到Bob的站點具有XXS漏洞。

3. Charly發(fā)布一個熱點信息,吸引其它用戶紛紛閱讀。

4. Bob或者其他任何人如Alice瀏覽該信息,其會話cookies或者其他信息將被Charly盜走。

反射式XSS:Web客戶端使用Server端腳本生成頁面為用戶提供數(shù)據(jù)時,如果未經(jīng)驗證的用戶數(shù)據(jù)被包含在頁面中而未經(jīng)HTML實體編碼,客戶端代碼便能夠注入到動態(tài)頁面中。其攻擊過程如下:

1. Alice經(jīng)常瀏覽某個網(wǎng)站,此網(wǎng)站為Bob所擁有。Alice使用用戶名/密碼進行登錄,并存儲敏感信息(比如銀行賬戶信息)。

2. Charly發(fā)現(xiàn)Bob的站點包含反射性的XSS漏洞。

3. Charly編寫一個利用漏洞的URL,并將其冒充為來自Bob的郵件發(fā)送給Alice。

4. Alice在登錄到Bob的站點后,瀏覽Charly提供的URL。

5. 嵌入到URL中的惡意腳本在Alice的瀏覽器中執(zhí)行,就像它直接來自Bob的服務(wù)器一樣。此腳本盜竊敏感信息(授權(quán)、信用卡、賬號信息等)然后在Alice完全不知情的情況下將這些信息發(fā)送到Charly的Web站點。

上面的例子中,Y女士所遭遇到的就是這種反射式的XSS攻擊。

如何判斷自己已經(jīng)遭受XSS攻擊呢?和其他常見攻擊行為一樣,黑客很有可能并不知道該如何清理自己留下的系統(tǒng)日志,從對日志的分析中可以很容易地看到是否有XSS攻擊行為發(fā)生。還有一種更直接的方法就是檢查頁面源代碼,看是否有不相干URL等字符串出現(xiàn),如某頁面源文件中存在與頁面功能無關(guān)的代碼,就很有可能是發(fā)生了XSS攻擊。

由于XSS攻擊的直接受害者往往并不是網(wǎng)站所有者,而是訪問受攻擊網(wǎng)站的普通用戶,所以,經(jīng)常會出現(xiàn)普通用戶發(fā)現(xiàn)網(wǎng)站已經(jīng)被黑客攻擊,而網(wǎng)站的管理人員仍一無所知的情況。對于一些依靠網(wǎng)站開展業(yè)務(wù)的機構(gòu)來說(如金融機構(gòu)等),做好前期檢查,是一項非常重要的工作。

SQL注入攻擊和XSS攻擊發(fā)生后,該如何應(yīng)對呢?和大部分的Web威脅行為一樣,XSS攻擊發(fā)生原因是由于頁面文件編寫不完備,所以最直接和有效的方法就是代碼級的頁面文件修改。但一般來說代碼級修改需要較長的檢查和修補時間,同時可能會涉及到在線試運行驗證效果,所以在實際應(yīng)用中較少采用,采用的較多的是檢測+防護+響應(yīng)(PDR模型)的手段。