樊秀萍

引言：通過對(duì)職業(yè)學(xué)校Web服務(wù)器的了解，總結(jié)對(duì)服務(wù)器常用的五種攻擊模式：系統(tǒng)軟件漏洞攻擊，應(yīng)用軟件漏洞攻擊，跨站攻擊，上傳漏洞攻擊，SQL注入漏洞攻擊，并根據(jù)相應(yīng)的攻擊模式，進(jìn)行安全防護(hù)，打造安全的職業(yè)學(xué)校服務(wù)器。

一、引言

時(shí)至21世紀(jì)信息技術(shù)高度發(fā)達(dá)的社會(huì)階段，通過互聯(lián)網(wǎng)的普及，網(wǎng)站安全成為眾多職業(yè)學(xué)校關(guān)心的話題，如何打造安全的校園網(wǎng)站是當(dāng)前諸多職業(yè)學(xué)校面臨的難題，在此以我校網(wǎng)站服務(wù)器設(shè)計(jì)搭建模型，結(jié)合多年的網(wǎng)站攻防經(jīng)驗(yàn)，探討如何打造安全的職業(yè)學(xué)校Web服務(wù)器。

二、網(wǎng)站漏洞分析

職業(yè)學(xué)校校園網(wǎng)站遭受的攻擊多種多樣，根據(jù)多年的網(wǎng)站攻防安全經(jīng)歷，經(jīng)筆者總結(jié)，現(xiàn)在的攻擊模式從總體上講分為兩個(gè)層次，而這兩個(gè)系統(tǒng)通常包含五種模式。兩個(gè)系統(tǒng)分別是指，軟件漏洞和源碼漏洞。

2.1軟件系統(tǒng)漏洞

所謂的軟件漏洞主要是指因?yàn)檐浖嬖诘陌踩┒炊o服務(wù)器帶來(lái)安全的隱患，軟件漏洞包括兩種模式，一種模式是系統(tǒng)安全漏洞。如：Windows csrss.exe棧溢出漏洞，另外一種模式是應(yīng)用軟件漏洞，如：聯(lián)眾游戲漏洞、超星閱讀器0-day漏洞、迅雷0-day漏洞、Pplive 0-day漏洞、暴風(fēng)影音等。這兩種模式的漏洞黑客可以根據(jù)端口掃描，掃描存在漏洞的端口，然后發(fā)送指令，導(dǎo)致內(nèi)存溢出，從而實(shí)現(xiàn)服務(wù)器的攻擊，所以在打造服務(wù)器安全的時(shí)候要及時(shí)安裝系統(tǒng)安全補(bǔ)丁和使用最新版本軟件，及時(shí)關(guān)注系統(tǒng)漏洞及應(yīng)用軟件方面的漏洞公告，及時(shí)更新，從而確保網(wǎng)站的安全。要阻止這方面的漏洞，最有效的方法是采用端口限制，職業(yè)學(xué)校當(dāng)中絕大部分職業(yè)學(xué)校都使用了硬件防火墻，通常情況下都會(huì)在硬件防火墻上劃出一個(gè)端口當(dāng)作：DMZ區(qū)，DMZ是英文“Demilitarized Zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，通常情況下有數(shù)據(jù)安全要求的服務(wù)器都會(huì)接在這個(gè)接口下，我們可以在這個(gè)設(shè)備上進(jìn)行網(wǎng)絡(luò)通信的端口控制，我們通常嚴(yán)格控制的DMZ區(qū)的端口通信，只開放服務(wù)器需要通信的端口。但是只要有通信就有漏洞，以一臺(tái)裝有Windows 2003操作系統(tǒng)的服務(wù)器為例，如果防火墻為服務(wù)器開放80端口，但是如果這臺(tái)服務(wù)器的iis存在安全漏洞，黑客通過攻擊iis的80端口，實(shí)現(xiàn)網(wǎng)站攻擊，防火墻也無(wú)法阻止這樣的網(wǎng)絡(luò)攻擊，所以作為網(wǎng)站的安全管理員要經(jīng)常更新服務(wù)器的補(bǔ)丁，合理規(guī)劃防火墻配置，從而確保網(wǎng)站的安全。

2.2 源碼漏洞

假設(shè)我們把系統(tǒng)的安全補(bǔ)丁更新到最新，防火墻也做了合理的安全配置，那么如果存在第二種系統(tǒng)形式的漏洞—源碼漏洞，那么前面所有的工作都是白費(fèi)。所謂的源碼漏洞就是網(wǎng)站的源代碼存在安全漏洞，黑客通過源代碼漏洞從而實(shí)現(xiàn)對(duì)網(wǎng)站的攻擊，這種層次上的攻擊方式也是現(xiàn)在最常見的網(wǎng)站攻擊方式，在職業(yè)學(xué)校的網(wǎng)站開發(fā)過程中，由于網(wǎng)站開發(fā)人員水平參差不齊，甚至許多網(wǎng)站由學(xué)生開發(fā)，許多源代碼來(lái)自網(wǎng)絡(luò)，由于開發(fā)人員沒有安全方面的經(jīng)驗(yàn)，沒有對(duì)源代碼做任何安全審核，也未做相應(yīng)的安全防護(hù)，從而存在這樣那樣的漏洞，而職業(yè)學(xué)校為了方便管理，有效的利用服務(wù)器資源，網(wǎng)站基本上都是存放在同一個(gè)服務(wù)器上，這就比如將雞蛋放在同一個(gè)籃子里，針對(duì)職業(yè)學(xué)校的網(wǎng)站服務(wù)器模型，黑客通常采用最常用的“旁注”的攻擊手段，所謂的旁站攻擊就是通過目標(biāo)網(wǎng)站所在的主機(jī)上存放的其他網(wǎng)站進(jìn)行注入攻擊的方法。黑客在攻擊某網(wǎng)站時(shí)，不一定能夠找得到這個(gè)網(wǎng)站的突破點(diǎn)，這主要是和網(wǎng)站程序的開始者及使用者的技術(shù)水平和安全意識(shí)相關(guān)。

三、網(wǎng)站攻擊模式分析

經(jīng)筆者測(cè)試，源碼漏洞在職業(yè)學(xué)校的網(wǎng)站中普遍的存在，而利用源碼漏洞攻擊的方式又多種多樣，筆者根據(jù)常見的網(wǎng)站攻防總結(jié)出最常用的三種攻擊模式。

3.1 跨站攻擊

跨站攻擊即cross site script execution（通常簡(jiǎn)寫為xss）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶如網(wǎng)站管理員造成影響的html代碼，使得用戶認(rèn)為該頁(yè)面是可信賴的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行。典型的方式是入侵者利用html語(yǔ)言允許使用腳本進(jìn)行簡(jiǎn)單交互特性，通過技術(shù)手段在某個(gè)頁(yè)面里插入一個(gè)惡意html代碼。例如記錄登陸后臺(tái)保存的用戶信息（cookie），由于cookie保存了完整的用戶名和密碼資料，用戶就會(huì)遭受安全損失。

3.2 上傳漏洞

所謂的上傳漏洞就是上傳程序被入侵者利用，被利用者上傳木馬文件，然后入侵者訪問該木馬程序，從而實(shí)現(xiàn)了對(duì)網(wǎng)站的攻擊，現(xiàn)在的網(wǎng)站當(dāng)中都使用現(xiàn)有的上傳組件進(jìn)行文件上傳，而有的上傳組件在上傳過程中對(duì)文件上傳類型沒有過濾，如能夠上傳asp、asa等類型文件，或過濾代碼有漏洞，入侵者根據(jù)構(gòu)造上傳文件的后綴名，有效規(guī)避文件上傳類型的限制，實(shí)現(xiàn)木馬文件的上傳，或上傳文件沒有做足調(diào)用權(quán)限，被黑客利用，上傳木馬。

3.3 SQL注入

SQL注入是入侵者通過把精心構(gòu)造的SQL命令插入到web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，從而得到數(shù)據(jù)庫(kù)的內(nèi)容（如管理員的賬戶、密碼），SQL注入是源碼漏洞種最常見的網(wǎng)站漏洞，因此SQL注入攻擊也是黑客最常用的攻擊手段，現(xiàn)在的網(wǎng)絡(luò)上可以找到各種各樣的SQL注入工具，也使得入侵者的門檻不斷的降低，隨便有電腦常識(shí)的人在網(wǎng)上搜索一個(gè)注入工具，就可以進(jìn)行入侵，也是最有效的入侵方式，結(jié)合旁注攻擊，就可以起到事半功倍的效應(yīng)。

四、總結(jié)

網(wǎng)站安全是一個(gè)常見常新的話題，網(wǎng)站安全也是一個(gè)綜合性的課題，網(wǎng)站服務(wù)器安全是需要多個(gè)層次的綜合設(shè)置，才能構(gòu)建一個(gè)完善的網(wǎng)站安全系統(tǒng)，做足兩個(gè)層次五種模式的安全防護(hù)，可以防止常見的攻擊手段，攻擊模式不是一成不變的，攻擊的方式多種多樣，甚至包括社會(huì)工程學(xué)等內(nèi)容，因此絕對(duì)不存在一勞永逸的方法，沒有絕對(duì)安全的系統(tǒng)，只有尚未發(fā)現(xiàn)的漏洞，作為網(wǎng)站安全管理員，我們要時(shí)刻關(guān)心信息安全領(lǐng)域的動(dòng)態(tài)，不斷的學(xué)習(xí)新的攻防手段，才能在這場(chǎng)網(wǎng)站安全攻防較量中占得先機(jī)。

參考文獻(xiàn)

[1]王達(dá).網(wǎng)管員必讀—網(wǎng)絡(luò)安全[m].電子工業(yè)出版社：北京.出版時(shí)間2007年2月1日.

[2]褚城云.SQL攻擊注入和網(wǎng)頁(yè)掛馬[J].程序員，2008年7月第七期第80-125頁(yè).

[3]燕麗艷，曹天杰.SQL注入攻擊的分析與防范[J].電腦知識(shí)與技術(shù)，2009年09期第315-420頁(yè).

[4]黃景文.SQL注入攻擊的一個(gè)新的防范策略[J].微計(jì)算機(jī)信息，2008年06期第70-120頁(yè).

[5]王海飛.淺談服務(wù)器的安全維護(hù)與管理[J].電腦知識(shí)與技術(shù)，2008年03期110-170頁(yè).

（作者單位：內(nèi)蒙古赤峰市松山區(qū)職業(yè)技術(shù)教育培訓(xùn)中心）