1、科學(xué)應(yīng)用效勞器安全防范技術(shù)應(yīng)用本章學(xué)習(xí)目標(biāo)學(xué)習(xí)完本章，您應(yīng)該能夠：WEB服務(wù)器入侵分析WEB服務(wù)器漏洞評(píng)估和分析WEB應(yīng)用程序漏洞掃描和評(píng)估FTP服務(wù)器入侵分析安全電子郵件服務(wù)器配置本章學(xué)習(xí)重點(diǎn)常規(guī)的WEB服務(wù)器入侵方法WEB應(yīng)用程序漏洞掃描和評(píng)估FTP服務(wù)器入侵分析安全電子郵件服務(wù)器（垃圾郵件）本章內(nèi)容提要常規(guī)的WEB服務(wù)器入侵方法WEB應(yīng)用程序漏洞掃描和評(píng)估FTP服務(wù)器入侵分析WEB服務(wù)器常見(jiàn)漏洞介紹WEB服務(wù)器存在的主要漏洞包括物理路徑泄露，CGI源代碼泄露，目錄遍歷，執(zhí)行任意命令，緩沖區(qū)溢出，拒絕服務(wù)，條件競(jìng)爭(zhēng)和跨站腳本執(zhí)行漏洞，和CGI漏洞有些相似的地方，但是更多的地方還是有著本質(zhì)的

2、不同。不過(guò)無(wú)論是什么漏洞，都體現(xiàn)著安全是一個(gè)整體的真理，考慮WEB服務(wù)器的安全性，必須要考慮到與之相配合的操作系統(tǒng)。WEB服務(wù)器常見(jiàn)漏洞介紹【物理路徑泄露】物理路徑泄露一般是由于WEB服務(wù)器處理用戶請(qǐng)求出錯(cuò)導(dǎo)致的，如通過(guò)提交一個(gè)超長(zhǎng)的請(qǐng)求，或者是某個(gè)精心構(gòu)造的特殊請(qǐng)求，亦或是請(qǐng)求一個(gè)WEB服務(wù)器上不存在的文件。這些請(qǐng)求都有一個(gè)共同特點(diǎn)，那就是被請(qǐng)求的文件肯定屬于CGI腳本，而不是靜態(tài)HTML頁(yè)面。還有一種情況，就是WEB服務(wù)器的某些顯示環(huán)境變量的程序錯(cuò)誤的輸出了WEB服務(wù)器的物理路徑，這應(yīng)該算是設(shè)計(jì)上的問(wèn)題。WEB服務(wù)器常見(jiàn)漏洞介紹【 CGI源代碼泄露】CGI源代碼泄露的原因比較多，例如大小寫

3、，編碼解碼，附加特殊字符或精心構(gòu)造的特殊請(qǐng)求等都可能導(dǎo)致CGI源代碼泄露?！灸夸洷闅v】 目錄遍歷對(duì)于WEB服務(wù)器來(lái)說(shuō)并不多見(jiàn)，通過(guò)對(duì)任意目錄附加“./”，或者是在有特殊意義的目錄附加“./”，或者是附加“./”的一些變形，如“.”或“./”甚至其編碼，都可能導(dǎo)致目錄遍歷。前一種情況并不多見(jiàn)，但是后面的幾種情況就常見(jiàn)得多，去年非常流行的IIS二次解碼漏洞和UNICODE解碼漏洞都可以看作是變形后的編碼。WEB服務(wù)器常見(jiàn)漏洞介紹【執(zhí)行任意命令】 執(zhí)行任意命令即執(zhí)行任意操作系統(tǒng)命令，主要包括兩種情況。一是通過(guò)遍歷目錄，如二次解碼和UNICODE解碼漏洞，來(lái)執(zhí)行系統(tǒng)命令。另外一種就是WEB服務(wù)器把用戶

4、提交的請(qǐng)求作為SSI指令解析，因此導(dǎo)致執(zhí)行任意命令。【緩沖區(qū)溢出】 緩沖區(qū)溢出漏洞想必大家都很熟悉，無(wú)非是WEB服務(wù)器沒(méi)有對(duì)用戶提交的超長(zhǎng)請(qǐng)求沒(méi)有進(jìn)行合適的處理，這種請(qǐng)求可能包括超長(zhǎng)URL，超長(zhǎng)HTTPHeader域，或者是其它超長(zhǎng)的數(shù)據(jù)。這種漏洞可能導(dǎo)致執(zhí)行任意命令或者是拒絕服務(wù)，這一般取決于構(gòu)造的數(shù)據(jù)。WEB服務(wù)器常見(jiàn)漏洞介紹【拒絕服務(wù)】 拒絕服務(wù)產(chǎn)生的原因多種多樣，主要包括超長(zhǎng)URL，特殊目錄，超長(zhǎng)HTTPHeader域，畸形HTTPHeader域或者是DOS設(shè)備文件等。由于WEB服務(wù)器在處理這些特殊請(qǐng)求時(shí)不知所措或者是處理方式不當(dāng)，因此出錯(cuò)終止或掛起。 正常的拒絕服務(wù)攻擊?！緱l件競(jìng)爭(zhēng)】

5、 這里的條件競(jìng)爭(zhēng)主要針對(duì)一些管理服務(wù)器而言，這類服務(wù)器一般是以system或root身份運(yùn)行的。當(dāng)它們需要使用一些臨時(shí)文件，而在對(duì)這些文件進(jìn)行寫操作之前，卻沒(méi)有對(duì)文件的屬性進(jìn)行檢查，一般可能導(dǎo)致重要系統(tǒng)文件被重寫，甚至獲得系統(tǒng)控制權(quán)。 常規(guī)的WEB服務(wù)器入侵實(shí)例緩沖器溢出CGI漏洞SQL注入CGI源代碼泄漏（Inc文件泄露）暴力破解釣魚攻擊DNS欺騙緩沖區(qū)/堆棧溢出技術(shù) 如果計(jì)算機(jī)程序的編碼沒(méi)有對(duì)緩沖區(qū)做適當(dāng)?shù)臋z查，看它們是否能完全裝入新的數(shù)據(jù)內(nèi)容，結(jié)果就可能造成緩沖區(qū)溢出的產(chǎn)生。入侵者用精心編寫的入侵代碼使緩沖區(qū)溢出，并將被調(diào)用的過(guò)程的返回地址覆蓋為入侵者所希望運(yùn)行的那段代碼的地址，這樣當(dāng)該

6、過(guò)程返回時(shí)，程序就開始執(zhí)行入侵者設(shè)定的代碼了。遠(yuǎn)程緩沖區(qū)溢出類別：Exploits緩沖區(qū)溢出演示W(wǎng)ebDAVWebDAV（Web 分布式創(chuàng)作和版本控制）是一種通過(guò) HTTP 將內(nèi)容發(fā)布到 IIS 服務(wù)器（IIS 5 或 IIS 6）或從 IIS 服務(wù)器發(fā)布內(nèi)容的方法。由于 WebDAV 基于 RFC 并且是通過(guò) HTTP 實(shí)現(xiàn)的，它不需要進(jìn)行任何修改就可以通過(guò)大多數(shù)防火墻。這樣，您不需要使用專門的協(xié)議（例如 FTP）或?qū)ｉT的 COM 對(duì)象就可以發(fā)布到 Web 服務(wù)器和從 Web 服務(wù)器進(jìn)行發(fā)布。緩沖區(qū)溢出演示W(wǎng)ebDAVIIS5.0 默認(rèn)提供了對(duì)WebDAV的支持，通過(guò)WebDAV可以通過(guò)HT

7、TP向用戶提供遠(yuǎn)程文件存儲(chǔ)的服務(wù)。但是作為普通的HTTP服務(wù)器，這個(gè)功能不是必需的IIS 5.0包含的WebDAV組件不充分檢查傳遞給部分系統(tǒng)組件的數(shù)據(jù)，遠(yuǎn)程攻擊者利用這個(gè)漏洞對(duì)WebDAV進(jìn)行緩沖區(qū)溢出攻擊，可能以WEB進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意指令。IIS 5.0的WebDAV使用了ntdll.dll中的一些函數(shù)，而這些函數(shù)存在一個(gè)緩沖區(qū)溢出漏洞。通過(guò)對(duì)WebDAV的畸形請(qǐng)求可以觸發(fā)這個(gè)溢出。成功利用這個(gè)漏洞可以獲得LocalSystem權(quán)限。這意味著，入侵者可以獲得主機(jī)的完全控制能力。WEBDAV 防范IIS 沒(méi)有內(nèi)置的基于每個(gè)站點(diǎn)啟用或禁用 WebDAV 的方法。在 IIS 5 中，默認(rèn)

8、情況下會(huì)為所有網(wǎng)站啟用 WebDAV。要禁用它，請(qǐng)使用 URLScan 阻止傳入的 WebDAV 請(qǐng)求（默認(rèn)情況下阻止）。您也可以參考知識(shí)庫(kù)文章如何對(duì) IIS 5.0 禁用 WebDAV。對(duì)于 IIS 6，使用 IIS 管理器中的 Web 服務(wù)擴(kuò)展節(jié)點(diǎn)即可啟用或禁用 WebDAV。默認(rèn)情況下，IIS 6 中禁用 WebDAV。系統(tǒng)漏洞 Unicode解碼目錄遍歷漏洞IIS Unicode解碼目錄遍歷漏洞發(fā)布日期：2000/10/20 影響的系統(tǒng)：Microsoft IIS 4.0/5.0對(duì)于IIS 5.0/4.0中文版，當(dāng)IIS收到的URL請(qǐng)求的文件名中包含一個(gè)特殊的編碼例如“%c1%hh”或

9、者“%c0%hh”,它會(huì)首先將其解碼變成:0 xc10 xhh，然后嘗試打開這個(gè)文件，Windows系統(tǒng)認(rèn)為0 xc10 xhh可能是unicode編碼，因此會(huì)首先將其解碼，如果 0 x00= %hh (0 xc1 - 0 xc0) * 0 x40 + 0 xhh%c0%hh - (0 xc0 - 0 xc0) * 0 x40 + 0 xhh%c1%1c - (0 xc1 - 0 xc0) * 0 x40 + 0 x1c = 0 x5c = /系統(tǒng)漏洞 Unicode解碼目錄遍歷漏洞攻擊者可以利用這個(gè)漏洞來(lái)繞過(guò)IIS的路徑檢查，去執(zhí)行或者打開任意的文件。Rain Forest Puppy 測(cè)試

10、發(fā)現(xiàn)對(duì)于英文版的IIS 4.0/5.0,此問(wèn)題同樣存在，只是編碼格式略有不同，變成%c0%af或者%c1%9c.CGI漏洞Unicode解碼目錄遍歷漏洞CGI漏洞Unicode解碼目錄遍歷漏洞CGI漏洞 Unicode解碼目錄遍歷漏洞利用這樣的方法我們可以建立.bat .txt .asp .htm .html 等文件，這對(duì)于一個(gè)存在這漏洞的網(wǎng)站可以說(shuō)是致命打擊的開始。 尤其是能寫.bat文件，如果我們?cè)赼utoexe.bat里面加入format del等命令時(shí)。結(jié)果會(huì)如何？ 常用使用 增加用戶 使用TFTP下載后門程序等。CGI漏洞 防范： 給系統(tǒng)打補(bǔ)丁關(guān)閉不需要的腳本和服務(wù)用 CGI腳本編寫

11、的程序當(dāng)涉及到遠(yuǎn)程用戶從瀏覽器中輸入表格 (form) 并進(jìn)行象檢索(Search index)或form-mail之類在主機(jī)上直接操作命令時(shí)，或許 會(huì)給WEB主機(jī)系統(tǒng)造成危險(xiǎn)。因此，從CGI角度考慮WEB的安全性，主要是在編制程序時(shí)，應(yīng)詳細(xì)考慮到安全因素。盡量避免CGI程序中存在漏洞。CGI源代碼泄漏：Inc文件泄露攻擊原理：當(dāng)存在ASP（動(dòng)態(tài)網(wǎng)頁(yè)，PHP）的主頁(yè)正在制作且沒(méi)有進(jìn)行最后調(diào)試完成以前，可以被某些搜索引擎機(jī)動(dòng)追加為搜索對(duì)象。如果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找，會(huì)得到有關(guān)文件的定位，并能在瀏覽器中查看到數(shù)據(jù)庫(kù)地點(diǎn)和結(jié)構(gòu)的細(xì)節(jié)，并以此揭示完整的源代碼。CGI源代碼泄漏：In

12、c文件泄露實(shí)例 inc 泄漏BAK文件泄漏Inc文件泄露 防范 程序員應(yīng)該在網(wǎng)頁(yè)發(fā)布前對(duì)它進(jìn)行徹底的調(diào)試;安全專家則需要加固ASP文件以便外部的用戶不能看到它們。首先對(duì).inc文件內(nèi)容進(jìn)行加密，其次也可以使用.asp文件代替.inc文件使用戶無(wú)法從瀏覽器直接觀看文件的源代碼。Inc文件的文件名不要使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶猜測(cè)到的名稱，盡量使用無(wú)規(guī)則的英文字母。用IIS解析INC文件刪除備份文件去掉目錄瀏覽功能SQL Injection入侵SQL注入SQL Injection入侵實(shí)例22/hacker/login.asp輸入： or 1=1如果 （1=1 or a = PASSWO

13、RD）那么 可以進(jìn)入系統(tǒng)否則 哼哼QSQL Injection 判斷數(shù)據(jù)庫(kù)類型22/hacker/detail.asp?id=1 and (select count(*) from sysobjects ) =0 sqlserver 成功22/hacker/detail.asp?id=1 and (select count(*) from msysobjects ) =0 這個(gè)可以不一定，一般判斷是否是ACCESSSQL Injection 中級(jí)22/hacker/detail.asp?id=1輸入特別的URL，猜測(cè)表名22/hacker/detail.asp?id=1 and (select

14、 count(*) from admin) =0 正確，存在這個(gè)表名22/hacker/detail.asp?id=1 and (select count(*) from Tbl_admin) =0 返回錯(cuò)誤，不存在表SQL Injection 中級(jí)表名猜出來(lái)后，將Count(*)替換成Count(字段名)，用同樣的原理猜解字段名。有人會(huì)說(shuō)：這里有一些偶然的成分，如果表名起得很復(fù)雜沒(méi)規(guī)律的，那根本就沒(méi)得玩下去了。說(shuō)得很對(duì)，這世界根本就不存在100%成功的黑客技術(shù)，蒼蠅不叮無(wú)縫的蛋，無(wú)論多技術(shù)多高深的黑客，都是因?yàn)閯e人的程序?qū)懙貌粐?yán)密或使用者保密意識(shí)不夠，才有得下手。SQL Injection

15、中級(jí)已知表Admin中存在username字段，首先，我們?nèi)〉谝粭l記錄，測(cè)試長(zhǎng)度(select top 1 len(username) from Admin)0在得到username的長(zhǎng)度后，用mid(username,N,1)截取第N位字符，再asc(mid(username,N,1)得到ASCII碼，比如：id=1 and (select top 1 asc(mid(username,1,1) from Admin)0 一個(gè)一個(gè)得到用戶名SQL Injection 防范 注入漏洞可謂是“千里之堤，潰于蟻穴”，這種漏洞在網(wǎng)上極為普遍，通常是由于程序員對(duì)注入不了解，或者程序過(guò)濾不嚴(yán)格，或者某個(gè)

16、參數(shù)忘記檢查導(dǎo)致。過(guò)濾掉特殊數(shù)據(jù)庫(kù)字符串，例如 例如：MM_rsUser.Source = MM_rsUser.Source & FROM Customers WHERE CustomerID= & Replace(MM_valUsername,) & AND CustomerName= & Replace(Request.Form(textUserPWD),) & 程序員寫代碼時(shí)特別考慮，例如，前面的登陸，先可以采取取密碼，然后校對(duì)密碼對(duì)付中極的SQL入侵，在程序中可以采取，判斷傳遞過(guò)來(lái)的字符串，轉(zhuǎn)換成數(shù)字型等，關(guān)鍵在于程序員在編程時(shí)，特別考慮SQL Injection 的入侵。HTTP P

17、OST 暴力破解22/hacker/UserLogin.asp失?。?2/hacker/Login2.asp成功：22/hacker/Login2.asp利用弱口令入侵口令安全的測(cè)試自己的姓名中文拼音37%常用英文單詞23%計(jì)算機(jī)的中經(jīng)常出現(xiàn)的單詞18%自己的出生日期7%良好的密碼15%通?？诹畹募用芊椒ú豢赡?MD5)暴力(窮舉)破解HTTP POST暴力破解 防范使用人能辨析的圖片做為效驗(yàn)碼程序中可以采用登陸次數(shù)限制，例如限制為每天登陸5次?！熬W(wǎng)絡(luò)釣魚”的主要手法“網(wǎng)絡(luò)釣魚”的主要手法本章內(nèi)容提要常規(guī)的WEB服務(wù)器入侵方法WEB應(yīng)用程序（網(wǎng)絡(luò)）漏洞掃描和評(píng)估FTP服務(wù)器入侵分析流行的漏洞掃描軟件流光x-scanSSS：Shadow Security Scanner Retina Network Security Scann