网络安全漫谈：网站安全攻与防的启示录

网络安全漫谈：网站安全攻与防的启示录黑客技术的出现像计算机出现一样长久，黑客通过对系统重配置或者重编程获得本来没有的权限。早期的黑客因为对计算机的神秘功能着迷，本着自由的精神在计算机世界里流连而不能自拔。这种自由精神一方面吸引了大批聪明的青年学生投入其中，从而在早期推动了计算机的飞速发展。背景黑客文化的变迁在上世纪六十年代，他们利用一些技术破坏计算机网络的使用范围，七十年代因为特殊的美国的那种背景，他们提出了计算机应该为人民所用的口号，他们是电脑史上的英雄。到了八十年代，PC已经很便宜了，美国与欧洲的经济得到了长足的发展，黑客们开始为信息共享而奋斗，当时美苏争霸，他们认为应该使两国处于平衡状态，任何一个国家都不能过分强大，否则就会给新的和平带来威胁，他们就积极联络各国，把通过黑客技术拿到的资料卖给各国，一方面自己获得了经济收入，另一方面他们也认为有助于世界的和平，认为自己为世界和平作出了贡献。九十年代可以说是黑客的灾难和混乱时期，作为信息共享的产物，INTERNET一方面为我们提供了极大的便利，另一方面，使用的人多了，技术不再是少数人的专有权力，越来越多的人都掌握了这些，导致了黑客的概念与行为都发生了很大的变化。到了二十一世纪，随着互联网的高速发展以及网民爆发式的增长，一个黑客市场已经形成。境外情报机构、企业公司和犯罪团伙都愿意付钱买下有关安全漏洞——以及如何加以利用——的信息。各种网络犯罪每天充斥在我们生活当中，黑客们通过入侵各类网站论坛进行盗取用户数据，并挂上网页木马继续盗取访问网站用户的个人虚拟财产等等。2011年度网络犯罪调查报告显示，全球每天就有100万人成为网络犯罪的受害者，全球因网络犯罪造成的直接损失每年达1140亿美元。因处理网络犯罪问题而浪费的时间价值是2740亿。因此，网络犯罪导致的损失约为3880亿美元，远远超过了大麻、可卡因和海洛因全球黑市的交易总额(2880亿美元)。从网络犯罪受害者人数来看，中国地区的网络犯罪相较于全球可能更加恶劣：去年，全球有4.31亿成人遭受过网络犯罪的侵害，这其中就有差不多一半的受害者(1.96亿人)来自中国。黑客的网络犯罪已经达到了一个前所未有的高度。一互联网的安全威胁从1969年区域性的大学主机相连而构成的互联网发展到今天覆盖全球点点滴滴的强大互联网，特别在是互联网的经济与科技领域取得的显著成果，给互联网披上的神话般的面纱。如今，互联网丰富了我们的生活，这所有的一切都来源于Web，Web系统是互联网的重要组成部分，形形色色的Web系统正在改变着我们的生活互联网应用已经渗透我们生活的方方面面，我们可以通过百度在线搜索想要的资料、可以通过网上银行完成在线购物和支付、可以通过微博和博客发表自己的“声音”、可以通过在线交友网站交到朋友。但是由于这些WEB应用在设计时是允许任何人、从任何地方登陆进入访问，因而也成为了通往隐藏在深处的重要数据的桥梁。据推算，互联网至少每39秒就有一次攻击。2011年年底的CSDN泄密门事件导致国内600万程序员的个人信息被盗取，虽然CSDN及时修复了漏洞，警方也及时抓住了犯罪嫌疑人，但今年依然有犯罪分子通过去年CSDN泄漏的帐号密码偷窃国内知名电商“京东商城”的用户账户，通过账户里的剩余资金大量购买商品。这些曝光的安全泄密事件仅仅是个警钟，被公开的这些网站的数据库很早之前就被黑客拖库，而且转手买来卖去，眼下所见的都是被人榨干最后一滴水的陈年资料。谁能保证隐藏在暗处中的黑客们还有其他更多未曝光的资料呢。那么，黑客们是如何获取我们的重要信息，网站又是如何被拖库的呢？二黑客攻击WEB典型案例分解下面我们为大家分解黑客入侵者的渗透WEB网站的主流手段。假设目标站点是一个大型综合类网站，会员数目众多。1、锁定目标、搜集信息黑客入侵一个目标站点的时候，首先要看该站点是否存在利益价值。目前黑客入侵者的商业攻击主要针对在线购物网站、社交网站、网络游戏、大型论坛、慈善机构、电子政务、金融证券网站等网站。这些网站可以窃取会员用户信息进行社工欺骗，比如利用获取的身份信息对用户亲属进行电话诈骗、利用大部分人习惯用同一个帐号密码的习惯去尝试登录其他网站，并且这些会员信息可以多次出售专卖；黑客入侵者还可以通过入侵政府网站挂“黑链”，因为政府网站在搜索引擎中占据的权重较高，攻击者可以通过此方法使自己指定的网站插入到政府网站页面中，从而提供其在搜索引擎中的排名靠前并盈利。黑链是SEO手法中相当普遍的一种手段，笼统地说，它就是指一些人用非正常的手段获取的其它网站的反向链接，最常见的黑链就是通过各种网站程序漏洞获取搜索引擎权重或者PR较高的网站的WEBSHELL，进而在被黑网站上链接自己的网站，其性质与明链一致，都是属于为高效率提升排名，而使用的作弊手法。在确定目标后，黑客入侵者就会搜集该目标站点的相关信息，一次入侵的成功与前期的信息收集关系很大。搜集信息可以让入侵起到事半功倍的效果，只经过一些简单的操作就可以得到一些服务器的Webshell，甚至于系统管理权限,搜集信息一般分为三种：①工具扫描：黑客入侵者会使用各种扫描工具对入侵目标进行大规模扫描，得到系统信息和运行的服务信息，如对方所使用的操作系统、开放了哪些端口、存在哪些漏洞。典型的扫描工具有：Nmap扫描目标网站端口开放信息②社会工程攻击：利用各种查询手段得到与被入侵目标相关的一些信息，通常通过这种方式得到的信息，会被社会工程学这种入侵手法用到，而且社会工程学入侵手法也是最难察觉和防范的。社会工程学（SocialEngineering）：通常是利用大众的疏于防范的诡计，让受害者掉入陷阱。该技巧通常以交谈、欺骗、假冒或口语用字等方式，从合法用户中套取敏感的信息，例如：用户名单、用户密码及网络结构，即使很警惕很小心的人，一样也有可能被高明的社会工程学手段损害利益，可以说是防不胜防。网络安全是一个整体，对于某个目标在久攻不下的情况下，黑客会把矛头指向目标的系统管理员，因为人在这个整体中往往是最不安全的因素，黑客通过搜索引擎对系统管理员的一些个人信息进行搜索，比如电子邮件地址、MSN、QQ等关键词，分析出这些系统管理员的个人爱好，常去的网站、论坛，甚至个人的真实信息。然后利用掌握的信息与系统管理员拉关系套近乎，骗取对方的信任，使其一步步落入黑客设计好的圈套，最终造成系统被入侵。这也就是我们常说的“没有绝对的安全，只有相对的安全，只有时刻保持警惕，才能换来网络的安宁”。③公开域信息：主要通过GoogleHacking和Whios等手段获取信息。GoogleHacking：指利用GoogleGoogle搜索引擎搜索信息来进行入侵的技术和行为，不少入侵者利用Google强大的搜索功能来搜索某些关键词，找到有系统漏洞和Web漏洞的服务器，打造成自己的肉鸡。敏感的信息包括：目标站点的信息已丢失信息的追回存储密码的文件后台管理和上传文件的Web页数据库特定扩展名的文件特定的Web程序，如论坛Whios：Whois协议，是一种信息服务，通过向服务器的TCP端口43建立一个连接后，对输入的关键词进行查询，能够提供有关所有DNS域和负责各个域的系统管理员数据，其中记录着每个互连网站点的详细信息，其中包括域名、服务器地址、联络人、电话号码和地址。我们可以以Web方式查询，比如到hxxp://whois.或者hxxp://whois.webhosting.info查询，假设我们要查询的域名信息，我们到hxxp://whois.查询的结果如图通过上面的介绍我们对黑客攻击前的踩点和信息搜集有了认识，目前我们已经得知目标站点hxxp://192.168.40.21/主要开放了HTTP80端口，远程登录RDP3389端口；服务器采用的WINDOWS系统，中间件使用的ApacheTomcat，网站脚本语言用的JSP。2、深入攻击阶段利用SQL注入“拖库”在深入攻击的过程中，首先攻击者需要找到一个动态链接的URL看是否存在SQL注入漏洞，例如现在找到一个=127,通过简单的注入尝试语句发现该URL确实存在SQL注入漏洞，攻击者一般为了节省时间都会使用工具来促进效率。通过工具攻击者获取到了服务器的环境变量，数据库结构，并且获取了该网站的所有用户数据，共7580条用户数据信息，这个获取用户数据的过程就是我们常说的“拖库”。拖库：拖库一词多用于数据库程序员专业人士使用，语意：从数据库导出数据。很多时候数据库的资料需要导出来在别的地方使用，并且数据库资料可以导出好几种格式，例如：TXT，XLS等格式。黑客攻击者拖库最简单的形式就是找SQL注入点直接写工具拖。拖库的危害：根据资料显示部分网民习惯为邮箱、微博、游戏、网上支付、购物等帐号设置相同密码，一旦数据库被泄漏，所有的用户资料被公布于众，任何人都可以拿着密码去各个网站去尝试登录，对一些敏感的金融行业是致命的危害，对普通用户可能造成财产，个人隐私的损失或泄漏。“拖库”完成后如果还想扩大攻击范围，我们可以继续尝试其他攻击手段，获取WEBshell。WEBshell：“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。利用FCKeditor编辑器漏洞获取WEBshell现在打开网站先注册一个会员账户testweb,在用户管理中信——投稿管理——发布稿件的地方发现该网站使用了一款名为FCKeditor在线编辑器。FCKeditor是一款在线编辑器，能够在线进行文字和图片的编辑等工作，通常会作为一个编辑部件嵌入其他的一些程序中。我们平时泡论坛，写博客，经常可以在网页中对我们的文字或图片进行简单的编辑。FCKeditor的应用十分广泛，但是漏洞也非常多。现在来测试下FCKeditor最为普遍的上传漏洞。打开图片上传选项，然后选择准备好的JSP木马上传，发现被禁止上传图片文件格式以外的文件。不过它在上传文件判断的时候采用的是本地验证后缀名方式，所以攻击者可以通过代理工具Burpsuitepro来进行上传，先修改JSP木马的后缀为JPG图片格式，比如把1.jsp改为2.jpg；然后Burpsuitepro抓包阻断上传的内容，把上传的2.jpg再改回1.jsp，从而绕过网站编辑器本地验证的过程，成功上传文件得到一个Webshell。图利用工具抓包修改上传内容图成功上传JSP木马，得到一个WEBshell利用WEBshell获取服务器系统权限利用WEBshell先查看下网站的配置文件，看是否有可以利用的资源。图网站配置文件上图的配置文件可以看到网站的数据库服务器的地址及帐号密码，如果数据库服务器没有做安全防护配置，攻击者就可以直接通过获取到的信息链接到数据库服务器导出网站的全部数据。现在再看看网站的账户权限，在WEBshell中执行cmd命令：whoami得到的反馈结果是“ntauthority\system”，现在可以判断网站本身的权限是服务器系统管理员权限，攻击者就可以执行添加系统用户的命令图添加帐号hacker图提升hacker的权限之前在搜集信息的时候就得知网站服务器开放了远程登录3389端口，现在攻击者就用刚刚添加的管理员hacker帐号登录服务器。现在攻击者已经成功登录网站服务器。恶意篡改网页现在整个网站和服务器都在攻击者的掌控之中，攻击者可以随意删除、修改、增加网页，插入网页木马等。现在假设攻击者要令网站首页成为黑页。黑页：一些计算机被入侵后，入侵者为了证明自己的存在，对网站主页（在服务器开放WEB服务的情况下）进行改写，从而公布入侵者留下的信息，这样的网页通常称为黑页。入侵者对网站主页的破坏，无疑会给网站带来经济、信誉等等方面