常見WEB攻擊原理與防范

禹立宏++何養育

摘 要

隨著電子商務、電子政務、網上銀行、證券、手機上網等業務的飛速發展， Web已成為主要的網絡應用技術，本文重點對SQL注入攻擊、跨站腳本攻擊、網頁掛馬和社會工程學攻擊等幾種WEB攻擊方式的定義、原理及危害進行了論述，最后提出了WEB攻擊的防范方法。

【關鍵詞】WEB攻擊 防范

隨著電子商務、電子政務、網上銀行、證券、手機上網等業務的飛速發展，Web已成為主要的網絡應用技術，據CNCERT統計顯示，Web 流量已經占據整個TCP 流量的80%以上。與此同時，WEB攻擊也大量增長，其已經占互聯網攻擊總數的75%，我國每年被篡改的網站就高達四萬個，WEB攻擊已經形成了一條組織嚴密、分工明確的黑色產業鏈，嚴重地危害著政治、經濟和社會生活。

WEB攻擊的主要方式有：SQL注入攻擊、跨站腳本攻擊、網頁掛馬和社會工程學攻擊等。本文重點論述上述幾種攻擊定義、原理及危害，最后提出了WEB攻擊的防范方法。

1 常見WEB攻擊原理

1.1 SQL注入攻擊

1.1.1 SQL注入攻擊的定義

攻擊者利用WEB應用程序對用戶輸入驗證上的疏忽，在輸入的數據中加入對某些數據庫系統有特殊意義的符號或命令，讓攻擊者有機會直接對后臺數據庫系統下達指令，進而實現對后臺數據庫乃至整個應用系統的入侵。

1.1.2 SQL注入攻擊的基本原理

（1）尋找注入點：非常實用和經典的尋找注入點方法是在參數后面跟上單引號或and 1=1， and 1=2判斷返回網頁是否正常。

（2）判斷數據庫類型：根據注入請求返回的出錯信息、網站的腳本類型來判斷或猜測。判斷數據庫類型對SQL注入非常重要，這是由于不同數據庫的SQL語句、系統表、函數及擴展功能差異會非常大，這直接會影響接下來的SQL注入語句的選擇。

（3）獲取數據庫內容：獲取數據庫內容的方法有兩種，一是根據注入請求返回的出錯信息直接獲取數據庫表、字段和記錄，注入速度較快；二是根據構造注入語句返回差異來逐步猜解數據庫內容，注入速度較慢。

（4）嘗試寫入WEBSHELL：網站后臺往往能夠提供比前臺更多的權限，但對整個網站而言，權限還不夠，需要設法上傳WEBSHELL來獲取更大的權限。通常方法有通過SQL注入語句寫文件、利用后臺的備份和上傳功能等。

1.2 跨站腳本攻擊

1.2.1 跨站腳本攻擊的定義

跨站腳本攻擊又叫XSS或CSS （Cross Site Script） 。它是指惡意攻擊者往WEB頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意用戶的特殊目的。它可分為存儲型和反射型兩種跨站腳本攻擊。

1.2.2 跨站腳本攻擊的原理

存儲型跨站腳本攻擊原理：將攻擊代碼提交到服務器端的數據庫或文件系統中，不用構造URL，而是保存在文章或論壇帖子中，從而使得訪問該頁面的用戶都有可能受到攻擊。

反射型跨站腳本攻擊原理：在存在XSS漏洞網頁的URL中插入腳本程序構造URL，將URL通過郵件等發送給用戶（釣魚），當用戶點擊鏈接時，執行攻擊者的腳本，一般是竊取用戶的cookie等個人數據、將用戶導向惡意網站等。

1.2.3 跨站腳本攻擊的危害

該攻擊的危害有盜取各類用戶帳號，如網銀、管理員等帳號；欺騙瀏覽器訪問釣魚網站，以騙取賬號密碼等個人信息；將使用者瀏覽器導向惡意網站，向使用者計算機下載并安裝惡意后門程序等。

1.3 網頁掛馬攻擊

1.3.1 網頁掛馬攻擊的定義

網頁掛馬攻擊就是攻擊者通過在正常的頁面中插入一段惡意代碼。若瀏覽者的瀏覽器或瀏覽器加載的組件存在漏洞，那么他在打開該頁面的時候，這段代碼被執行，然后下載并運行某木馬的服務器端程序。

1.3.2 網頁掛馬攻擊的原理

（1）iframe式掛馬：攻擊者利用大小為0的iframe標簽，將惡意代碼偷偷加載到網頁中。

（2）JS腳本掛馬：利用js腳本文件調用惡意代碼。

（3）CSS掛馬：CSS是網頁的樣式文件，攻擊者往往將惡意代碼隱藏至CSS文件中。

（4）ARP掛馬：攻擊者已經獲取局域網內某臺服務器的權限，利用該服務器實施ARP欺騙攻擊，對局域網內其它服務器而言，它偽裝成網關，對網關而言，它偽裝成服務器，這樣它就截獲了其它服務器與網關之間的通信，并在HTTP通信的響應中插入惡意代碼，這種掛馬方式會影響整個局域網，危害巨大。

1.4 其它方式WEB攻擊

1.4.1 信息泄漏

一般通過提交特殊的錯誤參數，WEB服務器返回特定的詳細的敏感信息，漏洞成因一般有：WEB程序對錯誤處理不嚴、服務器配置不當、WEB開發和管理不當等。

1.4.2 社會工程學

社會工程學攻擊是指通過搜集攻擊目標相關信息甚至直接與攻擊目標相接觸等非技術的手段實施攻擊的辦法，在收集到攻擊目標足夠多的信息時，社會工程學的能量是十分強大和恐怖的，但卻往往被人忽視。

1.4.3 上傳漏洞

上傳漏洞是指利用上傳功能，繞過上傳文件安全控制，通常方法有：僅本地js安全控制檢測文件格式類型；Content-type判斷繞過；空字節繞過。

2 WEB攻擊防范

WEB攻擊防范主要通過客戶端加固、WEB漏洞掃描、WEB應用防火墻、DDoS防護系統WEB應用主機加固、WEB應用代碼分析等方法來實現。

2.1 客戶端加固

主要針對XSS、仿冒、網頁木馬等攻擊對客戶端瀏覽器進行加固防護。

2.2 WEB漏洞掃描

采用基于規則的匹配技術，即基于一套基于專家經驗事先定義的規則的匹配系統，針對某一具體漏洞，編寫對應的外部測試腳本，通過調用服務檢測插件，檢測目標主機漏洞信息。

2.3 WEB應用防火墻

簡稱WAF，工作在應用層，對來自WEB應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求將予以實時阻斷，從而對各類網站進行有效防護。

2.4 DDoS攻擊防護產品

用以發現網絡流量中各種類型的攻擊流量，針對攻擊類型迅速對攻擊流量進行攔截，保證正常流量的通過。

2.5 WEB應用主機加固

WEB應用主機加固工具主要實時截取和分析軟件的執行流或交互的協議流，實時發現和過濾攻擊。

2.6 WEB應用代碼分析

WEB應用代碼安全分析軟件，通過對軟件進行代碼掃描，可以找出潛在的風險，從而對軟件進行檢測，提高代碼的安全性。主要通過數據流分析、語義分析、結構分析、控制流分析等手段，結合軟件安全規則和知識庫，最大程度上降低代碼風險。

參考文獻

[1]Web安全測試[M].清華大學出版社，2010.

[2]SQL注入攻擊與防御（第2版）[M].北京：清華大學出版社，2013.

[3]黑客Web腳本攻擊與防御技術核心剖析[M].北京：科學出版社，2010.

作者單位

66471部隊工程師 內蒙古自治區呼和浩特市 010050