web實戰篇學習筆記——第一章
1. web應用程序安全與風險
1.1 web應用程序發展歷程
早期階段,萬維網僅由web站點構成,基本上是包含靜態文檔的信息庫。相關信息流僅由服務器向瀏覽器單向傳送,多數站點不驗證用戶的合法性。
攻擊者入侵web站點並不能獲取任何敏感信息,所以入侵者往往會修改服務器上的文件,以歪曲web站點的內容,或者利用服務器的存儲容量和帶寬傳播“非法軟件”。
如今,web上的大多數站點實際上是應用程序。在服務器和瀏覽器之間進行雙向信息傳送。處理的許多信息屬於私密和高度敏感的信息。因此,安全問題就至關重要。
1.1.1 web應用程序的常見功能
| 功能 |
|---|
| 購物 |
| 社交網絡 |
| 銀行服務 |
| web搜索 |
| 拍賣 |
| 博客 |
| web郵件 |
| 交互信息 |
除公共因特網外,許多組織內部也廣泛採用web應用程序執行一些關鍵業務的功能。
大多數計算機用戶所需要的客戶端軟件僅僅是一個web應用程序,用戶使用一組共享的協議和技術即可執行各種功能,但隨之也會出現各種常見的安全漏洞
1.1.2 web應用程序的優點
HTTP是應用於訪問萬維網的核心通信協議,是輕量級的,無需連接。這一點提供了對通信錯誤的容錯性。應用HTTP,許多傳統客戶——服務器應用程序中的服務器無需再向每一個用戶開放網絡連接。HTTP還可以通過代理和其他協議傳輸,允許在任何網絡配置下進行安全通信。
用於開發web應用程序的核心技術和語言相對簡單。即使是初學者,也可使用現有的各種平臺和開發工具,開發出強大的應用程序,還有大量的開源代碼和其他資源可供整合到定製的應用程序中。
1.2 web應用程序安全
於任何新興技術一樣,web應用程序也會帶來一系列新的安全方面的漏洞。漏洞也在與時俱進,出現了一些開發人員在開發現有階段未曾考慮到的攻擊方式。
可以說,如今的web應用程序的安全領域是攻擊者與計算機資源和數據防禦者之間最重要的戰場,在可預見的將來,這種情況可能仍將持續。
1.2.1 “本站點是安全的”
查詢一個典型的應用程序的FAQ界面,其中的內容會向你保證該應用程序確實是安全的。例如:
本站點絕對安全。它使用128位安全套接層(Secure Socket Layer,SSL)技術設計,可防止未授權用戶查看您的任何信息。您可以放心使用本站點,我們絕對保障您的數據安全。
但實際上,大多數web應用並不安全,而且從某種程度來說,這與SSL無關。
簡要說說部分漏洞:
1.不完善的身份驗證措施:這類漏洞包括應用程序登陸機制中的各種缺陷,可能會使攻擊者破解保密性不強的密碼、發動蠻力攻擊或完全避開登錄。
2.不完善的訪問控制機制:這一問題涉及的情況包括:應用程序無法爲數據和功能提供全面保護,攻擊者可以查看其他用戶保存在服務器中的敏感信息,或者執行特權操作。
3.SQL注入:攻擊者可通過這一漏洞提交專門設計的輸入,干擾應用程序與後端數據庫的交互活動。攻擊者能夠從應用程序中提取任何數據,破壞其邏輯結構,或者在數據庫服務器上執行命令。
4.跨站點腳本:攻擊者可利用該漏洞攻擊應用程序的其他用戶、訪問其信息、代表他們執行未授權操作,或者發動其他攻擊。
5.信息泄露:這一問題包括應用程序泄露敏感信息,攻擊者利用這些敏感信息通過有缺陷的錯誤處理或其他行爲攻擊應用程序。
1.2.2 核心安全問題:用戶可提交任意輸入
與許多大量使用的應用程序一樣,爲確保安全,Web應用程序必須解決一個根本的問題。由於應用程序無法控制客戶,用戶幾乎可向服務器端應用程序提交任意輸入。應用程序必須假設所有輸入的信息都是惡意的輸入,並必須採取措施確保攻擊者無法使用專門設計的輸入破壞應用程序,干擾其邏輯結構與行爲,或者非法訪問其數據和功能。
①用戶可干預客戶與服務器間傳送的所有數據,包括請求參數、cookie和HTTP信息頭。 可輕易避開客戶端執行的任何安全控件,如輸入確認驗證。
②用戶可按任何順序發送請求,並可在應用程序要求之外的不同階段不止一次提交或根本不提交參數。用戶的操作可能與開發人員對用戶和應用程序交互方式做出的任何假設完全不同。
③用戶並不限於僅使用一種Web瀏覽器訪問應用程序。大量各種各樣的工具可以協助攻擊Web應用程序,這些工具既可整合在瀏覽器中,也可獨立於瀏覽器運作。這些工具能夠提出普通瀏覽器無法提交的請求,並能夠迅速生成大量的請求,查找和利用安全問題達到自己的目的。
絕大多數針對Web應用程序的攻擊都涉及向服務器提交輸入,旨在引起- 些應用程序設計者無法預料或不希望出現的事件。以下舉例說明爲實現這種目的而提交的專門設計的輸入。
①更改以隱藏的HTML表單字段提交的產品價格,以更低廉的價格欺詐性地購買該產品。
②修改在HTTP cookie中傳送的會話令牌,劫持另一個驗證用戶的會話。
③利用應用程序處理過程中的邏輯錯誤刪除某些正常提交的參數。
④改變由後端數據庫處理的某個輸入,從而注入一個惡意數據庫查詢以訪問敏感數據。