[转载]从黑客常用攻击手段看WEB应用防护

0D$e7~r*Z{DjQl0　　目前Web技术在客户和服务端的广泛利用，导致黑客们越来越侵向于使用各种攻击手法来针对Web应用城进行攻击，即绕过了防火墙等常规防护手段，也使得攻击手段更加简便和多样化，令人防不胜防。51Testing软件测试网hW*HM4p#?

eP/R&i)d9r\/yCB0　　黑客们普遍使用Web进行攻击的做法是有原因的：

　　1. 服务器漏洞51Testing软件测试网T zf:l2kJ3I8a

　　由于存在漏洞和服务器管理配置错误，Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。51Testing软件测试网]*S*P+ZD q*G

sLPB+va0　　2. Web服务器虚拟托管

　　同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。51Testing软件测试网*E9^-ON
@K3QN

8B\ rzYB
}nk%l0　　3. 显性/开放式代理51Testing软件测试网5d1?hRAbKp*f

T`;\R+? S:n0　　被黑客控制的计算机可以被设置为代理服务器，躲避URL过滤对通信的控制，进行匿名上网或者充当非法网站数据流的中间人。51Testing软件测试网u'WC
G r:E
m

(Ga*B bF A(w0　　4. HTML可以从网页内完全不同的服务器嵌入对象51Testing软件测试网H#B6Y5\&r/x

　　用户可以从特定网站请求浏览网页，只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或者被重新导向至恶意软件网站。

　　5. 普通客户机可能是黑客的试水石51Testing软件测试网 [J2^ehh~

d/g4OVN.po0　　Internet Explorer、Firefox等各种浏览区以及Windows操作系统中包含了很多可以被黑客利用的漏洞，特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。因此他们可能经常变成被黑客控制的傀儡，在访问您网站的同时，给您的Web应用带来风险。51Testing软件测试网@'A[(C_jAoc

0s|ba~w0　　6. 各种移动代码、跨站脚本在网站上被广泛使用51Testing软件测试网#BKViW-L

　　在浏览器中禁用Javascrīpt、Java applets、.NET应用、Flash或ActiveX似乎是个好主意，因为它们都会在您的计算机上自动执行脚本或代码，但是如果禁用这些功能，很多网站可能无法浏览。这为编码糟糕的Web应用开启了大门，它们接受用户输入并使用Cookies，就像在跨站点脚本(XSS)中一样。在这种情况下，某些需要访问与其他开放页面的数据(Cookies)Web应用会出现混乱。任何接受用户输入的Web应用(博客、Wikis、评论部分)可能会在无意中接受恶意代码，而这些恶意代码可以被返回给其他用户，除非用户的输入被检查确认为恶意代码。

　　7. 对HTTP和HTTPS的普遍访问51Testing软件测试网8R`cK3v}~ a
C6LM

　　访问互联网必须使用Web，所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假定所有计算机都能够访问外部网络。很多程序都通过HTTP访问互联网，例如IM和P2P软件。此外，这些被劫持的软件打开了发送僵尸网络命令的通道。51Testing软件测试网 Sa8{7W/Z(bZ$x

　　8.在邮件中采用嵌入式HTML

　　由于SMTP电子邮件网关会在一定程度上限制可以邮件的发送，黑客已经不经常在电子邮件中发送恶意代码。相反，电子邮件中的HTML被用于从Web上获取恶意软件代码，而用户可能根本不知道已经向可以网站发送了请求。

　　从上面这些黑客常用的攻击方向中我们可以看到，为了避免使我们成为以上这些黑客关注的对象，我们需要一种专门针对Web应用进行全面防护的设备，部署一个立体防护的层次，使其能自动智能化地对黑客的这些攻击手段进行判别和防护。而非使用一个或多个传统的只有固定策略或固定攻击特征库的被动防护网关来解决。

A Xa&[pEXf G)O#u~0　　WEB应用防火墙的出现就是为了专门解决这方面难题的，应用防火墙通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。51Testing软件测试网rEN*O XHa4Y%UA
　　我们就用一款现在业内比较普遍的Barracuda-NC应用防火墙来看，它能对下列一般方法无法检测的Web应用层攻击手段进行有效的防护：51Testing软件测试网(p)I%R3q$py

j\ \J\(D
Z0　　植入恶意脚本51Testing软件测试网|'G+YHE7n

　　Cookie / Session投毒51Testing软件测试网)r4JS$hK D%g"o

　　Form表单 / 隐藏域修改51Testing软件测试网:^%W f_4U*tZ`%Zu\N N

　　缓存溢出51Testing软件测试网)z a Vl){WQ+Dh

'wVZc k&B#b0　　参数篡改

s@ UGA|)u#}0　　跨站式脚本攻击51Testing软件测试网+nc"j?1n

'aY6J
tmI,jz4r0　　强制浏览 / 目录探测51Testing软件测试网|^"p-x#\e#yY/F&["Y

1Hn-Q?*n;RS0　　Sql注入 / 命令注入51Testing软件测试网F3Jvh,o3I!FNb

$Gj
?wds'H
r0　　数据窃取 / 身份窃取51Testing软件测试网p7h7F(F;Q&k9i*b,L

?sT"@U8l;t0　　已知漏洞攻击 / Zero Day漏洞攻击51Testing软件测试网e.N#y Q}{

　　应用程序Dos51Testing软件测试网I0T O#w9|^7l

+S6N$r UQ"@;q4R0　　在工作时，Barracuda-NC应用防火墙具有基于应用层的检测，同时又拥有基于状态的网络防火墙优势的双重特点，

　　对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限；

*C`4Z kN/NO9f IQ0　　拥有预期数据的完整知识(Complete Knowledge of expected values)系统，防止各种形式的SQL/命令注入，跨站式脚本攻击；

!b HP7|F4f#~g0　　实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真。

]*}Fk'y'o,b7N0　　并且，他能使你的Web应用全面隐身，因为即使黑客再神奇也无法攻击看不见的东西。Barracuda-NC应用防火墙对外部访问网站进行隐身，可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息，让黑客看不见，摸不着，探测不到，自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。

51Testing软件测试网c%@X)xg&W4J-e

d+J$e vag1}1z1i0　　同时，它还能识别各种爬行探测程序，只允许正常的搜索引擎爬虫进入，抵御黑客爬行程序于门外，让想通过探测确定攻击目标的黑客彻底无门51Testing软件测试网JaGt`3J AF