当前位置:首页 >  科技 >  IT业界 >  正文

安全狗网站版-用RASP技术实现的WAF为网站保驾护航

  2016-08-08 11:31  来源:爱名网  我来投稿  我要评论

  创业项目优选 好项目来A5招商 ,点击入驻!

  钓鱼偷窃,人妖攻击,场地浮尸,买彩票赌哪天遭遇恐怖袭击,除此之外,今年的巴西奥运会还会出什么”幺蛾子”呢?随着奥运会比赛的正式开始,网络团体将注意力转向了那些看比赛的人群和为众多赛事服务的网络环境。安全专家明确表示,除了金牌和寨卡病毒会成为今年里约奥运会的头条新闻外,黑客攻击也将成为关注的重点。

  

 

  奥运会已经开始,很多新闻类的网站都在力争在第一时间发布各类最新奥运会消息给网站带来更多的访问量。当然,在这个过程中,访问量越高的站点也就成为了攻击者眼中的香饽饽了。通常新闻类的网站都提供了用户登录、新闻发布、图片上传等功能,而这就给攻击者提供了可乘之机。针对这类站点,攻击者就会尝试用SQL注入、挂马、上传木马或者是探测网站管理后台路径并对其进行用户名和密码的爆破等手段将恶意代码植入服务器达到篡改网站文件甚至获取目标服务器的控制权限。

  通过SQL注入篡改网站文件

  SQL注入近年来一直都是居OWASP排行榜的首位,每年都有很多服务器因为存在SQL注入漏洞并被攻击者利用而沦陷。攻击者通过SQL注入可以实现拖库、在数据库中植入木马、甚至直接执行系统命令创建远程连接帐号。既然网站存在登录系统,那么肯定有数据库的存在,攻击者就会优先尝试从SQL注入着手。而目前网络上各种注入工具简单易用,降低了小黑的门槛。其实SQL注入的原理非常简单,防护原理也很简单,无非就是对用户输入的内容进行SQL语句过滤,可是真正要达到防护效果并不容易。因为攻击者通过不停的研究各种主流数据库的特性,不断寻找新的可以躲避WEB应用程序的过滤又可以被数据库执行的方式.比如从最早的大小写混合 id=-15 uNIoN sELecT 1,2,3,4到URL编码id=1%252f%252a*/UNION%252f%252a/SELEC,从十六进制编码id=-15 /*!u%6eion*/ /*!se%6cect*/ 1,2,3,4,SELECT(extractvalue(0x3C613E61646D696E3C2F613E,0x2f61))到Unicode编码id=1%u0020and%u00201=1,从普通注释id=-15 %55nION/**/%53ElecT 1,2,3,4到内联注释id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3。而WEB程序显然是不适合在每出现一种新的注入方式就进行修改,只能通过WAF软件来进行防护。(毕竟术业有专攻嘛,WEB应用程序的核心是业务,安全问题应该交给更为专业的安全厂商)

  通过文件上传功能实现挂马或网马上传

  随着网站开发人员安全意识的提高,直接向一个站点上传php或者是asp后缀的木马文件已经是不多见了。目前很多开发人员至少会对上传的文件类型进行过滤,比如采用白名单的方式只允许上传图片格式的文件。而如果对文件类型检测不严格,攻击者通过将木马文件webshell.asp重命名为webshell;.jpg上传时会被认为是jpg类型的文件而放行最终成功上传至目标服务器。虽然我们的WEB程序认为这是一个jpg类型的文件,但是在IIS6.0服务器上会被解析成asp而执行,意味着攻击者已经将木马放到服务器上了。如果这是一个大马,那么已经可以执行很多操作包括执行系统命令。攻击者还可以利用一些系统平台本身的特性绕过WEB程序的文件上传检测。比如利用Windows系统上的文件流特性在需要构造上传的文件名后面增加$data|<|:进行绕过。攻击者通过扫描工具扫出网站的后台管理路径,并尝试用字典进行用户名和密码爆破。获取到网站管理权限即可对网站文件进行增、删、改操作。

  一个演示案例:通过在演示站点DVWA上注册的test用户进入系统后,发现该站点有提供了图片上传的功能如下图:

  

 

  那么我们尝试上传一个一句话话木马脚本文件test.asp。该脚本内容:<%execute request("safedog")%> 结果发现该文件上传失败:

  

 

  说明该站点有对上传的文件类型做了限制。于是我们尝试把test.asp文件重命名为test.asp.jpg再进行上传,结果惊奇的发现文件上传成功了:

  

 

  说明该站点虽然有对文件上传功能有做限制,但并不严谨,存在上传漏洞。结合前面提到的IIS6.0存在的文件名解析漏洞,我们可以将test.asp文件重命名成为test.asp;.jpg,如此一来,不但可以将该一句话脚本上传,还可以利用IIS6.0的文件名解析漏洞得到执行。由于在上传文件时该站点已经给出了目标文件的相对保存路径,这省了我们不少事(如果没有给出上传文件的存放路径,则需要通过网站路径扫描工具来获得自己上传的文件保存路径)。接着,我们通过菜刀工具配合前面脚本要求的密码”safedog”成功连接该一句话木马。

  

 

  到此,我们已经可以遍历该站点上的所有文件目录并对其进行文件的新建、上传和下载等行为了。如何防护:安全狗通过引入RASP的模型直接获取到用户输入最终执行的数据而无视其经过多少种编码和加密,可以有效的防护各种变形SQL注入。

  

 

  在实现文件上传防护功能时目前很多WAF采用的是通过分析HTTP头部中给定的文件名称获取到文件后缀类型进行防护,当攻击者在HTTP头部数据中插入大量干扰字符导致WAF软件无法获取到真正上传的文件名称从而实现逃过WAF的检测。当发现出现干扰字符时再增加相应的规则把干扰字符过滤掉重新获取正确的文件名称。这是一种治标不治本的解决办法。安全狗在实现文件上传防护功能时采用的是在文件最后写入时进行判定从而可以无视HTTP协议层中给定的文件名称,省去了大量对该类数据进行分析和过滤的动作,防护效率和准确率都得到了大幅提升。

  

 

  在保护网站后台防护功能方面安全狗提供了两种保护方式:密码保护和IP验证。用户可以根据需求灵活的设定保护方式。

  

 

  

 

  当非管理员尝试打开管理后台页面时会出现验证页面

  

 

  此次里约奥运会的网络攻击已经引起全民关注。最后,提醒前往里约看赛的朋友们,里约号称巴西“恶性犯罪之都”据了解,2016年的里约截至7月初已有2000多人死于凶杀,平均每天近10人,仅仅是尚未结束的7月也发生了14起,1~6月共发生9968起盗窃案,平均每天发生5起以上……前方战士么,看比赛的同志们,一定要记得安全第一啊。

    点赞0 投稿指南 专家专栏 企业会员 责任编辑:扬扬
    作者:

    小程序

    信息推荐

    文章推荐

    分类排行榜

    专栏文章

    更多>

    服务推荐

    扫一扫关注最新创业资讯