不要和陌生“网”说话［Web安全大家谈］

        web 现在不仅是 IT 人事的生活所需，而且是我们了解和谐社会、纵览世界文化的直接途径。 web 所讲的故事像又宽又深的海，我们操作它的同时也许永远触摸不到它的底线。

    然而在 web 的大家庭中有一支青年近卫军，它们的地位和作用与日俱增，开发者不断使它年轻化、壮大化，它的枪膛上满了子弹，眼神里不会流露出胆怯。 WEB 安全的理念伴随着我们每天的成长，人们对它的要求更多、依赖更多了。WTP （Web Threat Protection）――“上网无忧电子眼”，我试用期间感觉很符合我们大众，而且各项性能，速度、可操作性、引擎等都非常出色，感觉离我们真的很近，很亲切。

        web 的结构是经典的不能在经典的 b/s 模式了。浏览器相当于 browser ；而数据库、中间动态生成器、应用则三点一线构成了 server 。

        WEB 的开发环境简单的分为： CGI,ASP,JAVA 。三种各有千秋，又各有弊病，竞争促使开发者不断追求理论上的“无懈可击”。只要是人设计出来都会有问题，理论在于我们的速度能把我们的东西带到什么高度，那样可能我们的东西就更接近“完美”一些。

前人总结的都很好了，经典的东西是永远不会退色的。

 

一、CGI 的安全威胁大概分为：

1. 字节问题

       Parse $user_input

       $database=“user_input.db”;

       Open(FILE”<$database”>);

       提交 /etc /passwd\0 时就可能打开 passwd

2. 处理文件名

       分号命令分隔

       / 目录分割

       ./ 当前目录

       ../ 上级目录

3. 处理 HTML

       允许输入 HTML ，就如同给外界开了一个 VIP 通道，恶意破坏者可能会通过输入脚本语言获取口令，来入侵我们的机器。

4. 处理外部进程

       外部检测是我们必须做好的， SHELL 脚本会和合法数据一起执行。可能会导致意外的行为，给服务器造成麻烦。

6. 处理内部函数

       这个可能是用户输入的数据不正确导致系统出错。

 

二、ASP 的安全威胁

1. 泄露源代码

       [url]http://www.somehost.com/some.asp::$DATA[/url]

       [url]http://www.somehost.com/some.asp&2e[/url]

       [url]http://www.somehost.com/some.asp[/url]

       [url]http://www.somehost.com/some%2e@41sp[/url]

       [url]http://www.somehost.com/some%2e%asp[/url]

 

2.FileSystemObiect

       文件操作可通过 VB 的 FileSystemObiect 来执行

       例：查看文件的 ASP 源码 ( 调用格式 [url]http://xxxx/cat.asp?file=[/url] 文件名

       <%

       Response.ContextType=“text/plain”

       file=Request.QueryString(“file”)

       set fsFilesys=CreateeObiect(“Scripting.FileSystemObject”)

       set tsCoffee=fsFilesys.OpenTextFile(file)

       Response.Write tsCoffee.Readall

       tsCoffee.Close

       set fsFilesys=Nothing

       set fsFilesys=Nothing

       %>

3. 数据库密码验证

       sql=“select * from user where username=“”&username&””and        pass=“”& pass&””

       sql=“select * from user where username=“”hacker” or ‘ 1’ =1    & ”and pass=“”& pass&””

4. 包含文件 .inc

       很多代码或者配置信息会写到 .inc 文件中，这样如果有错误的话会暴露路径和代码。

 

 

 三、 在给人们造就便利的同时，就意味着计算机要做的更多，程序要做的更多，定时炸弹也更多。

1..Cookies 的安全性问题， Cookies 的作用是浏览状态记忆；危害就是会留下痕迹

2..ActiveX 的安全性问题， ActiveX 的作用是本地编译可执行 2 进制代码用于分发软件；危害即使经过签名仍然有可能破坏，隐患太大。

 

 

 

四、web 威胁与对策

 

1.威胁：             

修改用户的数据、特洛伊木马浏览器、修改内存、修改传输的数据流、网上偷听、从服务器处偷信息、从客户端处偷信息、关于网络配置的信息、关于客户连接的信息、中断用户连接、用伪造的威胁淹没服务器、塞满硬盘或内存、攻击 DNS 隔离服务器、冒充合法用户、数据伪造

 

2.后果：

信息丢失、机器暴露、其它所有威胁的弱点、丢失信息、丢失隐私、中断、骚扰、阻止用户完成正常工作、以假乱真、误信错误信息

 

3.对策：

加密校验、加密 Web 代理、加密技术

 

 

 

五、基于 Web 信息流的安全方法

网络层―― IP 安全性 (IPSec)

传输层―― SSL / TLS

应用层―― S/MIME,PGP,SET,Kerberos

 

六、基于 Web 信息流的安全方法： SSL -Secure Socket Layer

    以下是简单的介绍：

1.在互联网上访问某些网站时也许你会注意到在浏览器窗口的下方会显示一个锁的小图标。这个小锁表示什么意思呢？它表示该网页被 SSL 保护着 SSL 全称为“ Secure Sockets Layer ”；安全套接层是一种用于网站安全连接的协议或技术。

2.所谓的安全连接有两个作用

    首先是 SSL 可以提供信息交互双方认证对方的身份标识，显而易见地这对当你开始与对方交换机密信息前确切了解对方身份是非常重要的 SSL 通过数字证书的技术实现使得这一，需求得以满足；

    另一个是它能够使数据以不可读的格式传输以利于在不可信网络例如互联网上的安全传输需要这种不可读格式，通常由加密技术实现。

3.源于 Netscape 开发 V3 首先作为 RFC 发布后 IETF 建立一个 TLS 工作小组作为 Internet Standard TLS 的第一个版本可以看作是 SSLv3.1 。

 

4. SSL 体系结构

         SSL 被设计用来使用 TCP 提供一个可靠的端到端安全服务。

         SSL Record Protocol 为更高层提供基本安全服 务。特别是 HTTP， 它提供了 Web 的 client/server 交互的传输服务，可以构造在 SSL 之上。

         SSL Handshake Protocol, SSLChange Cipher Spec Protocol, SSL Alert Protocol 是 SSL 的高层 协议，用于管理 SSL 交换。

 

5.SSL 的两个重要概念

 

SSL 连接( connection)

    一个连接是一个提供一种合适类型服务的传输( OSI 分

层的定义)。

        SSL 的连接是点对点的关系。

        连接是暂时的，每一个连接和一个会话关联。

 

SSL 会话 session

    一个 SSL 会话是在客户与服务器之间的一个关联，会话 由 Handshake Protocol 创建，会话定义了一组可供多个 连接共享的加密安全参数。

        会话用以避免为每一个连接提供新的安全参数所需昂贵

的谈判代价。

 

6.数字证书

    一种能在完全开放系统，用来 标识某些主体如一个人或一个网站的机制。 一个数字证书包含的信息必须能鉴定用户身份，确保用户就是 其所持有证书中声明的用户。数字证书由 CA Certificate Authorities 机构承认。 CA 是被银行、政府和其它公共机构 认可用于标识证书所有者的第三方机构除了唯一的标识信息 外数字证书还包含了证书所有者的公共密钥。想到这里我不得不怀疑农行新上的证书系统。。。要么扬名华夏成为一时之“杰”，要么功败垂成。

   

7.SSL 应用中的安全问题

        Client 系统 Server 系统 Keys 和 Applications 都要安全

        短的公开密钥加密密钥以及匿名服务器需谨 慎使用

        对证书 CA 要谨慎选择

    密钥管理

 

8.证书的弱点

        CA 机构并不总是可 靠的,而且缺乏准确性和灵活性。

 

9.暴力攻击证书

    即使很困难，在理论上也会成立的，如果有一个特定的环境和条件，攻破服务器还是有可能的。暴力攻击证书的方便之处在 于它仅需要猜测一个有效的用户名，而不是猜测用户名和 口令。

 

10.木马窃取证书

    攻击者可能试图窃取有效的证书及相应的私有密钥， 最简单的方法是利用木马。 这种攻击一旦成功，几乎客户端证书就是浮云。

 

   

        虽然有很多漏洞，但是SSL仍然是一个几近完美的安全措施，或者一种安全工具，它还需要其他的网络工具来辅助，一起搭建一个真正的“网”络。

 

 

SSL 的实现

  商业产品

�C Windows 2k+ IE IIS etc

  自由软件

�C openssl

�C mod_ssl

�C apache_ssl

�C stunel

 

网络是我们熟悉的，同时也是让我们感到“陌生”的，如果您不是一位专业从事安全技术的工作者，那么您可能很难了解到网络中千疮百孔的漏洞。如何有效的抵御Web安全威胁是我们每一个用户关心的问题，在这里向大家推荐一款Web威胁防御工具，趋势科技上网无忧电子眼。这款工具集成了趋势科技最新推出的Web信誉服务，通过对网络中的Web站点进行可靠的安全等级评估，从而采取主动的防护措施，真正的实现了在危险到达前予以阻止的目的。上网无忧电子眼的体积很小，系统资源的占用相对也很少，工具运行时会显示在系统桌面的右下角，当我们访问具有安全隐患的网站时，工具会第一时间阻止威胁的侵袭，并提示用户Web页中可能存在的安全威胁。人性化的设计与实用的功能是我向大家推荐这款工具的原因，大家不妨试试看。

下载地址：<[url]http://cn.trendmicro.com/cn/sp/smb/wpao/[/url]>”