何人、何时、何地攻击Web应用

 

    就像“为什么”攻击Web应用一样，定义“何人”攻击Web应用像是要瞄准一个不断移动的目标。放暑假时，离开学校的无聊的年轻人可能是Web攻击的主体，他们通过攻击Web站点，相互进行比赛。我们先前提到了，Web攻击现在是一个很严重的问题，有组织的犯罪团伙正在成为Web攻击并获取利益的最大源头。

 

    回答“何时”和“何地”攻击Web应用，则相当的简单：24小时×7天，任何地方（甚至网络内部）。Web应用吸引人之处是它们“总向公众开放”的本质，这也将它们或多或少地暴露在风险面前。更有趣的是，我们是按照Web应用的“哪些位置”会被攻击来讨论 “何地”攻击Web应用的。换句话来说，常见的web应用安全薄弱点是在那里呢？

 

安全薄弱点

 

    如果你回答“全部”，那么你已经熟悉这个问题的招式了，同时，你的回答也是正确的。下面简要地列出了典型的攻击类型，这些攻击类型针对我们讨论过的Web应用的各个组件。

 

● Web 平台：Web平台软件漏洞，包括HTTP底层服务器软件（比如，IIS或Apache）等底层基础设施，以及应用程序开发框架（如ASP.NET或者PHP），请参见第3章。

 

● Web 应用：对授权、认证、站点结构、输入验证、程序逻辑以及管理接口进行攻击。在本书的第4章到第9章，第12章和第13章中会涉及。

 

● 数据库：通过数据库查询运行特权命令，操纵查询以返回额外的数据集，这里最具破坏性的攻击是SQL注入，我们会在第7章中讨论。

 

● Web 客户端：活动内容执行、客户端软件漏洞攻击、跨站脚本错误，以及钓鱼欺骗。Web客户端攻击将在第10章讨论。

 

● 传输：窃听客户-服务器通信，SSL重定向。在本书中我们不涉及这方面的内容，因为这属于通信层的攻击，在网上已经有一些这方面很好的文章了。

 

● 可用性：如果要你迅速地指出更危险的“黑客”技术，拒绝服务攻击（denial of service ，DoS）经常会被遗漏，其实DoS攻击是任何可公开访问的Web应用所面临的最大威胁之一。让任何资源都对公众开放本来就有很大的挑战，在网络世界中更是如此。在这里，分布的僵尸机器军团可以被匿名攻击者集结起来，对任何一个Internet上的目标发动一次空前的请求风暴。在第11章会集中讨论DoS攻击及其对抗措施。

 

    虽然关于何种Web应用组件最常受到攻击还没有可靠统计，但已有一些非正式的调查。其中Open Web Application Security Project（OWASP）就是最流行的之一，OWASP列出了被安全界广泛认可的前10个的最严重Web应用程序安全漏洞列表。

 

本文节选自电子工业出版社2008年6月出版的 《黑客大曝光――Web应用安全机密与解决方案（第2版）》。

 

 

到当当网购买    到卓越网购买    到china-pub购买

 

浏览更多精彩文章>>
欢迎订阅软件安全电子期刊>>