天泰WAF宣传手册.doc

《天泰WAF宣传手册.doc》由会员分享，可在线阅读，更多相关《天泰WAF宣传手册.doc（11页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、目录第一章 黑客入侵手法21、获取口令22、放置特洛伊木马程序23、WWW的欺骗技术24、电子邮件攻击35、通过一个节点来攻击其他节点36、网络监听37、寻找系统漏洞48、利用帐号进行攻击49、偷取特权，提升自己权限4第二章 黑客入侵技术41、SQL注入5SQL注入过程5SQL注入攻击的特点:62、跨站脚本（XSS）6跨站脚本(XSS)的分类7跨站脚本(XSS)攻击过程8跨站脚本攻击的危害和现状8第三章、天泰WEB安全网关防御黑客入侵10第一章 黑客入侵手法1、获取口令 这又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用

2、户账号和口令，对局域 网安全威胁巨大；二是在知道用户的账号后（如电子邮件前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时 间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的 Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件 中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户，如某用户账号为hsy，其口令就是hsy123、 hsy、或干脆就

3、是hsy等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。 2、放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户 打开了这些邮件的附件或者执行了这些程序之后，它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息 后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制

4、文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。3、WWW的欺骗技术 在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些 问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页 的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。4、电子邮件攻击 电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同

5、一信箱发 送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺 骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病 毒或其他木马程序（据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只 要用户提高警惕，一般危害性不是太大。5、通过一个节点来攻击其他节点 黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留

6、下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的 其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。 6、网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果 两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和用户帐号在内的信息资料。虽然网络监听获得

7、的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所 在网段的所有用户帐号及口令。7、寻找系统漏洞 许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和 IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系 统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。 8、利用帐号进行攻击 有的黑客会利用操作系统提供的缺省账户和密

8、码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口 令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺 省账户关掉或提醒无口令用户增加口令一般都能克服。 9、偷取特权，提升自己权限 利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。第二章 黑客入侵技术一旦攻击者确定了入侵手法以后便

9、会考虑使用何种入侵技术来入侵该网站，下面列举几种目前最为流行的入侵技术的原理及造成的后果。本文只针对应用层的脚本攻击手法展开探讨，并不对网络层的攻击做详细分析。1、 SQL注入SQL注入：利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。随着B/S模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的 时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的 结果，获得一些他想得到的数据

10、。SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的web访问没有区别，常规的网络防火墙、ISP、UTM等安全设备不会对其拦截,因此隐蔽性极强，不易被发现。SQL注入过程如上图所示，SQL注入攻击过程分为五个步骤：第一步：判断Web环境是否可以SQL注入。如果URL仅是对网页的访问，不存在SQL注入问题，如：第二步：寻找SQL注入点。完成上一步的片断后，就要寻找可利用的注入漏洞，通过输入一些特殊语句，可以根据浏览器返回信息，判断数据库类型，从而构建数据库查询语句找到注入点。第三步：猜解用户名和密码。数据库中存放的表名、字段名都是有规律可言的。通过构建特殊数据库语句在数据库中依次查找表

11、名、字段名、用户名和密码的长度，以及内容。这个猜测过程可以通过网上大量注入工具快速实现，并借助破解网站轻易破译用户密码。第四步：寻找WEB管理后台入口。通常WEB后台管理的界面不面向普通用户开放，要寻找到后台的登陆路径，可以利用扫描工具快速搜索到可能的登陆地址，依次进行尝试，就可以试出管理台的入口地址。第五步：入侵和破坏。成功登陆后台管理后，接下来就可以任意进行破坏行为，如篡改网页、上传木马、修改、泄漏用户信息等，并进一步入侵数据库服务器。SQL注入攻击的特点:变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范

12、。攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至。2、跨站脚本（XSS）不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。跨站脚本攻击是通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理员权限，控

13、制整 个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求，如诈骗性的电汇请求、修改口令和下载非法的内容等请求。跨站脚本(XSS)的分类XSS漏洞按照攻击利用手法的不同，有以下三种类型：类型A，本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示：Alice给Bob发送一个恶意构造了Web的URL。Bob点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下

14、的命令。类型B，反射式漏洞，这种漏洞和类型A有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。其攻击过程如下：Alice经常浏览某个网站，此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录，并存储敏感信息（比如银行帐户信息）。 Charly发现Bob的站点包含反射性的XSS漏洞。 Charly编写一个利用漏洞的URL，并将其冒充为来自Bob的邮件发送给Alice。 Alice在登录到Bob的站点后，浏览Charly提供的URL。 嵌入到URL中的恶意脚

15、本在Alice的浏览器中执行，就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息（授权、信用卡、帐号信息等）然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。类型C，存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。其攻击过程如下：Bob拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。 Charly注意到Bob的站点具有类型C的XXS漏洞。 Charly发布一个热点信息，吸引其它用户纷纷阅读。 Bob或者是任何的

16、其他人如Alice浏览该信息，其会话cookies或者其它信息将被Charly盗走。 类型A直接威胁用户个体，而类型B和类型C所威胁的对象都是企业级Web应用，目前天清入侵防御产品所能防范的XSS攻击包括类型B和类型C。跨站脚本(XSS)攻击过程跨站脚本攻击的危害和现状在目前所有的安全威胁中，Web安全无疑是被攻防双方观注程度最高，同时也是参与人数最多、安全漏洞与安全事件发生频率与数量最多、受害面最广的安 全事故高发区，而在这个高居安全事件之首的事故频发区中，据多家国际权威机构统计，到目前为止，跨站脚本攻击是Web安全中最为常用，攻击成功率最高的攻 击手段。因此，如果用一句话来总结跨站脚本攻击

17、的危害，那就是：“跨站脚本攻击是到目前为止最受关注的、威胁最高的攻击手段”。我们用一组排名数据来说明跨站脚本攻击相对于其它种类的攻击的严重程度： OWASP Top 10 2007OWASP Top 10 2004A1 跨站脚本（XSS）A4 跨站脚本（XSS）A2 注入错误A6 注入错误A3 远程文件包含不安全（新增）-A4 直接对象参考不安全A2 访问控制不完善（在2007 Top10中被分解）A5 跨站请求仿造（CSRF）（新增）-A6 信息泄露和错误处理不当A7 错误处理不当A7 认证和会话管理不完善A3 认证和会话管理不完善A8 加密存储不安全A8 存储不安全A9 通信不安全在A10

18、后讨论：配置管理不安全A10 无法限制URL访问A2 访问控制不完善（在2007 Top10中被分解）-A1 未经确认的输入-A5 缓冲区溢出-A9 拒绝服务-A10 配置管理不安全通过这组数据，我们可以很清晰地看到，在2004年，跨站脚本攻击的威胁程度还处于第四位，但是到了2007年，跨站脚本攻击的威胁程度已经跃居所有安全威胁之首，取代了一支被高度关注的缓冲区溢出攻击根据以往跨站脚本攻击的安全事件及产生的后果来看，跨站脚本攻击可导致的后果极其严重，影响面也十分之广，我们可以列举出一部分如下：1. 盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号2. 控制企业数据，包括读取、篡改

19、、添加、删除企业敏感数据的能力3. 盗窃企业重要的具有商业价值的资料4. 非法转账5. 强制发送电子邮件6. 网站挂马7. 控制受害者机器向其它网站发起攻击跨站脚本攻击不仅威胁程度更大、威胁波及面更广，同时攻击过程也更加复杂多变，与SQL注入攻击检测类似，传统基于攻击特征匹配的方法收效甚微。第三章、天泰WEB安全网关防御黑客入侵正是由于传统检测方法存在诸多缺陷，天泰WEB安全网关并未采用这传统防御方法，而是采用了基于攻击手法行为检测方法。同时天泰特有的加速负载等功能使得WEB安全网关在安全防护的同时也能提高整体性能，改善用户访问速度。首先对各类攻击样本库进行整理、分析和分类，并建立起行为特征库

20、，在实时攻击检测阶段，对所有可能实现的攻击行为的数据来源，如HTTP-Refere、URL、COOKIE、表单数据等，进行数据收集和初步分析，存在注入脚本的用户提交信息才进入下一步的攻击判断。同时天泰WEB安全网关主动防御模型，智能学习和分析应用业务流程和用户访问流程，根据知识库对正常行为进行正常行为规范建模，杜绝未知攻击及合法用户的非法操作。天泰WEB 安全网关高效的内容解析引擎对访问数据流进行协议检查，智能屏蔽服务器指纹探测、阻断扫描，屏蔽服务器敏感信息泄露如服务器报错信息、源代码泄露等。天泰WEB 安全网关被动防御模型，依据HTTP 和WEB 应用相关协议规范，对WEB 应用的访问请求和

21、应答进行深入和细粒度检查，阻止SQL 注入、跨站脚本(XSS)等常见的攻击。天泰WEB 安全网关详尽纪录和有效统计用户对Web 应用资源的访问，包括页面点击率、客户端地址、客户端类型、访问流量、访问时间、搜索引擎关键字等信息，实现有效的用户行为跟踪和访问统计分析。生成基于地区区域的访问统计，便于识别WEB 应用的访问群体是否符合预期，为应用优化提供指导。天泰WEB 安全网关分类纪录探测和攻击行为，对攻击来源、数据、时间、处理结果形成详细的统计及TOP 10 攻击列表。基于统计学原理的统一威胁分析，对攻击行为进行建模，依据威胁的级别自动生成防护策略，指导主动防御的深层配置。天泰WEB 安全网关提供丰富的审计报表，为系统的安全审计提供详细的数据，为管理提供称可靠的决策依据，降低应用系统的管理维护复杂度。天泰WEB 安全网关支持独立的集中管理中心和标准第三方SYSLOG 日志服务器，支持集中审计数据挖掘和报表生成。第四章、天泰WEB安全网关典型用户公安部信息等级保护中心河南出入境检验检疫局中国人民解放军军事医学科学院中国人民解放军医学图书馆内蒙古自治区政府门户河南省食品药品监管局郑州市烟草公司陕西地电招标网陕西省安全生产监督管理局陕西省政务大厅山西省人民政府发展研究中心南京软件考试网上海世博会网上博物馆福州市教育局。