第4章Web网站安全部署 知识要点:Web系统的安全弱点,系统服务包和安全补丁, 限制用户权限,文件系统安全,删除或禁用不必要的组件和 服务,日志和审核,系统防病毒策略与案例。ⅢS的安全机制, 设置P地址限制、设置用户身份验证,设置Web服务器权限 控制ⅣS应用程序,审核IS日志记录,安全加固工具及应用。 防火墙和路由器应用,使用网络DMz,虚拟专用网络。 重点知识:Web系统的安全弱点,系统服务包和安全补丁 删除或禁用不必要的组件和服务,日志和审核,系统防病 毒策略,Ⅳs的安全机制,身份验证,审核S日志记录,保 护网络边界。 难点知识:Web系统的安全弱忘分析,审核S日志记录, 保护网络边界。 2021/2/22 山东师范大学管理学院 第1页
2021/2/22 山东师范大学管理学院 第1页 第4章 Web网站安全部署 知识要点:Web系统的安全弱点,系统服务包和安全补丁, 限制用户权限,文件系统安全,删除或禁用不必要的组件和 服务,日志和审核,系统防病毒策略与案例。IIS的安全机制, 设置IP地址限制、设置用户身份验证,设置Web服务器权限, 控制IIS应用程序,审核IIS日志记录,安全加固工具及应用。 防火墙和路由器应用,使用网络DMZ,虚拟专用网络。 重点知识:Web系统的安全弱点,系统服务包和安全补丁 ,删除或禁用不必要的组件和服务,日志和审核,系统防病 毒策略,IIS的安全机制,身份验证,审核IIS日志记录,保 护网络边界。 难点知识:Web系统的安全弱点分析,审核IIS日志记录, 保护网络边界
4.1Web系统的安全弱点 411影响Web系统最常见的弱点 ●操作系统和应用程序的默认安装 使用弱口令或空口令的账号 ●无备份或者备份不完整 大量打开的端口 ●没有用于更正输入和输出地址的报文筛选 ●无日志或者日志不完善 ●易受攻击的CG程序 ●恶意代码 2021/2/22 山东师范大学管理学院 第2页
2021/2/22 山东师范大学管理学院 第2页 4.1 Web系统的安全弱点 4.1.1 影响Web系统最常见的弱点 ⚫ 操作系统和应用程序的默认安装 ⚫ 使用弱口令或空口令的账号 ⚫ 无备份或者备份不完整 ⚫ 大量打开的端口 ⚫ 没有用于更正输入和输出地址的报文筛选 ⚫ 无日志或者日志不完善 ⚫ 易受攻击的CGI程序 ⚫ 恶意代码
4.1.2与平台相关的弱点 Unicode弱点(Web服务器文件夹遍历) 使用 Microsoft的 Unicode会产生弱点。通过将 个精心构造的包含无效 Unicode UTF8序列的 URL发送到IS服务器,攻击者可以强制该服务器 遍历某个目录和执行任意的脚本。这种类型称为 目录遍历攻击( Directory Traversal Attack)。如 果攻击者一直前进,到达标为“ executable的 Microsoft iis目录时,攻击者可以让自己加入的 程序在该服务器上运行 2021/2/22 山东师范大学管理学院 第3页
2021/2/22 山东师范大学管理学院 第3页 4.1.2 与平台相关的弱点 ⚫Unicode弱点(Web服务器文件夹遍历) 使用Microsoft的Unicode会产生弱点。通过将一 个精心构造的包含无效Unicode UTF-8序列的 URL发送到IIS服务器,攻击者可以强制该服务器 遍历某个目录和执行任意的脚本。这种类型称为 目录遍历攻击(Directory Traversal Attack)。如 果攻击者一直前进,到达标为“executabil”的 Microsoft IIS目录时,攻击者可以让自己加入的 程序在该服务器上运行
4.1.2与平台相关的弱点 ●缓冲区溢出 有几个DIL(如idqd)中包含了程序设计错误,这些 错误允许攻击者设置缓冲区溢出攻击,并安全控制IS Web服务器 大块的编码内存在默认时与IS5.0一同安装在ASP ISAPL扩展处理的过程中,会存在远程缓冲区溢出 第三个缓冲区溢出情形,存在于提供限定符安全检查 的方法中(适用于IS50与5.1 缓冲区溢出弱点,还存在于服务器对文件名的有效性 与大小检查的过程中 当启用FTP服务时,IS中会存在DoS弱点。 2021/2/22 山东师范大学管理学院 第4页
2021/2/22 山东师范大学管理学院 第4页 4.1.2 与平台相关的弱点 ⚫ 缓冲区溢出 有几个DLL(如idq.dll)中包含了程序设计错误,这些 错误允许攻击者设置缓冲区溢出攻击,并安全控制IIS Web服务器。 大块的编码内存在默认时与IIS 5.0一同安装在ASP ISAPL扩展处理的过程中,会存在远程缓冲区溢出。 第三个缓冲区溢出情形,存在于提供限定符安全检查 的方法中(适用于IIS 5.0与5.1) 缓冲区溢出弱点,还存在于服务器对文件名的有效性 与大小检查的过程中。 当启用FTP服务时,IIS中会存在DoS弱点
4.1.2与平台相关的弱点 保护的 Windows网络共享 Windows中的文件共享特性支持网络( NetBIos协议)上 的文件共享。 使用称为服务器消息块(SMB, Server Message block) 协议(该协议支持 Windows文件共享)的 Window文件共享, 也被攻击者用来获取敏感的系统信息。 ●通过空会话连接泄漏信息 SYSTEM账号具有事实上无限制的特权,并且在访问时不 需要口令,因此管理员不能以 SYSTEM登录。 SYSTEM有时 需要其他机器上的信息,如SMB共享、用户名等,即网上邻 居类型的功能。因为它不能使用用户D和口令登录到其他系 统上,所以它使用空会话来获取访问权限。这样也就给攻击 者提供了以空会话来进行登录的机会 2021/2/22 山东师范大学管理学院 第5页
2021/2/22 山东师范大学管理学院 第5页 4.1.2 与平台相关的弱点 ⚫ 无保护的Windows网络共享 Windows中的文件共享特性支持网络(NetBIOS协议)上 的文件共享。 使用称为服务器消息块(SMB,Server Message Block) 协议(该协议支持Windows文件共享)的Windows文件共享, 也被攻击者用来获取敏感的系统信息。 ⚫ 通过空会话连接泄漏信息 SYSTEM账号具有事实上无限制的特权,并且在访问时不 需要口令,因此管理员不能以SYSTEM登录。SYSTEM有时 需要其他机器上的信息,如SMB共享、用户名等,即网上邻 居类型的功能。因为它不能使用用户ID和口令登录到其他系 统上,所以它使用空会话来获取访问权限。这样也就给攻击 者提供了以空会话来进行登录的机会
4.1.2与平台相关的弱点 ●安全账号管理器中的弱散列法 LAN Manager F数列的主要缺点是它们总是被填充,或者 截短至14个字符并被分解成两个部分,每部分7个字符, 这种模式使得它们易于破解。口令破解程序只须破解两 个7字符口令,甚至不需要测试小写字母。此外,LAN Manager易受口令散列的偷听攻击。这种缺陷影响 Microsoft windows nt和 Windows2000计算机。 ●安全警告 个易受攻击的web站点,应立刻使用能够修复这些 题的 Microsoft service packs和 Security Updates 2021/2/22 山东师范大学管理学院 第6页
2021/2/22 山东师范大学管理学院 第6页 4.1.2 与平台相关的弱点 ⚫安全账号管理器中的弱散列法 LAN Manager散列的主要缺点是它们总是被填充,或者 截短至14个字符并被分解成两个部分,每部分7个字符, 这种模式使得它们易于破解。口令破解程序只须破解两 个7字符口令,甚至不需要测试小写字母。此外,LAN Manager 易受口令散列的偷听攻击 。 这种缺陷影响 Microsoft Windows NT和Windows 2000 计算机 。 ⚫安全警告 一个易受攻击的Web站点,应立刻使用能够修复这些问 题的Microsoft Service Packs 和Security Updates
安全攻击基本手段 攻击手段 非法权限类 虫类侵占资源) 源码类目标码类「对院变式 特据入 攻击 攻击 洛绝侵 伊服 木务 操作系文件类 马 统类 2021/2/22 山东师范大学管理学院
2021/2/22 山东师范大学管理学院 第7页 源码类 目标码类 一对一 攻击 兑变式 攻击 非法权限类 传染类 蠕虫类(侵占资源) 操作系 统类 文件类 攻击手段 一对一 攻击 兑变式 攻击 蠕虫类(侵占资源) 源码类 操作系 统类 文件类 传染类 目标码类 系 统 欺 骗 拒 绝 服 务 入 侵 特 洛 伊 木 马 窃 取 非法权限类 系 统 欺 骗 特 洛 伊 木 马 拒 绝 服 务 入 侵 窃 取 安全攻击基本手段
非法权限类 ●特洛伊木马 ●系统欺骗 ●拒绝服务 ●入侵 取 2021/2/22 山东师范大学管理学院
2021/2/22 山东师范大学管理学院 第8页 非法权限类 ⚫特洛伊木马 ⚫系统欺骗 ⚫拒绝服务 ⚫入侵 ⚫窃取
非法权限类 PKZiP30O 特洛伊木马 一种未经授权的程序,或 在合法程序中有一段未经授权 的程序代码,或在合法程序中 包含有一段用户不了解的程序 功能。上述程序对用户来说具 有恶意的行为。 ●陷阱入口类 信息窃取类 ●功能欺骗类 逻辑炸弹类 2021/2/22 山东师范大学管理学院 第9页
2021/2/22 山东师范大学管理学院 第9页 一种未经授权的程序,或 在合法程序中有一段未经授权 的程序代码,或在合法程序中 包含有一段用户不了解的程序 功能。上述程序对用户来说具 有恶意的行为。 特洛伊木马 非法权限类 ⚫ 信息窃取类 ⚫ 逻辑炸弹类 ⚫ 陷阱入口类 ⚫ 功能欺骗类
信息窃取类 攻击系统权限 ●oo 对任意用户进行 FINGER请求 aldinger 对一般用户正常响 应,保持原功能 2021/2/22 山东师范大学管理学院 第10页
2021/2/22 山东师范大学管理学院 第10页 信息窃取类 攻击系统权限 对任意用户进行FINGER请求 对一般用户正常响 应,保持原功能