web应用程序漏洞发掘原理new

《web应用程序漏洞发掘原理new》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、http://www.paper.edu.cnWEB应用程序漏洞发掘原理黄玮北京邮电大学信息工程学院，北京（100876）E-mail：huangwei1983@gmail.com摘要：Web应用程序由于其良好的跨平台性和交互性特点，正在得到越来越普遍的应用。伴随着Web应用程序发展的过程中，各种针对Web应用程序的攻击也在逐步的发展。本文就目前Web应用程序所面临的各种安全威胁从漏洞发掘的角度进行了归纳和分析，从漏洞产生原因上去介绍构建安全Web应用程序需要注意的问题。关键词：WEB应用程序，漏洞，安全中图分类号：TP3931.引言Web应用程序在发展的开始仅仅局限

2、于静态页面的展示，用户可以做的仅仅是“浏览网页”。直到20世纪90年代初期开始，基于服务器端的脚本和CGI技术的发展，使得Web应用第一次实现了用户交互。今天我们所看到的和经常使用的Web应用程序，如Gmail，GoogleMaps，Blog等等，都得归功于Web2.0技术带给我们的全新的Web应用程序用户体验。图1Web应用发展简史图1简要的总结了Web应用程序从最初的静态页面到今天的Web2.0技术的发展历程。从图上我们可以看出，Web应用程序发展的一个重要的趋势就是越来越高的用户交互性。不论是AJAX技术也好，还是Flash也罢，Web应用程序从来都没有像今天这

3、样发展的越来越接近桌面应用程序。更高的用户输入响应速度，完善和灵活的用户UI设计，客户端“0维护”成本，等等，越来越多的理由让我们去普及和应用最新的Web技术去获得更高的用户交互性体验。而作为Web2.0技术发展的基础，从微软的ASP.NET到Sun的JSF框架，再到最新的PHP的Smarty模版技术，“动态网页”仍然将在今后很长一段时间内主导Web应用程-1-http://www.paper.edu.cn序的主流。然而，自从在Web应用程序中引入了“交互性”，各种针对Web应用程序的攻击和漏洞利用也开始随着“交互性”的发展而迅速发展。这里面既有Web应用程序的基础—

4、—HTTP协议和其他相关TCP/IP协议的脆弱性，也有Web应用程序本身在编码实现时候的不规范性，更有Web应用程序部署和管理上的疏忽和大意原因。2.Web应用程序风险分类及漏洞发掘原理[1]根据SANSInstitute2006年的一份最新的安全报告，在过去的一年中，互联网上的安全攻击目标中，Web应用程序已经成为跨平台的应用程序中最频繁遭受攻击的对象。对比[2][3]2005和2004年的情况，Web应用程序风险经历了从Web服务器的频繁遭受攻击，到针对PHP、ASP等动态脚本网页技术本身的漏洞攻击，再到现在的不局限于具体动态网页实现技术的各种跨站脚本攻击(XSS

5、)和各种数据注入攻击(DataInjection)，攻击的目标和手段不断的变化，但基本的漏洞利用原理仍然无非是2个方面，一个就是Web应用程序对用户输入和请求参数的校验漏洞，而另一个则是Web应用服务部署和管理的缺乏安全意识和粗心大意。2.1.输入和参数校验在各种Web应用程序的漏洞利用中，排除Web应用程序服务器本身的安全漏洞，对用户提交的表单请求和GET请求中参数的过滤不严格导致的Web应用程序漏洞构成了当今Web应用程序漏洞利用的主要方式。下面重点讨论各种可能的漏洞利用情况。2.1.1.缓冲区溢出漏洞这种漏洞利用多见于针对CGI脚本构建的动态Web应用程序，具体

6、的CGI脚本可能是C，漏洞利用一般是通过构造超长请求字符串来测试是否存在漏洞。实际上，缓冲区溢出攻击几乎可以应用于所有的Web应用程序。对于使用Java/J2EE的应用程序来说，如果启用了本地方法调用或者允许系统调用就使得其存在被缓冲区溢出攻击的可能；对于.NET应用程序来说，如果使用P/Invoke方式进行了Win32本地API调用或者是使用COMInterop技术使用了COM组件，也会可能存在上述漏洞；Perl、Python、PHP等脚本如果调用了外部应用程序或者使用了一些不安全的程序库，也会可能存在上述漏洞。2.1.2.跨站脚本漏洞现在只要谈到跨站脚本漏洞，大家

7、一般会想到的危害就是偷取用户cookie，重定向用户的表单请求偷取用户登陆信息等等。一个简单的跨站脚本漏洞的利用方法是在正常的URL请求后添加一小段JS代码，如下所示：document.location.replace('http://freewebhost.com/steal.cgi?'+document.cookie);">点击参加抽奖如果用户点击了上述这段代码生成的超链接，将会把用户在www.example.com的cookie发送到