強(qiáng)訊科技CallThink呼叫中心系統(tǒng)在網(wǎng)絡(luò)安方面進(jìn)行升級(jí),包括SQL注入、暴力破解、回話固定等等漏洞。
強(qiáng)訊公司從創(chuàng)始之初就以軟件開(kāi)發(fā)為主,從早期的CS產(chǎn)品,現(xiàn)在的BS產(chǎn)品,在不斷應(yīng)用新技術(shù),開(kāi)發(fā)新功能的同時(shí),我們也遇到了很多網(wǎng)絡(luò)安全問(wèn)題。最初的處理方就是更新系統(tǒng)補(bǔ)丁,避免病毒通過(guò)系統(tǒng)漏洞感染計(jì)算機(jī);設(shè)置強(qiáng)壯管理員登錄密碼;及時(shí)更新殺毒軟件,并定期的進(jìn)行全盤殺毒等方式提高系統(tǒng)的安全性。
隨著互聯(lián)網(wǎng)的普及,隱私泄露、信息被盜、惡意代碼注入、數(shù)據(jù)庫(kù)被攻擊等各種網(wǎng)絡(luò)攻擊的方式日漸增多,目前的大環(huán)境是企業(yè)對(duì)自身的網(wǎng)絡(luò)安全的重視程度在不斷提高,市場(chǎng)上出現(xiàn)了很多網(wǎng)絡(luò)安全檢測(cè)軟件,如綠盟軟件等,輔助企業(yè)提高網(wǎng)絡(luò)安全性。
強(qiáng)訊的產(chǎn)品在經(jīng)受網(wǎng)絡(luò)安全檢測(cè)過(guò)程中,發(fā)現(xiàn)了很多問(wèn)題。目前的BS架構(gòu)系統(tǒng),被檢測(cè)出包括SQL注入、暴力破解、跨網(wǎng)站攻擊、回話固定等漏洞。同時(shí),我們的產(chǎn)品都是基于Windows操作系統(tǒng)的,那么Windows系統(tǒng)本身的漏洞也為我們的軟件產(chǎn)品安全帶來(lái)威脅。我們?cè)诮鉀Q這些問(wèn)題的過(guò)程中,也逐步積累了一些方法,下面我們簡(jiǎn)單描述一下網(wǎng)絡(luò)攻擊方式:
1、SQL注入
所謂SQL注入,就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來(lái)說(shuō),它是利用現(xiàn)有應(yīng)用程序,將(惡意)的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力,它可以通過(guò)在Web表單中輸入(惡意)SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫(kù),而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語(yǔ)句。
2、XSS跨站攻擊:
(Cross Site Script為了區(qū)別于CSS簡(jiǎn)稱為XSS) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼,當(dāng)用戶瀏覽該頁(yè)之時(shí),嵌入其中Web里面的html代碼會(huì)被執(zhí)行,從而達(dá)到惡意用戶的特殊目的。
3、會(huì)話固定
Session fixation attack(會(huì)話固定攻擊)是利用服務(wù)器的session不變機(jī)制,借他人之手獲得認(rèn)證和授權(quán),然后冒充他人。這種攻擊方式的核心要點(diǎn)就是讓合法用戶使用攻擊者預(yù)先設(shè)定的session ID來(lái)訪問(wèn)被攻擊的應(yīng)用程序,一旦用戶的會(huì)話ID被成功固定,攻擊者就可以通過(guò)此session id來(lái)冒充用戶訪問(wèn)應(yīng)用程序(只要該session id還是有效的,也就是沒(méi)有被系統(tǒng)重新生成或者銷毀)。 通過(guò)這種方式,攻擊者就不需要捕獲用戶的Session id(該種方式難度相對(duì)稍大)。
4、暴力破解
暴力破解一般指窮舉法,窮舉法的基本思想是根據(jù)題目的部分條件確定答案的大致范圍,并在此范圍內(nèi)對(duì)所有可能的情況逐一驗(yàn)證,直到全部情況驗(yàn)證完畢。若某個(gè)情況驗(yàn)證符合題目的全部條件,則為本問(wèn)題的一個(gè)解;若全部情況驗(yàn)證后都不符合題目的全部條件,則本題無(wú)解。窮舉法也稱為枚舉法。
系統(tǒng)登錄時(shí)如果未采取圖形驗(yàn)證碼等有效的安全措施,或者驗(yàn)證碼不刷新,惡意攻擊者可以采用字典方式進(jìn)行多次登錄嘗試,從而威脅用戶的帳號(hào)安全。
5、TRACE Method Enabled漏洞
TRACE方法是HTTP(超文本傳輸)協(xié)議定義的一種協(xié)議調(diào)試方法,該方法使得服務(wù)器原樣返回任何客戶端請(qǐng)求的內(nèi)容(可能會(huì)附加路由中間的代理服務(wù)器的信息),由于該方法原樣返回客戶端提交的任意數(shù)據(jù),因此,可用來(lái)進(jìn)行跨站腳本(XSS)攻擊,這種攻擊方式又稱為跨站跟蹤攻擊(XST)。
6、啟用TRACE方法存在如下風(fēng)險(xiǎn)
A、 惡意攻擊者可以通過(guò)TRACE方法返回的信息了解到網(wǎng)站前端的某些信息,如緩存服務(wù)器等,從而為進(jìn)一步的攻擊提供便利;
B、 惡意攻擊者可以通過(guò)TRACE方法進(jìn)行XSS攻擊,盜取會(huì)話cookie、獲取賬戶、模擬其他用戶身份,甚至可以修改網(wǎng)頁(yè)呈現(xiàn)給其他用戶的內(nèi)容,從而給用戶帶來(lái)?yè)p失;
C、 即使網(wǎng)站對(duì)關(guān)鍵頁(yè)面啟用了HttpOnly頭標(biāo)記,禁止腳本讀取cookie信息時(shí),通過(guò)使用Trace方法,惡意攻擊者可以繞過(guò)這個(gè)限制,讀取cookie信息。
7、WEBSHELL
shell是web入侵的腳本攻擊工具。簡(jiǎn)單的說(shuō)來(lái),webshell就是一個(gè)asp或php木馬后門,黑客在入侵了一個(gè)網(wǎng)站后,常常在將這些 asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁(yè)文件混在一起。然后黑客就可以用web的方式,通過(guò)asp或php木馬后門控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數(shù)據(jù)庫(kù)、執(zhí)行任意程序命令等。防范webshell的最有效方法就是:可寫目錄不給執(zhí)行權(quán)限,有執(zhí)行權(quán)限的目錄不給寫權(quán)限。
8、明文密碼傳輸漏洞
在HTTP下密碼是通過(guò)明文傳輸,在系統(tǒng)登錄時(shí),傳輸?shù)拿艽a未進(jìn)行加密,可通過(guò)數(shù)據(jù)包攔截直接獲取。密碼類的重要信息會(huì)很容易被嗅探到,極其不安全。有人提用 MD5 代替明文,但是解決這種傳輸中安全問(wèn)題的終極方案是使用HTTPS協(xié)議加密傳輸。只要在客戶端輸入時(shí)密碼不被竊取,且SSL協(xié)議的私鑰安全,這種協(xié)議就是安全的。
9、JS敏感信息泄露
JavaScript作為一種相當(dāng)簡(jiǎn)單但功能強(qiáng)大的客戶端腳本語(yǔ)言,本質(zhì)是一種解釋型語(yǔ)言。所以,其執(zhí)行原理是邊解釋邊運(yùn)行。上述特性就決定了JavaScript與一些服務(wù)器腳本語(yǔ)言(如ASP、PHP)以及編譯型語(yǔ)言(如C、C++)不同,其源代碼可以輕松被任何人獲取到。一些粗心的開(kāi)發(fā)者將各式敏感信息存儲(chǔ)在JavaScript腳本中,由于JS的特性,攻擊者可以對(duì)這些信息一覽無(wú)余,從而導(dǎo)致對(duì)WEB服務(wù)和用戶隱私造成不同程度的威脅。此類漏洞修復(fù)相對(duì)容易,在明白了JavaScript的特性以后,不把此類敏感信息直接存儲(chǔ)進(jìn)頁(yè)面內(nèi)的js和ajax請(qǐng)求響應(yīng)內(nèi)容中就可以解決這類問(wèn)題。
10、IIS短文件名枚舉漏洞
Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件,即如果創(chuàng)建了一個(gè)長(zhǎng)文件,那么無(wú)需猜解長(zhǎng)文件,直接用短文件就可以下載了。攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名,或?qū)IS服務(wù)器中的。Net Framework進(jìn)行拒絕服務(wù)攻擊。漏洞造成原因:沒(méi)有禁止NTFS8.3格式文件名創(chuàng)建。
11、啟用APSP。NET調(diào)試模式
應(yīng)用程序代碼可能會(huì)包含各種類型的錯(cuò)誤或BUG,通過(guò)調(diào)試將獲取大量網(wǎng)站敏感數(shù)據(jù)。同時(shí)啟用調(diào)試模式將極大地影響 ASP。NET 應(yīng)用程序的性能。應(yīng)在部署發(fā)布版本的應(yīng)用程序或進(jìn)行性能度量之前要禁用調(diào)試模式。
12、系統(tǒng)漏洞
Windows操作系統(tǒng)會(huì)不斷暴露出漏洞并持續(xù)需要修復(fù),系統(tǒng)中存在安全漏洞和質(zhì)量缺陷將會(huì)使系統(tǒng)遭到攻擊。
13、系統(tǒng)安全配置
A、配置管理缺省賬戶以及賬戶錯(cuò)誤鎖定機(jī)制。
B、對(duì)密碼的負(fù)責(zé)度和生存周期、重復(fù)次數(shù)等進(jìn)行配置。
C、設(shè)置遠(yuǎn)程認(rèn)證授權(quán),安裝殺毒軟件并及時(shí)更新。
D、關(guān)閉不必要的服務(wù)端口。
E、關(guān)閉硬盤的默認(rèn)共享。
F、關(guān)閉WINDOWS自動(dòng)播放功能
G、取消不必要的啟動(dòng)項(xiàng)
14、IIS安全配置
A、設(shè)定IIS的IP訪問(wèn)范圍
B、檢查IIS是否已配置SSL身份訪問(wèn)驗(yàn)證
C、更改IIS Web日志默認(rèn)路徑
D、檢查是否已配置錯(cuò)誤頁(yè)面重定向
E、禁止IIS列表顯示文件
