精华内容
下载资源
问答
  • WEB应用中的信息泄漏以及攻击方法

    千次阅读 2017-09-20 11:04:00
    本文讲的是WEB应用中的信息泄漏以及攻击方法,下面内容介绍了在web应用程序中的一些信息泄漏问题,当然也会举例分析,介绍如何发现这些信息泄漏。 Banner收集/主动侦查 Banner收集或主动侦察是一种攻击类型,攻击者...
    本文讲的是WEB应用中的信息泄漏以及攻击方法下面内容介绍了在web应用程序中的一些信息泄漏问题,当然也会举例分析,介绍如何发现这些信息泄漏。

    Banner收集/主动侦查

    Banner收集或主动侦察是一种攻击类型,攻击者在此期间向他们的目标系统发送请求,以收集有关它的更多信息。如果系统配置不当,可能会泄漏自己的信息,如服务器版本,PHP或者ASP.NET版本,OpenSSH版本等。

    在大多数情况下,Banner收集并不会涉及关键信息泄漏,不过可以让攻击者收集到开发过程中使用环境版本的信息。例如:如果目标在服务器上面使用的是php旧版本,由于没有更新,所以攻击者可以利用已知的漏洞攻击,也许会出现远程命令执行/代码执行的漏洞。

    Banner信息收集举例:

    Nmap scan report for example.com (x.x.x.x)
    Host is up (0.037s latency).
    Not shown: 999 filtered ports
    PORT STATE SERVICE VERSION
    22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.3 (Ubuntu Linux; protocol 2.0)
    Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

    在上面例子中,我们使用Nmap扫描器对目标进行端口扫描。结果表明目标开启了22端口,并且OpenSSH版本号是5.9p1。也许这个版本就存在可以被攻击者利用的漏洞。

    源码泄漏

    当Web应用程序的后端环境代码暴露给不涉及应用程序开发的用户时,会发生源代码泄露问题。源代码泄露使攻击者能够通过读取代码和检查逻辑缺陷,以及查看硬编码的用户名/密码对或者API密钥来发现这个应用程序的不足以及漏洞。

    漏洞的严重性取决于泄漏源码的多少,以及代码在应用程序中的重要性。总而言之,因为攻击者可以查看源代码,所以很大程度上将渗透测试由黑盒转向白盒。事实上,有很多错误能够导致源码泄漏的漏洞发生,下面这几种错误就包含在其中:

    代码库未受保护

    为了更加方便的管理站点,大多数站点都会把他们源码上传到云端。这些项目有时会管理不当,攻击者能够直接访问网站源码和网站信息。并且,有些公司将他们的开源软件项目放到了github上面,这样公共用户可以对这个项目作出改进。这种情况下,源码已经是公开的,但是这种情况下泄漏公司重要信息已经是很常见了。

    实例:

    有些源码库只允许使用第三方帐号进行登录并且符合身份认证的用户查看源码代码。这些源码库有时候配置错误,没有严格控制查看内容的权限,导致任何人都可以查看源码内容。

    WEB应用中的信息泄漏以及攻击方法

    源代码中存在敏感信息

    另一个例子是当公共代码具有硬编码的敏感信息时,例如用户凭证或API密钥。攻击者可以轻松地使用这些信息来破坏这些服务,或者可以使用合法账户进行登录。在信息披露期间通常泄漏的另一条信息是内部IP地址,允许攻击者识别和了解内部网络拓扑,然后可以将这样的信息用于攻击内部服务中,例如服务器端请求伪造(SSRF)攻击来攻击多个系统。

    MIME类型不正确

    浏览器通过HTTP包头中的Content-Type内容来确定如何解析HTTP服务器响应返回的内容。举个例子,我们想让浏览器将html文件解析,而不是只是纯文本文件。再比如我们想让浏览器下载一个zip,而不是解析这个zip文件。

    如果web服务器的配置错误,那么就会出现这样的错误:当我们访问html时候,Conten-Type会是:text/plain,而不是text/html,并且html文件会以纯文档的形式展现给浏览器。因此</>还有一些其他字符都会在页面上显示出来。下面图片是展示当页面访问时服务器设置的Content-Type响应头。

    WEB应用中的信息泄漏以及攻击方法

    当Web应用程序无法为其中包含源代码的网页发送适当的Content-Type头部时,可能会发生信息泄露问题,并且最终以纯文本形式呈现信息,并披露有关Web应用程序的有价值信息。

    实例

    我们假设一个Web服务器用于运行一个PHP
    Web应用程序,但现在运行一个ASP.NET。以前由旧的Web应用程序使用并具有敏感信息(如MySQL数据库凭据)的PHP脚本正在被用户访问。如果PHP没有在Web服务器上运行和配置,则Content-Type将从HTTP响应中省略,并且PHP脚本将被解释为纯文本或HTML标记,具体取决于Web浏览器,然后就会泄露里面包含的所有信息。

    下面屏幕截图就展示了即使服务器返回头没有设置Content-Type,火狐浏览器还是将php脚本解析成了HTML。我们需要在查看源代码中看到脚本信息。

    WEB应用中的信息泄漏以及攻击方法

    下面截图展示了chrome浏览器直接返回了纯文本的文件,所以我们可以直接看到源码。

    WEB应用中的信息泄漏以及攻击方法

    处理敏感信息不当

    另一种常见的信息泄漏是由硬编码的账户名和密码以及内部ip在代码的注释中泄漏。在大多数情况下,这些敏感信息在访问web页面时会展现出来。这些敏感信息的泄漏也可能会导致web应用程序遭受攻击。攻击者只需要右键页面查看网页源代码,就可以找到这些注释。如果在发现web应用程序存在这种问题,Netsparker将会提醒您。

    缺少认证机制或者认证机制配置不当

    在Web应用程序权限设置不正确,不完整或甚至缺少授权检查可能会允许攻击者访问敏感信息或未授权访问登录用户的信息。这些问题很常见,它们也列在OWASP十大最常见和利用漏洞的列表中。

    示例:https://www.netsparker.com/blog/web-security/missing-function-level-access-control-vulnerability-maian-support-helpdesk/
    一个真实的权限控制不当,导致被拿shell的案例。

    文件名或者文件路径泄漏

    在某些情况下,Web应用程序可以公开文件名或文件路径,从而显示关于底层系统结构的信息。这可能是由于用户输入的不正确处理,后端的异常或Web服务器的不当配置。有时可以在Web应用程序,错误页面,调试信息等的响应中找到或标识这些信息。

    示例:
    攻击者可以通过发送访问请求来检查Web应用程序是否公开任何文件名或路径。例如,当发送以下请求时,Web应用程序返回403(禁止)响应:

    https://www.example.com/%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd

    但是当攻击者发送下面请求时,web应用程序返回404(没有文件)的响应:

    https://www.example.com/%5C../%5C../%5C../%5C../%5C../%5C../etc/doesntexist

    由于第一次请求,攻击者得到了403 Forbidden错误,而对于第二个请求,他得到了404 Not Found,他知道在第一种情况下,该文件存在。因此,攻击者可以利用Web应用程序的行为,了解服务器的结构以及验证系统上是否存在某个文件夹或文件。

    目录遍历

    文件名和路径公开相关的是Web服务器中的目录显示功能。此功能在Web服务器上默认提供。当没有默认网页时,在网站上显示Web服务器显示用户列表中的文件和目录。

    因此,在apahce服务器上面默认文件名为Index.php,当没有上传index.php时,服务器就会将文件夹中的内容全部展示出来。如下图:

    WEB应用中的信息泄漏以及攻击方法

    使用这样一个模块会使服务器产生很大的安全隐患。
    实例:

    现在很多人都知道这样的功能应该被禁用,所以看到它并不常见。虽然我们假设扫描Web服务器的端口后,攻击者发现在8081端口运行的Web服务器的默认启动此功能。
    这样的“默认值”通常被Web服务器管理员忽略,这也意味着它们不太安全。它会允许攻击者浏览目录并访问Web应用程序的源代码,备份和可能的数据库文件。

    防止信息泄漏应该注意的事项

    信息泄漏问题似乎是一件小事情,但对攻击者来说是非常有价值的。它们允许攻击者通过执行基本测试,有时只需在公共页面中查找信息,获得有关攻击目标的非常有用的信息。

    事实上,Netsparker在扫描目标网站时会报告知识库节点中可能的信息披露和其他类似的安全问题。你应该解决这些问题,特别是当你认为它们很容易修复时。以下是遵循的一些指导方针,以便您可以确保您的Web应用程序受到良好保护:

    1. 确保您的Web服务器不发送显示有关后端技术类型或版本信息的响应头。

    2. 确保服务器打开的端口上运行的所有服务都不会显示有关其构建和版本的信息。

    3. 确保所有目录的访问权限正确,保证不会让攻击者访问到你的所有文件。

    4. 不要在代码中将账户密码硬编码进去。也不要在注释中写入相关信息。

    5. 在web服务器中为所有类型的应用程序配置MIME信息

    6. 不需要上传到网站上的敏感信息永远都不要上传

    7. 始终检查每个创建/编辑/查看/删除资源的请求是否具有适当的访问控制,防止越权访问,并确保所有机密信息保密。

    8. 确保您的Web应用程序正确处理用户输入,并且始终为所有不存在/不允许的资源返回通用响应,以便混淆攻击者。

    9. 后端代码应该考虑到所有情况,并且当异常发生时,能够保证信息不被泄漏。

    10. 配置Web服务器以禁止目录遍历,并确保Web应用程序始终显示默认网页。




    原文发布时间为:2017年3月27日
    本文作者:xnianq
    本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
    展开全文
  • 从黑客常用攻击手段看WEB应用防护

    千次阅读 2012-09-21 17:42:37
    目前Web技术在客户和服务端的广泛利用,导致黑客们越来越侵向于使用各种攻击手法来针对Web应用城进行攻击,即绕过了防火墙等常规防护手段,也使得攻击手段更加简便和多样化,令人防不胜防。  黑客们普遍使用Web...

    目前Web技术在客户和服务端的广泛利用,导致黑客们越来越侵向于使用各种攻击手法来针对Web应用城进行攻击,即绕过了防火墙等常规防护手段,也使得攻击手段更加简便和多样化,令人防不胜防。
    
      黑客们普遍使用Web进行攻击的做法是有原因的:
    
      1. 服务器漏洞
    
      由于存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击。
    
      2. Web服务器虚拟托管
    
      同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。
    
      3. 显性/开放式代理
    
      被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人。
    
      4. HTML可以从网页内完全不同的服务器嵌入对象
    
      用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象;广告服务器;恶意软件下载网站;或者被重新导向至恶意软件网站。
    
      5. 普通客户机可能是黑客的试水石
    
      Internet Explorer、Firefox等各种浏览区以及Windows操作系统中包含了很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下。黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码——也称作隐藏式下载。因此他们可能经常变成被黑客控制的傀儡,在访问您网站的同时,给您的Web应用带来风险。
    
      6. 各种移动代码、跨站脚本在网站上被广泛使用
    
      在浏览器中禁用JavaScript、Java applets、.NET应用、Flash或ActiveX似乎是个好主意,因为它们都会在您的计算机上自动执行脚本或代码,但是如果禁用这些功能,很多网站可能无法浏览。这为编码糟糕的Web应用开启了大门,它们接受用户输入并使用Cookies,就像在跨站点脚本(XSS)中一样。在这种情况下,某些需要访问与其他开放页面的数据(Cookies)Web应用会出现混乱。任何接受用户输入的Web应用(博客、Wikis、评论部分)可能会在无意中接受恶意代码,而这些恶意代码可以被返回给其他用户,除非用户的输入被检查确认为恶意代码。
    
      7. 对HTTP和HTTPS的普遍访问
    
      访问互联网必须使用Web,所有计算机都可以通过防火墙访问HTTP和HTTPS(TCP端口80和443)。可以假定所有计算机都能够访问外部网络。很多程序都通过HTTP访问互联网,例如IM和P2P软件。此外,这些被劫持的软件打开了发送僵尸网络命令的通道。
    
      8.在邮件中采用嵌入式HTML
    
      由于SMTP电子邮件网关会在一定程度上限制可以邮件的发送,黑客已经不经常在电子邮件中发送恶意代码。相反,电子邮件中的HTML被用于从Web上获取恶意软件代码,而用户可能根本不知道已经向可以网站发送了请求。
    
      从上面这些黑客常用的攻击方向中我们可以看到,为了避免使我们成为以上这些黑客关注的对象,我们需要一种专门针对Web应用进行全面防护的设备,部署一个立体防护的层次,使其能自动智能化地对黑客的这些攻击手段进行判别和防护。而非使用一个或多个传统的只有固定策略或固定攻击特征库的被动防护网关来解决。
    
      WEB应用防火墙的出现就是为了专门解决这方面难题的,应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象的来说相当于给原网站加上了一个安全的绝缘外壳。
    
      我们就用一款现在业内比较普遍的Barracuda-NC应用防火墙来看,它能对下列一般方法无法检测的Web应用层攻击手段进行有效的防护:
    
      植入恶意脚本
    
      Cookie / Session投毒
    
      Form表单 / 隐藏域修改
    
      缓存溢出
    
      参数篡改
    
      跨站式脚本攻击
    
      强制浏览 / 目录探测
    
      Sql注入 / 命令注入
    
      数据窃取 / 身份窃取
    
      已知漏洞攻击 /Zero Day漏洞攻击
    
      应用程序Dos
    
      在工作时,Barracuda-NC应用防火墙具有基于应用层的检测,同时又拥有基于状态的网络防火墙优势的双重特点,
    
      ·对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限;
    
      ·拥有预期数据的完整知识(Complete Knowledge of expected values)系统,防止各种形式的SQL/命令注入,跨站式脚本攻击;
    
      ·实时策略生成及执行,根据您的应用程序定义相应的保护策略,而不是千篇一律的厂家预定义防攻击策略,无缝的砌合您的应用程序,不会造成任何应用失真。
    
      并且,他能使你的Web应用全面隐身,因为即使黑客再神奇也无法攻击看不见的东西。Barracuda-NC应用防火墙对外部访问网站进行隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见,摸不着,探测不到,自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。
    
      同时,它还能识别各种爬行探测程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过探测确定攻击目标的黑客彻底无门。 


    展开全文
  • web应用安全的威胁类型和应对方案

    千次阅读 2018-08-15 10:49:52
    注入漏洞涉及的内容非常广泛,涵盖了各种语言环境和众多不同的攻击类型,在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标,目前最常见的解决方法还是通过js函数过滤...

    目前的一些主流攻击方式有注入式攻击、跨站脚本攻击、CSRF攻击以及ddos攻击,这几类攻击都已经形成了比较成熟的防御措施。

    注入漏洞涉及的内容非常广泛,涵盖了各种语言环境和众多不同的攻击类型,在实际防护中一般通过验证方式的改良和修复得以实现。跨站攻击的方式是以服务器端应用为主要目标,目前最常见的解决方法还是通过js函数过滤进行防护。应用层ddos攻击是国内非常常见也是最难以防范的攻击手段,其根本原理是通过大批量的发送请求来非法占用服务资源,目前只能通过跨代理查询屏蔽ip的方式进行阻止。

    web应用防火墙构架建议

    由于web应用的特殊性,针对web应用的攻击变形技术很多,单纯的基于特征签名的防御措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要原因。通过固定应对措施或单独使用编码技术进行防护的措施都具有一定的限制性,而防火墙能够同时兼顾两个方面的需求,在涉及中通过预处理模块与检测模块的互为合作可以同时实现上述两个方面的需求。

    web应用防火墙防护功能的实现方案

    1、预处理模块,该模块的主要功能在于编码解码标准的实现和融入,基于SSL协议层实现。SSL协议是安全套阶层协议,其主要功能为认证、加密、完整性验证三个方面。在编码标准化方面,由于web应用的特殊性,支持各种编码,攻击者可以通过各种编码和变换字符集来突破现有的防御措施。

    2、检测功能实现,检测模块在web应用防火墙中承担了安全功能需求导向部分的实现,功能涵盖了过滤器和权限控制两个方面:首先是过滤器,过滤器注重解决的就是web应用中最为严重的用户输入恶意信息的问题,其次是访问控制,web应用站点正常会包含一些不在正常网站数据目录树内的URL链接。WAF可以通过访问控制策略提供细粒度的访问控制列表,阻止这些谅解的非授权访问。

    展开全文
  • 随着互联网的迅速发展与普及,互联网带给网民的服务也越来越方便、快捷,尤其是Web2.0的产生与发展,使得用户在Web应用使用过程中的交互体验越来越完善。而在应用的范围来看,不再仅仅是最初的看新闻、发邮件的简单...

    1 背景简介

    随着互联网的迅速发展与普及,互联网带给网民的服务也越来越方便、快捷,尤其是Web2.0的产生与发展,使得用户在Web应用使用过程中的交互体验越来越完善。而在应用的范围来看,不再仅仅是最初的看新闻、发邮件的简单应用,Web的应用已经渗透到了现代人生活的方方面面:利用搜索引擎查找资料,建立在线健康档案,在线财务咨询管理等等。互联网已经成为大多数社会人存在的重要的空间之一,因此网络安全的防护也变得越来越重要,尤其是使用最广泛的Web应用安全,也越来越受到人们的重视。

    2 安全威胁与传统防护措施

    在互联网与人们生活紧密结合的同时,各类网络攻击事件也不断地发生挑动着人们的神经。RFC2828将网络攻击分为了主动攻击与被动攻击两类,主动攻击是指攻击者对网络活动造成一定影响进而也会影响系统的结果,而被动攻击通常是一种隐秘的行为,其目的不是影响网络而是对敏感数据进行窃取。对于被动攻击,最直接有效的手段就是加密,使得信息的随机不定性增加,最常用的如3DES、AES、RSA等高级加密算法。通过这些算法的使用,攻击者就很难再从捕获的网络数据中解读到敏感的用户信息。

    在Web应用方面,超文本传输协议(Hypertext Transfer Protocol,HTTP)是最主要的应用层协议。但RFC2068对HTTP/1.1的规定是采用明文传输数据,虽然这个规定可以方便信息的传输,但是可以想象的到,明文传输数据造成的安全威胁:窃听者很容易捕获到其他用户的信息。因此,超文本传输安全协议(Hypertext Transfer Protocol Secure,HTTPS)出现并弥补这个安全缺陷。HTTPS协议本身是HTTP协议和安全套阶层(Secure Socket Layer,SSL)或者传输层安全(Transport Layer Secure,TLS)协议的组合体,其实现安全的本质就是对HTTP协议传输的数据进行了加密的处理。所以在Web应用方面防止被动攻击的手段与一般的防止被动攻击的方法是一致的。但是,采用了加密手段并且假设加密算法是安全不可破解的,是否就一定意味着完全阻断了被动攻击的可能性,攻击者一定不能获取到用户的敏感信息?答案是否定的,但是一般的用户很难意识到这一点,甚至在《OWASP Top 10 -2013》的“A6敏感信息泄露”说明中也只是强调了敏感信息泄露的原因通常都是由于没有加密造成的,完全没有提到下面将要介绍的侧信道(Side Channel)攻击,可以在不破解密码的情况下从加密的数据中获得敏感信息。

    3 侧信道(Side Channel)攻击简介

         信息论创始人香农(Shannon)对信息的定义是:“减少随机不定性的东西。”加密的本质也是打破原有的确定性,使得明文数据变为不可解读密文乱码。但是,侧信道的出现,就是越过加密算法增加的随机不定性,从其他的渠道获取数据标签,确定信息内容的。侧信道最早的实践是通过采集加密电子设备在运行过程中的时间消耗、功率消耗或者电磁辐射消耗等边缘信息的差异性进行攻击的手段。而随着研究的深入,也逐渐从加密设备延伸到计算机内部CPU、内存等之间的信息传递等方面,并在Web应用交互信息传递越来越频繁时,延伸到了网络加密数据流的破解方面。

    4侧信道攻击对加密Web应用的威胁

      4.1基本原理

         虽然像3中所介绍的一样,侧信道攻击对数据加密甚至加密Web流量的威胁早就被纳入了信息安全研究的范畴之中了,但是直到2010年,美国印第安纳大学王晓峰教授等人的研究发现侧信道攻击对Web应用的威胁是与生俱来的问题。

         首先思考一下Web应用的特点,一个Web服务通常在一个客户端(Client)和一个服务器端(Server)之间进行,他们之前的请求与应答信息一般是通过互联网进行的,这就会把他们之间的交互数据暴漏给了攻击者。而通过这些数据,攻击者就能够推断出他们的状态转变以及触发这些转换的用户数据。更糟糕的是,在1中提到的Web2.0的发展使得Web应用的交互性能越来越好,尤其像Ajax这类编程技术的出现,能够让用户甚至在文本框中输入一个字母或者从一个选项列表中选择一个选项之后,就从服务器查询做出一个应答,而这些应答信息的熵一般很低,因此很容易通过枚举与对比猜测出用户的输入请求。

      4.2具体实例:一个真实的在线医疗系统

         在线医疗是一个很私人的信息服务系统,它由信誉最好的企业研发,并且在数据传输的过程中采用了HTTPS协议对用户的信息进行了加密传输。一旦登陆,用户可以建立自己的健康档案,包括症状、用药、疗程等内容,甚至还可以寻找医生。在王晓峰教授等人的研究中发现,入侵者可以完全可以推断出一个用户服用的药物,疗程以及他寻找的医生的类型。

     

         如上图所示,是该医疗系统的添加病例的页面。此时用户所选择的是症状标签,用户可以在这个界面中键入自己的症状,在键入的过程中,系统会帮助用户弹出一个小的提示窗口。对于其他的用药、疗程等标签,输入的状态也是一样的。

         而这标签栏的设计,就已经会泄露用户当前填写记录的类型信息了,因为点击每个标签,就会产生一个Web数据流向量:(1515±1 ->, 266±1 ->, <- 583±1, <- x),这里x的值分别是4855,30154, 20567, 1773, 2757和2299,代表着症状(Conditions),用药(Medications),过敏(Allergies),疗程(Procedures),测试结果(Test Result)和免疫接种(Immunizations)(其中±代表着不同用户操作时产生的流量大小的差异)。

         当用户键入信息时,提示列表就会在输入框的下面出现。这个输入框大约有十条记录,会对键入的内容及时的更新。如上图所示的提示列表是键入“ac”后的结果。可怕的是,这个自动提示会引发对用户信息的灾难性的泄露,因为攻击者可以通过匹配提示信息响应包的大小推断出用户输入的内容。更明确的,每个击键都会产生如下的Web数据流向量:(253±1 ->,<- 581,<- x),x能够精确地指示出提示列表的大小,并且对于所有的用户来说都是一样的。

         王晓峰教授等随后收集了在症状记录填写时,英文中的所有26个字母在作为第一个字母之后的x值,在[273,519]之间。除了字母“h”和“m”对应的x值相同外,其他的均不相同。但是随后他们证实了,当输入的字母增加时,就可以消除类似上面“h”和“m”的歧义,进而推测出用户的输入,也就获得到用户十分敏感的医疗隐私数据了。

     4.3 问题的普遍性

         除了4.2中介绍的在线医疗系统之外,王晓峰教授等的研究还证实了美国的几家知名的在线税务系统、投资系统以及Google、Yahoo、Bing等知名的搜索引擎系统也都存在着同样的问题。而且除了根据数据包的大小标签外,还可以采用时间等标签作为信息识别的属性。

    5. 防范方法

         针对4.2样例中根据数据包大小不同的攻击手段,最简单有效地手段就是对应答的数据包进行填充处理,可以参考两种填充的思想。一种是将数据包填充到最接近的Det大小的整数倍,另一种方法是填充增加(0,Det)大小。但是这样的填充,还是可以根据接收到的数据包的大小推断出输入内容的集合,当差异度增大时或许依旧可以推断出用户输入的内容。更加有效安全的做法,就是根据具体的Web应用的特点分析可能造成的侧信道攻击的潜在威胁加以防范了。

    6. 参考文献

    (1)吴家顺,俞研,2013 “Website指纹识别攻击与防护技术研究”.

    (2)S. Chen, R. Wang, X. Wang and K. Zhang,2010 “Side-Channel Leaks in Web Applications: a Reality Today, a ChallengeTomorrow”.

    (3)K. Zhang, Z. Li, R. Wang, X. Wang and S.Chen, 2010 “Sidebuster: Automated Detection and Quantification of Side-ChannelLeaks in Web Application Development”. 

    (4)OWASP,“OWASP Top10 -2013,The Ten Most Critical Web Application SecurityRisks”

    展开全文
  • 使用grep分析web攻击日志

    千次阅读 2020-07-10 09:11:33
    当企业发生web应用发生网络异常、可能存在web攻击的时候,需要排查分析web服务器和相关web日志,确认web应用是否被黑客攻击了,攻击类型有哪些类型、攻击IP是多少、是否可能被植入webshell、甚至控制系统等一系列...
  • 现在再给大家介绍一款GUI版WEB安全工具,W3AF是一个web应用安全的攻击、审计平台,通过增加插件来对功能进行扩展,这是一款用python写的工具,支持GUI,也支持命令行模式。 W3AF目前已经集成了非常多的安全审计及...
  • 采用Serverless架构搭建Web应用

    千次阅读 2017-08-04 16:38:14
    本文会向你介绍一种新的可能,一种无服务器的方案来搭建Web应用。使用这个方案大部分运维方面的问题就不需要你自己操心了,而且也省去运行服务器的费用。本文从无服务的优势与限制两方面带您初识Serverless设计。  ...
  • 主要针对 HTTP 访问的 Web 程序保护,部署在 Web 应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求...
  • web应用安全网关

    2019-10-25 09:48:28
    2.Web应用程序漏洞的存在更加普遍,随着Web应用技术的深入普及,Web应用程序漏洞发掘和攻击速度越来越块,基于Web漏洞的攻击更容易被利用。 web攻击手段 1.篡改Web系统数据 2.窃取用户信息 WEB安全问题产生原因 1....
  • 一、背景通俗地讲,任何一个的机器学习问题都可以等价于一个寻找合适变换函数的问题。例如语音识别,就是在求取合适的变换函数,将输入的一维时序语音信号变换到语义空间;...在web应用攻击检测的发展历史
  • 新型Web攻击技术——Web缓存欺骗

    千次阅读 2017-03-03 13:57:25
    新型Web攻击技术——Web缓存欺骗
  • 5.Intruder(入侵)——一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。 6.Repeater(中继器)——一个靠手动操作来触发单独的HTTP ...
  • 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,...SQL 注入攻击是一个常规性的攻击
  • Web前端攻击方式及防御措施

    千次阅读 2017-02-28 21:27:38
    恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1、Reflected XSS 基于反射的XSS攻击,主要依靠站点服务端返回脚本,在...
  • web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为on。当web应用form表单中的密码类型为input标签,autocomplete属性为on时,用户若提交了一个新的...
  • php常见的web攻击

    千次阅读 2018-05-15 09:46:02
    一、SQL注入攻击(SQL Injection)攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL...某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名...
  • 自从XP年代开始windows自带防火墙后,传统的缓冲器溢出等攻击失去了原有威力,黑客们也把更多的目光放在了WEB方面,直到进入WEB2.0后,WEB的安全从WEB后端延伸到Web前端,WEB的安全形势也将越来越严峻。 下图体现了...
  • Web 攻击剖析

    千次阅读 2009-03-10 09:04:00
    Web 攻击剖析 了解最常见的攻击类型文档选项打印本页将此页作为电子邮件发送英文原文级别: 中级Sean-Phil
  • Web应用框架汇总

    千次阅读 2018-03-05 14:23:17
    类型有基于请求的和基于组件的两种框架,Web应用框架有助于减轻网页开发时共通性活动的工作负荷,例如许多框架提供数据库访问接口、标准样板以及会话管理等,可提升代码的可再用性。PHPZend ...
  • 常见的六种web攻击

    千次阅读 2019-09-05 15:26:49
    常见的六种web攻击 一、XSS XSS(跨脚本攻击):指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击,即恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该...
  • Web应用安全防护

    千次阅读 2017-08-04 13:55:05
    该文档基于MatriXay和Acunetix等安全测试工具的测试报告,根据漏洞的类型,提供相应的解决办法。
  • 常见的Web攻击.md

    千次阅读 多人点赞 2020-05-06 21:52:16
    1.ZIP炸弹 zip炸弹就是一个高压缩比的zip文件,它本身可能只有几M或几十M的大小,但是解压缩之后会产生巨大的数据量,会解压到几十G的大小甚至更...但如果服务器没有验证数据类型,直接接受任何数据时,攻击者可以会将
  • web攻击详解

    千次阅读 2017-03-03 20:15:17
    转载自贤生博客 » Web常见几种攻击与预防方式 DoS和DDoS攻击 DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS...
  • 图解HTTP十一:Web攻击技术

    千次阅读 2020-06-15 17:39:58
    结果,安全等级并不完备,可仍在运作的 Web 应用背后却隐藏着各种容易被攻击者滥用的安全漏洞的 Bug。 11.1.2 在客户端即可篡改请求 在 Web 应用中,从浏览器那接收到的 HTTP 请求的全部内容,都可以在客
  • Java web应用中的安全问题整理

    千次阅读 2017-09-10 09:19:13
    近来,自己开发的Java Web应用中存在一些安全漏洞,被迫要求关注这些安全隐患、并加固。那么本文就顺便整理一下Java Web开发过程中容易忽略的几个安全问题吧,这些问题都能搜到,并且加固方式也不复杂。初学者或者对...
  • web安全测试之 xss攻击

    万次阅读 2019-04-19 15:49:06
    web安全测试之 xss攻击 软件测试资源分享| 免费软件测试资料一、 背景知识1、 什么是 XSS 攻击?XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 故...
  • web应用安全相关

    千次阅读 2015-12-22 17:20:12
    1、XSS(反射、持久型) 2、注入攻击(sql、OS) 3、CSRF 4、其他(Error code 、html注释、文件上传) 5、web应用防火墙
  • 威胁建模 Web 应用程序

    千次阅读 2014-10-29 16:35:40
    威胁建模 Web 应用程序 本指南包含以下模块: • Web 应用程序威胁模型一览 • How To:在设计时为 Web 应用程序创建威胁模型 • 备忘单:Web 应用程序安全框架 • 演练...
  • 飞塔Web应用防火墙-FortiWeb

    千次阅读 2017-09-14 17:37:40
    使用Azure是一个快速,...Web应用安全服务根据最新的应用程序漏洞,机器人,可疑的URL和数据模式,和专门的启发式引擎检测恶意来源,通过FortiGuard实验室使用安全特征更新保证Web应用的安全及DoS攻击的威胁,和零日攻击
  • 本人算是一个小白,做过几个小的web网站,现在有个课题要做基于.NET下的web应用防火墙,并将它作为防火墙挡在自己开发的网站前面,想问问各路大神,整个web应用防火墙的设计流程是怎样的?就是说一下大概的步骤,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 83,064
精华内容 33,225
关键字:

web应用攻击类型