（通信與信息系統(tǒng)專業(yè)論文）基于腳本安全的防御技術研究.pdfVIP

杭州電子科技人學碩：t 學位論文 摘要 目前，針對w e b 應用的惡意攻擊行為層出不窮并有愈演愈烈的趨勢。而針對w e b 攻擊的 防御和檢測技術還不夠完善，主要的問題是缺乏針對新型攻擊的檢測和防范、檢測不夠全面、 檢測準確性不高等。因此，研究針對w e b 攻擊的檢測方法和針對新型攻擊手段的防御技術具 有重要意義。 在分析w e b 攻擊和漏洞檢測原理的基礎上，以腳本安全為研究對象，研究w e b 攻擊的最 新防御技術和檢測方法，所作的主要工作和取得的結論如下： 1 介紹w e b 應用攻擊的概念、特點和發(fā)展現(xiàn)狀。詳細分析w e b 安全的攻擊技術和防御 研究現(xiàn)狀，重點剖析s q l 注入、x s s 跨站、c s r f 攻擊和拒絕服務攻擊產(chǎn)生的原因、攻擊方 式及其防御措施。 2 提出一種依據(jù)反向匹配原則和模糊測試的防御拒絕服務攻擊方法。該方法針對較新型 的基于腳本頁面的d o s 攻擊方式一正則表達式拒絕服務攻擊，依據(jù)正則表達式引擎的反向匹 配原則構造隨機的攻擊測試用例，使用模糊測試方法對可疑正則表達式子進行迭代測試，計 算匹配時間來校驗正則表達式子的安全性。測試并分析結果表明，該方法以較低的誤報率和 漏報率校驗正則表達式子的安全性，完成對正則表達式子拒絕服務攻擊的防范。 3 設計基于代理的被動式w e b 漏洞掃描系統(tǒng)。系統(tǒng)使用被動式的掃描方式，基于代理監(jiān) 視客戶端與服務器之間的通信，分析并檢測數(shù)據(jù)包來獲取服務器端的狀態(tài)，設計針對信息泄 露、字符編碼問題、跨域引用、h ”f p 頭部和反射型x s s 等安全問題的檢測模塊，擴展針對 c s r f 漏洞的檢測模塊并介紹核心模塊的每一個子模塊實現(xiàn)細節(jié)，挖掘w e b 系統(tǒng)存在的漏洞。 相比于主動式的掃描方式，被動式的掃描對服務器端的掃描負載相對較小。同時，系統(tǒng)提供 的抽象設計接口提供了良好地功能擴展。測試結果表明該系統(tǒng)以良好的擴展性、可接受的誤 報率和漏報率完成w e b 漏洞的掃描。 關鍵詞：w e b 應用安全，r e d o s 攻擊，模糊測試，代理，漏洞掃描 杭州電子科技大學碩士學位論文 a b s t r a c t r e c e n t l y ，am a s so f n e t w o r ka t t a c k st o w a r dw e b a p p l i c a t i o n sa r ef r e q u e n t l yr e p o r t e da n dt u r n o u tt ob em o r es e r i o u s h o w e v e r ，c o u n t e r m e a s u r e sa g a i n s tm a l i c i o u sa t t a c ka r en o tp e r f e c te n o u g h b e c a u s eo fl o wd e t e c t i o na c c u r a c ya n dal a c ko fd e t e c t i n gn e wt y p eo fw e ba t t a c k s t h e r e f o r e ， r e s e a r c ho nt h ed e t e c t i o nm e t h o da n dc o u n t e r m e a s u r ea g a i n s tn e wv u l n e r a b i l i t ya r eo fg r e a t s i g n i f i c a n c e t h ep a p e rf o c u s e so nt h es c r i p ts e c u r i t y ，d i s c u s s e sw e ba p p l i c a t i o nv u l n e r a b i l i t i e sa n d d e t a i l so fw o r k a r o u n d ，r e s e a r c h e s p r i n c i p l e s a n d k e yt e c h n o l o g i e s o fd e t e c t i n gt h e v u l n e r a b i l i t i e s n e w t y p eo fw 曲v u l n e r a b i l i t ya n di t sd e f e n s i v em e a s u r ea r ea l s oa n a l y z e d t h e m a i nc o n t r i b u t i o na n dc o n c l u s i o na r ed e s c r i b e da sf o l l o w s 1 k i n d so fw e bv u l n e r a b i l i t i e sa r ei n v e s t i g a t e di nd e t a i l ，s u c ha ss q li n j e c t i o n ，x s s v u l n e r a b i l i t y ，c s r fv u l n e r a b i l i t ya n dd e n i a lo fs e r v i c e ，i n c l u d i n gt h e i rc a u s e ，c u r r e n tr e s e a r c h e s a n dc o r r e s p o n d i n gc o u n t e r m e a s u r e s ，e t c 2 ad e t e c tm e c h a n i s ma g a i n s tn e wf o r mo fw e bv u l n e r a b i l i t yi sp r e s e n t e d r e g u l a re x p r e s s d e n i a lo fs e r v i c ei sc o n s i d e r e da so n eo fw 曲a t t a c k sb a s e do ns c r i p tp a g e a t t a c kt e s t i n gc a s e s b a s e do nt h er u l eo f n e g a t i v em a t c hi nn f ae n g i n ea r ec o n s t r u c t e da n df u z zt e s t i n gi si n t r o d u c e dt o c h e c kt h ea v a i l a b i l i t ya n dr e l i a b i l i t yo f r e g u l a re x p r e s s i o nd e p l o y e db yw 曲a p p l i c a t i o n s 1 1 1 er e s u l t s h o w st h a ti ti sa v a i l a b l et oc h e c kt h ee f f i c i e n to fr e g u l a re x p r e s s i o na n dt od e t e c tr e g u l a re x p r e s s d e n i a lo fs e r v i c ew i t ha c c e p t a b l er a t eo ff a l s ea l a r ma n dr a t eo ff a l s en e g a t i v e 3 ap a s s i v ew e bs c a n n i n gt o o lb a s e do np r o x yi sd e s i g n e d i ti sb u i l tt oc a p t u r et h et r a f f i c b e t w e e nb r o w s e ra n dw e bs e r v e rw i t ht h eh e l po f p r o x ya n dt oi n s p e c tt h ep a c k e tt og e tt h es t a t eo f s e r v e ri nap a s s i v ew a ys oa st od e t e c tt h ep o t e n t i a lv u l n e r a b i l i t y s c a n n i n gm o d u l e sa g a i n s tt h e i n f o r m a t i o nd i s c l o s u r e ，c h a r e s t - e n c o d i n g ，c r o s s - d o m a i n ，h 兀ph e a d e ra n dr e f l e c t i v ex s sa r e d e s i g n e da n dam o d u l ea i m i n g a td e t e c t i n gc s r fv u l n e r a b i l i t yi sa d d e d a f t e rt h a t ，t h e i m p l e m e n t a t i o no fe a c hp a r ti nt h ec o r em o d u l ei si n t r o d u c e d c o m p a r e dt ot h ea c t i v eo n e ，t h e s c a n n e rc a u s e sr e l a t i v e l yf e w e rs y s t e ml o a d m e a n w h i l e ，i t p r o v i d e sa b s t r a c td e s i g ni n t e r f a c et o g a i ng o o de x p a n s i b i l i t y t h ee x p e r i m e n t a lr e s u l ts h o w st h a ti ti sa v a i l a b l et od e t e c tk i n g so fw e b v u l n e r a b i l i t i e sw i t hh i g hs c a l a b i l i t ya n da na c c e p t a b l er a t eo ff a l s ea l a r ma n do ff a l s en e g a t i v e k e y w o r d s ：w e b a p p l i c a t i o ns e c u r i t y ，r e g u l a re x p r e s s i o nd e n i a lo f s e r v i c e ，f u z zt e s t i n g ， p r o x y ，v u l n e r a b i l i t ys c a n n i n g h 杭州電子科技大學碩士學位論文 第1 章緒論 隨著社交網(wǎng)站和電子商務的興起，w e b 應用安全得到廣泛的關注。針對w e b 安全的應用 和研究取得了深入的發(fā)展。無論是政府部門、企業(yè)還是其他組織機構，都通過網(wǎng)站建立信息 發(fā)布平臺和業(yè)務應用。因此，網(wǎng)站的安全是信息化建設和運行過程中應充分考慮的問題。 1 1 研究背景 目前，許多網(wǎng)站安全性較低，存在極大的信息安全風險和隱患。2 0 1 1 年3 月入侵c o m o d o 憑證機構的伊朗黑客宣布，其入侵的憑證機構包括d i g i n o t a r 、s t a r t c o m 與g l o b a l s i g n 。2 0 1 0 年4 月，r s a 公司遭到了黑客攻擊，4 0 0 0 萬企業(yè)政府和終端用戶的資料被泄露。而包括蘋果 手機在內(nèi)的智能終端將因為其應用程序的漏洞而遭受黑客攻擊。在2 0 1 1 年4 月份發(fā)生的“索 尼被黑”事件導致黑客從索尼在線p l a y s t a t i o n 網(wǎng)絡中竊取了7 7 0 0 萬客戶的信息，其中就包括 信用卡賬號。這一黑客攻擊事件導致索尼被迫關閉了該服務，其導致的經(jīng)濟損失高達1 7 億 美元。如何防范數(shù)字海嘯的網(wǎng)絡安全方舟已經(jīng)成為各國政府和運營商所頭疼的問題。 目前針對信息系統(tǒng)的的攻擊方法有：拒絕服務攻擊、網(wǎng)頁篡改攻擊、病毒木馬攻擊、網(wǎng) 絡監(jiān)聽攻擊、緩沖區(qū)溢出攻擊、會話劫持攻擊、解碼攻擊等。此外，還有點擊劫持攻擊【l 】， 信息泄露和不恰當?shù)腻e誤處理，不充分的記錄和審計，入侵檢測與響應措施缺乏等。攻擊者 對w e b 應用實施攻擊行為的過程：首先找出w e b 應用系統(tǒng)中存在的漏洞，被稱為信息收集； 然后根據(jù)收集的漏洞信息類型采取有效的攻擊手段實施惡意攻擊；最后分析攻擊的結果，以 獲取想要的權限或者系統(tǒng)信息和數(shù)據(jù)。目前，信息系統(tǒng)的安全問題主要分為幾類： ( 1 ) 服務器的信息( 如口令、密匙等) 被竊取，最終導致攻擊者成功入侵系統(tǒng)。瀏覽器的功 能非常強大并可以以多種形式訪問w e b 數(shù)據(jù)，實現(xiàn)用戶與服務器之間的動態(tài)交互。瀏覽器為 正常用戶提供服務的同時，也為攻擊者提供的一個攻擊窗口。黑客們試圖在內(nèi)部網(wǎng)絡嗅探信 息，竊取數(shù)據(jù)，控制或者破壞計算機資源。 ( 2 ) w e b 服務器的文件或者數(shù)據(jù)被未經(jīng)授權的個人或組織訪問，嚴重損害數(shù)據(jù)的隱私性、 機密性和完整性。出于商業(yè)機密和隱私保護考慮，相關文件數(shù)據(jù)僅對有限范圍內(nèi)的個人或組 織公開。但在i n t e m e t 上保護隱私比現(xiàn)實生活中困難得多。 ( 3 ) 遠程用戶向服務器傳輸信息和交換數(shù)據(jù)的過程，交易( 例如銀行數(shù)據(jù)或信用卡信息) 信 息處理不當導致交易信息被截獲，使得交易雙方的身份被攻擊者冒充并實施非法操作，嚴重 影響網(wǎng)站交易的可靠性和安全性，損害用戶與服務提供商的利益。 ( 4 ) 系統(tǒng)中大量存在的b u g ( 程序缺陷) ，使攻擊者可以對w e b 服務器發(fā)出遠程惡意指令。 這導致黑客對信息系統(tǒng)進行惡意篡改和破壞，通過緩存溢出攻擊等來提升整個系統(tǒng)的權限， 從而控制整個信息系統(tǒng)，也包括無限制地向服務器發(fā)出大量虛假連接惡意指令，以至于服務 器無法對外提供正常的服務，最終導致整個服務器的崩潰。 杭州電子科技大學碩：上學位論文 作為網(wǎng)站的系統(tǒng)管理人員必須充分了解操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)站應用程序和其他客戶端 應用漏洞帶來的威脅，掌握各類安全技術，減少或避免網(wǎng)站的安全性風險。例如，使用應用 層防火墻和數(shù)據(jù)加密技術對w e b 服務器和其數(shù)據(jù)進行保護和加固，增強其自身的防御能力， 減少任何可能的受攻擊面，使不法分子沒有可乘之機。 1 2 課題研究現(xiàn)狀與意義 1 2 1w e b 應用十大安全風險 o w a s p 2 1 ( o p e nw 曲a p p l i c a t i o ns e c u r i t yp r o j e c t ) 作為國際上公認的w 曲應用安全方面的 開放性組織，提出1 0 大w e b 應用程序安全風險和相關的技術研究方案。 第一種是注入漏洞。如果不信任數(shù)據(jù)未經(jīng)驗證和過濾而直接發(fā)送至服務器端執(zhí)行，則會 引起針對后端數(shù)據(jù)庫的s q l 注入、針對服務器的o s 命令注入和針對l d a p 服務的l d a p 命 令注入等。攻擊者提交的惡意數(shù)據(jù)迫使服務器執(zhí)行非本意的命令或者訪問未經(jīng)過授權的數(shù)據(jù) 第二種是跨站漏洞。未經(jīng)合理校驗的用戶數(shù)據(jù)發(fā)送并存儲于w e b 服務器，這將導致x s s 腳本攻擊。x s s 使得攻擊者可以在用戶的瀏覽器上執(zhí)行一些危險的腳本來竊取用戶的私密信 息、破壞客戶端系統(tǒng)或者將用戶定向到第三方惡意網(wǎng)站。 第三種為無效的驗證和會話管理。如果認證和會話管理模塊沒有正確實現(xiàn)，那么攻擊者 可以竊取到用戶的密碼、密鑰、會話令牌等來獲取用戶的身份信息。 第四種是對資源不安全的直接引用。如果w e b 應用程序在未經(jīng)校驗的情況下直接引用系 統(tǒng)的內(nèi)部資源，比如文件，目錄或者數(shù)據(jù)庫，那么黑客將獲得便利途徑。黑客可以修改內(nèi)部 對象的引用來訪問未經(jīng)授權的數(shù)據(jù)。 第五種為跨站請求偽造。c s r f 攻擊是一種針對認證用戶的欺騙攻擊。攻擊者誘騙用戶 往存在c s r f 漏洞的網(wǎng)站發(fā)送一個偽造的請求，而用戶對此卻全然不知。 第六種為錯誤的安全配置。數(shù)據(jù)庫服務器、w e b 服務器、w e b 應用程序和平臺之間需要 合理的安全配置才能保證整個系統(tǒng)的安全運行。某個模塊出現(xiàn)配置缺陷將會影響到其他模塊 的正常運作和安全。 第七種為不安全的加密存儲方式。對于重要的敏感數(shù)據(jù)，比如信用卡號碼、社保號碼、 認證憑據(jù)等，都應進行適當?shù)募用芴幚?，防止攻擊者直接獲取敏感數(shù)據(jù)來偽造用戶的身份或 者進行其他的非法操作。 第八種為未限定對特定u r l 的訪問。用戶在訪問w e b 應用中的鏈接或者其他頁面時， 需要分配不同的權限，否則攻擊者可以訪問一些隱藏的頁面，比如系統(tǒng)后臺頁面。 第九種為脆弱的傳輸層保護。w e b 應用程序沒有進行合理的認證和加密，導致敏感的網(wǎng) 絡通信機密性和完整性受到破壞，比如使用了不安全的加密方式或者無效的證書等。 第十種為未經(jīng)驗證的跳轉和重定向。w e b 應用經(jīng)常將用戶跳轉或者重定向到其他頁面或 者網(wǎng)站。如果沒有對跳轉或者重定向的地址進行校驗，則攻擊者有機會誘騙用戶調轉至釣魚 網(wǎng)站或者惡意網(wǎng)站。 2 杭州電子科技大學碩士學位論文 c w e 3 ( c o m m o nw e a k n e s se n u m e r a t i o n ) 發(fā)布了最危險的2 5 個軟件安全漏洞，其中針對 w e b 安全的漏洞風險和缺陷占據(jù)了一大部分。針對w e b 安全的風險，o w a s p 開發(fā)并維護了 e s a p i t 4 】項目。e s a p i 是一個免費、開源的w e b 應用程序安全控制組件，可以幫助編程人員 開發(fā)低風險應用程序。e s a p i 具有一個安全接口集，并可進行自定義的實現(xiàn)方法。針對越來 越嚴峻的安全形勢，m i c r o s o r 公司設計基于n e t 平臺的安全代碼庫a n t i x s s l 5 j 類庫。 a n t i x s s 類庫主要是用于防御跨站腳本請求攻擊，其防范效果和性能還有待進一步驗證。 1 2 2w 曲安全研究現(xiàn)狀 w e b 安全滲透測試【6 - 9 1 ( p e n e t r a t i o nt e s t ) 是w 曲安全防護技術的一個重要組成部分。不 同于部署于服務器端的安全產(chǎn)品等被動防御措施，它是積極的、主動的安全評估技術。w e b 安全測試就是使用多種工具模擬和使用w e b 應用的過程，包括手動工具和自動化工具。通用 的方式是從攻擊者的角度出發(fā)，模擬攻擊者的攻擊方式，依據(jù)相關安全標準，對目標系統(tǒng)可 能存在的漏洞進行全面的安全檢查，對最終的測試結果進行分析，以便發(fā)現(xiàn)系統(tǒng)存在的漏洞。 安全滲透測試可以分為黑盒測試，白盒測試二種。 黑盒測試把w e b 應用程序看作一個完全對外保密的黑盆子，在不提供任何應用程序的內(nèi) 部結構和部署細節(jié)的情況下，針對w e b 站點的界面和功能進行全面的測試，模擬正常用戶和 黑客的行為對w e b 應用程序進行安全性測試。 白盒測試在了解w e b 工作過程之后，檢查程序源代碼，按預定要求正確工作，通過測試 來檢測程序內(nèi)部動作是否按照要求正常進行。常見的w e b 滲透測試方法主要有以下幾種。 ( 1 ) 搜索引擎技術如百度，g o o g l eh a c k i n g 1 0 1 。通過利用搜索引擎強大的搜索功能，完 成對目標站點的信息搜集。搜索引擎對互聯(lián)網(wǎng)強大的爬蟲功能可以用來對挖掘出目標w e b 站 點的一些隱藏信息。如果站點對相關的數(shù)據(jù)庫、配置文件和敏感文件處理不當，黑客無需其 他的工具操作就能直接獲取到此站點的敏感數(shù)據(jù)，從而造成數(shù)據(jù)的泄露。 ( 2 ) 安全掃描評估技術。安全掃描也稱脆弱性評估，其工作方式為采用一般的黑客攻擊 手法，也就是模擬實際的黑客攻擊，對測試站點可能存在的安全問題進行逐項滲透測試，以 便能夠對w e b 站點的結構和狀態(tài)進行合理地安全評估。漏洞掃描技術依據(jù)使用范圍，可以分 為基于網(wǎng)絡和基于主機的掃描技術。也可以按照掃描過程將安全掃描技術分為四種：p i n g 掃 描技術、端口掃描技術、操作系統(tǒng)探測技術和已知漏洞掃描技術】【1 2 】。按照掃描方式的不同 可以分為基于主動式和基于被動式的掃描技術。通過網(wǎng)絡安全掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)w e b 服務器的各種配置、開放的服務、系統(tǒng)信息和數(shù)據(jù)庫版本等。網(wǎng)絡安全掃描技術采用積極的、 非破壞的方法來檢查系統(tǒng)是否有可能存在已知的漏洞。它利用一系列的腳本來模擬對系統(tǒng)進 行攻擊，并依據(jù)系統(tǒng)返回的信息來判斷系統(tǒng)可能存在的漏洞。這種技術常常用于模擬實驗攻 擊和安全審計。各種掃描工具基本上是基于此原理進行的。 目前的安全防御方法有如下幾種： ( 1 ) 基于主機的防范。針對w e b 安全的防御主要涉及到w e b 服務器端?；诜掌鞯?3 杭州電子科技大學碩士學位論文 防篡改保護【l 孓1 5 】涉及到對w e b 應用程序源文件的保護與防破壞。使用基于文件過濾驅動技術 和事件觸發(fā)技術，將防篡改監(jiān)測的核心程序通過微軟文件底層驅動技術應用到w e b 服務器中， 通過事件觸發(fā)方式進行自動監(jiān)測，對文件夾的所有文件內(nèi)容，對照其底層文件屬性，經(jīng)過內(nèi) 置散列快速算法，實時進行監(jiān)測，若發(fā)現(xiàn)屬性變更，將備份路徑文件夾內(nèi)容拷貝到監(jiān)測文件 夾相應文件位置。 ( 2 ) 防火墻訪問控制。傳統(tǒng)的防火墻作為訪問控制設備，一般工作于o s i 七層協(xié)議的第 三、四層，不能處理8 0 或4 4 3 端口的h t r p 數(shù)據(jù)流量。為了在處理w e b 通信流量上的不足， 安全廠商推出了各自的w a f ( w e b a p p l i c a t i o n sf i r e w o r k ) ，也就是基于w e b 的防火墻。w e b 應 用防火墻是通過執(zhí)行一系列針對h t t p h t t p s 流量的安全策略來專門為w e b 應用提供保護的 一款產(chǎn)品。w a f 一般包括異常檢測協(xié)議、增強的輸入驗證、基于規(guī)則的保護和基于異常的保 護等功能。國內(nèi)比較著名的w a f 產(chǎn)品有綠盟科技的n s f o c u sw a f 、啟明星辰的天清w a g 、 安恒信息的明御w e b 應用防火墻等。 在防范會話劫持攻擊【l 睨2 】方面，將對稱加密算法運用到c o o k e 中，設計一種用戶控制下 的安全c o o k i e 協(xié)議。將一條哈希碼附加于c o o k i e 中來保護會話信息的安全，但是攻擊者依 然能夠截獲到通信過程中的h r r p 頭信息。使用u r l 分段標識符和時間戳技術在每一個請求 中添加秘密會話令牌【1 7 】來保護會話是一種比較好的保護方式。但是該方法要求嚴格的時間同 步，實際部署會存在一定的難度。由一次性密碼發(fā)展而來的一次性c o o k i e 方案【2 3 】基于哈希鏈 和非對稱加密技術，對用戶的會話令牌進行實時的更新，保證每一次的請求和和響應攜帶的 會話令牌是不同而且不可預測和可破解的。每一個會話令牌中都包含一個哈希鏈計數(shù)器，瀏 覽器與服務器都會影響到計數(shù)器的值，每一次的請求與響應，計數(shù)器都會被增加一個單位。 該方法使得攻擊者進行會話劫持和會話重放攻擊的難度加大，能夠很好的保護會話令牌的安 全，但是也存在不少缺點：服務器與客戶端之間需要協(xié)同并進行密鑰協(xié)商；服務器端需要進 行額外的驗證工作，對服務器的性能有影響；客戶端瀏覽器需要添加額外的輔助功能。 在防范s q l t 2 4 - 2 8 】注入方面，基于改進的語法分析來檢測s q l i 攻擊的方法需要根據(jù)s q l 語言來構建s q l 語句的語法樹，通過對比用戶輸入前后的語法樹的結構來判斷是否發(fā)生s q l i 攻擊?；趆 t t p 請求分析來構建h t t p 解析器并動態(tài)處理用戶的請求，h t t p 請求先保存 至當前存貯器，然后由h r r p 解析器解析s q l 查詢語句并提交至s q l i 檢測模塊。檢測模塊 依據(jù)一定的規(guī)則作出判斷。 在腳本攻擊【2 9 】【3 0 】防范方面，研究者從代碼界別入手，在代碼級別加入檢測函數(shù)，挖掘可 能存在的s q l 注入，跨站腳本和命令行攻擊?；诜聪虼砑夹g的w 曲解決方案【3 1 】【3 2 】，在 s s l v p n 設備上的反向代理功能添加新的w 曲安全檢測模塊來防范網(wǎng)絡攻擊。 在w e b 漏洞檢測方面，針對特定的安全漏洞所使用的檢測方法和規(guī)則也不同?；谟邢?狀態(tài)機的的檢測【3 4 】通過分析腳本函數(shù)調用序列來判斷惡意攻擊。將j s 腳本函數(shù)調用序列構成 有限狀態(tài)機來描述程序的行為，有限狀態(tài)機的每一個狀態(tài)記錄著當前程序所處的狀態(tài)并通過 特定函數(shù)調用跳轉至另一個狀態(tài)?；诳蛻舳说膼阂夤舴烙? 6 通過抓取頁面并分析頁面惡 4 杭州電子科技大學碩士學位論文 意代碼特征，設定相關規(guī)則和算法將相關的惡意代碼信息頁面存入數(shù)據(jù)庫完成惡意代碼庫的 收集；基于數(shù)據(jù)挖掘的服務端攻擊檢測【37 】通過分析服務器日志并歸一化處理后建立數(shù)據(jù)挖掘 模型來檢測惡意攻擊行為。一般來說，正常用戶訪問的u r l 和攻擊者使用的u r l 字符串之 間有很大大差別，攻擊字符串會帶有特定的攻擊符號，如n u l l ，i d a ，c m d 等，利用這種 差異就可以鑒別出攻擊u r l 。該數(shù)據(jù)挖掘模型以l e v e n s h t e i nd i s t a n c e 字符串相似系數(shù)算法為 基礎，對用戶訪問的u r l 集進行異常檢測?；诰W(wǎng)絡爬蟲的漏洞挖掘檢測【3 8 枷】對在對w e b 應用程序進行拓撲遍歷和網(wǎng)頁h t m l 源代碼分析的基礎上，以基于x m l 的w e b 應用程序漏 洞特征庫為依據(jù)，對可能的注入點，如動態(tài)u r l 和動態(tài)交互節(jié)點等，構造有針對性的攻擊測 試信息，實施模擬攻擊?；诖淼穆┒词占到y(tǒng)【4 3 】使用客戶端代理獲取瀏覽器與服務器 雙方的通信并發(fā)送包含測試數(shù)據(jù)的請求，根據(jù)服務器應答信息判斷存在的w e b 漏洞。該系統(tǒng) 包含一個檢測的代理服務器和一個收集漏洞的數(shù)據(jù)庫服務器。代理服務器運行著程序分別檢 查反射型x s s 攻擊和存儲型x s s 攻擊。數(shù)據(jù)庫服務器對攻擊行為進行收集。 以上檢測方法并不能徹底地檢測w e b 應用漏洞：數(shù)據(jù)庫收集到的信息也不是完全正確的， 會存在一定程度的警告；針對特定的攻擊比較有效，但檢測其他惡意攻擊的準確性不理想； 缺乏對一些不重要但影響系統(tǒng)安全的漏洞的檢測機制；漏洞檢測系統(tǒng)對客戶端系統(tǒng)性能和服 務器負載需要進一步優(yōu)化；僅限于對已知的安全漏洞的檢測，無法智能的挖掘未知的攻擊， 這是一個難點。 1 2 3 課題研究意義 當前的w e b 應用程序存在普遍的安全問題，數(shù)據(jù)校驗不徹底和數(shù)據(jù)保護不當帶來多種安 全隱患。針對w e b 應用的安全漏洞，一方面在w e b 應用開發(fā)過程中通過提高編碼校驗和過濾 能力來抵御風險，另一方面需要在開發(fā)完成后采取必要的防護措施和評估手段來提高w e b 應 用程序的防御能力。分析基于腳本安全的加固技術和漏洞掃描技術，研究針對新型w e b 攻擊 的檢測和技術防范，針對潛在的w e b 漏洞問題，比如信息泄露問題、字符編碼問題、c s r f 漏洞、x s s 漏洞和拒絕服務攻擊，研究掃描功能更廣泛、掃描誤報率和漏報率更小、更高效 的漏洞挖掘技術，進一步提高w e b 應用程序的防御能力，從而保障w e b 應用系統(tǒng)的可用性、 機密性和完整性。 1 3 論文的主要工作及內(nèi)容安排 論文總結目前的w e b 應用攻擊方式和防御措施，研究針對新型攻擊方式的檢測和防御手 段，探討w e b 應用漏洞的掃描技術研究。完成的工作如下： 1 總結目前針對w e b 應用安全的攻擊類型、方式、防御技術和發(fā)展現(xiàn)狀。重點介紹s q l 注入攻擊、x s s 攻擊、c s r f 攻擊方式和基于腳本頁面的拒絕服務攻擊檢測與防御研究。 2 提出一種依據(jù)反向匹配原則和模糊測試的防御拒絕服務攻擊方法。依據(jù)匹配引擎的反 向匹配原則構造攻擊測試用例并使用模糊測試方法檢測基于正則表達式的拒絕服務攻擊，構 建針對r e d o s 攻擊的檢測模型，測試并分析模糊測試算法的有效性和準確性。 杭州電子科技大學碩士學位論文 3 設計并改進基于代理的被動式w e b 漏洞掃描軟件。軟件采用被動式色掃描方式，分析 代理工具和h t m l 解析器的原理和功能設計，針對信息泄露、h t t p 頭部安全問題、跨域引 用問題、字符編碼問題、x s s 漏洞等安全問題，設計相應的檢測算法，完成針對各個安全問 題的模塊設計。 1 針對c s r f 漏洞，設計一個半自動化的測試模塊。該模塊通過監(jiān)視瀏覽器發(fā)出的請求， 自動構造相應的請求來對服務器進行安全測試，實施c s r f 漏洞測試。 本文共分5 章，結構安排如下： 第1 章敘述w e b 應用攻擊的概念和特點。簡述目前國內(nèi)外針對w e b 安全的攻擊技術和防 御研究現(xiàn)狀。 第2 章闡述針對w e b 應用的安全分析。分析客戶端瀏覽器和服務器端應用的安全攻擊及 防御技術研究。重點分析針對s q l 注入攻擊、x s s 攻擊、c s r f 攻擊的最新防御技術研究。 第3 章介紹正則表達式拒絕服務攻擊的特點、形成原因并提出一種防御防御方法。首先， 介紹基于腳本的拒絕服務攻擊方式：然后依據(jù)正則表達式匹配引擎的反向匹配原則構造隨機 的攻擊測試用例，使用模糊測試方法對正則表達式拒絕服務攻擊進行檢測；最后測試并分析 檢測算法的合理性和準確性。這部分成果己發(fā)表于杭州電子科技大學學報。 第4 章針對信息泄露問題、跨域引用問題、字符編碼問題、h t t p 頭部安全問題、x s s 漏洞和c s r f 漏洞問題，闡述基于代理的被動式w e b 漏洞掃描系統(tǒng)的設計與測試分析。采用 被動式的掃描方式，基于代理監(jiān)視客戶端與服務器之間的通信，分解并檢測數(shù)據(jù)包來獲取服 務器的狀態(tài)，從而挖掘系統(tǒng)存在的潛在漏洞。首先介紹代理工具的和h t m l 解析器的原理和 設計。然后針對以上安全問題設計相應的掃描算法，完成針對各個安全問題的模塊設計。最 后搭建測試環(huán)境，將漏洞掃描系統(tǒng)運用于安全測試中，驗證掃描系統(tǒng)的有效性和檢測效果。 這部分成果已經(jīng)寫成論文形式并發(fā)表于杭州電子科技大學學報。 第5 章為全文的總結并指出研究中的不足和下一步的工作。 6 杭州電子科技大學碩士學位論文 第2 章w e b 應用安全分析 w e b 應用系統(tǒng)包括w e b 服務器和瀏覽器。瀏覽器作為訪問外部資源的接口，提供用戶與 服務器之間的交互功能。w e b 服務器系統(tǒng)處理用戶的請求，將自身的數(shù)據(jù)和資源返回給客戶 端。因此，w e b 應用安全包括兩個層面：客戶端瀏覽器安全和w e b 服務器安全。本章主要介 紹瀏覽器和w e b 服務器的結構、對象和常見安全威脅和漏洞以及防御措施研究。 2 1 瀏覽器端安全威脅 瀏覽器作為b s 系統(tǒng)重要的客戶端應用程序，是用戶與w e b 服務器之間的通信接口，由 于其內(nèi)在的安全問題引起了惡意攻擊者和安全人員的廣泛關注。用戶點擊瀏覽器的交互界面 之后，瀏覽器向w e b 服務器觸發(fā)一個或多個h 下r p 請求，服務器處理用戶的請求并向后臺系 統(tǒng)檢索數(shù)據(jù)之后返回給用戶一張張h t m l 文件、j s 文件和c s s 文件。通用的b s 模式如圖 2 1 所示。 ：1 西磊立f 一一一一一 lr - - - - - 1i x m l 。j s o n 數(shù)據(jù) 圖2 1b s 通信模型 w e b 應 用程序 數(shù)據(jù)庫 文件 系統(tǒng) ii l j 2 1 1 瀏覽器結構與對象 2 1 1 1h t t p 協(xié)議 h t t p 協(xié)議是一個應用層的、無狀態(tài)的、分布式的超文本傳輸協(xié)議。它是請求和解析w e b 通信的核心協(xié)議。h t t p 協(xié)議采用b s 模式，也就是請求響應模型。瀏覽器每向站點發(fā)送一 個請求，請求的方法、查詢參數(shù)、協(xié)議版本、以及請求修飾符、用戶查詢參數(shù)和數(shù)據(jù)的類似 于m i m e 的消息結構封裝于該請求的h r r p 頭部。w e b 服務器返回一個響應狀態(tài)碼，將協(xié)議 版本、服務器狀態(tài)信息、服務器指令設置、實體元信息封裝于響應頭部，用戶查詢的數(shù)據(jù)和 服務器實體內(nèi)容封裝于響應主體。1 日版本的h t t p l 0 只支持短暫的連接。瀏覽器的每一次請 求都需要建立一個t c p 連接，服務器處理完后立即斷開連接，并且服務器不跟蹤也不記錄每 個用戶過去的請求。為了克服h t t p l 0 的缺陷，目前廣泛采用h t t p l 1 版本。h t t p l 1 版本 支持持久連接，在一個t c p 連接上可以傳送多個h 丁r p 請求和響應。此外，h r r p l 1 還提供 與身份認證、狀態(tài)管理和c a c h e 緩存等機制的請求頭和響應頭。h t t p 狀態(tài)碼及其含義如下。： 7 杭州電子科技大學碩士學位論文 l x x ：信息響應類，服務端接收到請求并繼續(xù)處理。 2 x x ：處理成功響應類，客戶端的動作被成功處理。 3 x x ：重定向響應類，需進一步處理的動作。 4 x x ：客戶端錯誤，客戶端的請求包含語法錯誤或無法執(zhí)行。 5 ) 【) 【：服務端錯誤，服務器無法正確執(zhí)行客戶端的請求。 h t r p l 1 定義八種方法( 也叫動作) 表明請求資源的方式。圖2 2 和圖2 3 顯示一次完整 的請求與響應過程。o p t i o n s 返回服務器針對特定資源所支持的h t t p 請求方法。一般通過 向服務器發(fā)送川請求來測試服務器的功能性。h e a d 向服務器獲取與g e t 請求相一致的響應， 只是其響應主體不會被返回。如果某個請求無需獲取整個響應內(nèi)容，可使用h e a d 方法來獲 取包含在響應消息頭中元信息。g e t 向特定的資源發(fā)出請求。一般情況下，直接在w e b 頁面 點擊某個按鈕或者圖片的動作就是一次g e t 方式的請求。p o s t 向指定資源提交數(shù)據(jù)進行處 理( 例如提交表單數(shù)據(jù)或者上傳文件) ，而數(shù)據(jù)被包含在請求體中。p o s t 請求可能會創(chuàng)建新 的資源或者更新現(xiàn)有資源。p u t 向指定資源位置上傳并更新內(nèi)容。d e l e t e 請求服務器刪除 r e q u e s t u r i 所標識的資源。t r a c e 回顯服務器收到的請求，用于測試或診斷。c o n n e c t 是 h t t p 1 1 協(xié)議中預留給能夠將連接改為管道方式的代理服務器。 請求標頭困囂殛囂函藏延圃妥囂l 一一 鍵 值 請求 曼c t j p 敬酢i 3 2 3 6 9 6 7 6 2 7 3 1 t z u i 器咄d 磚8 卿描刪4 蚴醞瓣l 麟7 矧 a c c e p t 螄 r e f e r e r h t t p ：1 2 3 z o g o n 嘞| k c e e p t - l a a z & g e 玉c n l l s e r - k g e a t h e z i l l a ，4 0 ( c o m p a t i b l e ：慨7 t 良t i m o w s n t5 ：0 ：t r i 螂，鉍i $ i f c l ；搬c i 衛(wèi)2 0 a c c e p t , x n c o d i n g弘溉d e q a t e h o s t2 2 d 1 8 1 1 9 1 舛：孵弱 c o n n e c t io n k e e p n i r e 圖2 2h t r p 請求 醫(yī)豆匱囊基匭垂翻響應標頭醫(yī)囊亙蠶蠶醫(yī)荔囂夏隧委薹羹薹囡 鍵值 噙菇，j ：j ；囊。；菱纛戮豢j 戮瀵i ? j ；| i i _ 囊薯一鬻滋謄鬻 | | j i ； | j 薹p l l , 攀：2 0 0 h r r p 1 , ：2 0 0 自o k o ，j ， n 嘲霞 j 鬈j 鬻鍪甏i 荔。 i 萋蔓荔 綴| | 薅? + i _ 1 1 i 童i 萋曩磊毫_ 黧i j i j 蠹警 ，j _ j 童c j o ；n 確t 籬蠢羨l 藏籬j 瑟荔鬻薹霪i i 囊! _ ，l 疊專蔓j 蔫j 簍j 簍，董，ij 薯i m a g e j 。p e g 董z 一- 誓誓1 | a c e e 蕾l ? 愛魯毹g 垂薹碧? 。i 曩耋i 簍 置o i _ j 童毫i 1 _ b y t e s 曩川 z t 蠢一鬣曩善j 。疊| ：j 蔫謄j 篝 。 i7 i 、一 j o “1 1 2 7 1 9 2 7 1 l a s t 。- m o d i 翻：f i ：等dr i j ，囊j 薹鬻；疊 j ? ? 。一 。， s 魯t0 3 3 鋤x 2 0 0 9 4 1 ： c o n t e n t - l e n g t 】 i l i g 熬i 巍。移i7 ，i j o 。i?0 j 蔓鼉t ；電i j i ，蠢蓬；j 差羹j 薹冀囊i 荔翥蠢。 j 。：|m o b ：1 2d e c2 0 1 l - 1 3 ：3 2 ：4 6g m t 。 s e r v e r - 一i i 蠢羹囊麓黧謄? 鬃薹囊? j l i 珠t t p 妙l ，k 1 0 圖2 3h t r p 響應 2 1 1 2 統(tǒng)一資源定位符u r l w e b 應用中的每一個資源都有一個相應的地址，稱為統(tǒng)一資源定位符( u r l ) 。用戶請求 此資源，如果資源可用，則服務器返回該資源。h t r p 的統(tǒng)一資源定位符將從因特網(wǎng)獲取信 杭州電子科技大學碩士學位論文 息的五個基本元素包括在一個簡單的地址中。u r l 的形式為：協(xié)議類型：服務器地址 ：端口 號】路徑【參數(shù)】【? 查詢語句】。 2 1 1 3 文檔對象模型d o m 文檔對象模型( d o c u m e n to b j e c tm o d e l ，簡稱d o m ) ，是w 3 c 組織推薦的處理可擴展置 標語言的標準編程接口。它提供獨立的應用程序接口，任何平臺和語言都可以與d o m 兼容 使用，并可以動態(tài)地訪問應用程序和腳本代碼，修改其數(shù)據(jù)信息、結構和w w w 文檔的樣式 ( h t m l 和x m l 文檔是通過說明部分定義的) 。文檔可以進一步被修改或者更新并將結果直接 添加到當前的頁面。d o m 是一種基于樹的a p i 文檔，它要求處理過程中整個文檔都表示在 存儲器中。d o m 分為h t m l 型和x m l 型兩種。它們分別定義訪問和操作h t m l x m l 文檔 的標準方法，并將對應的文檔呈現(xiàn)為帶有元素、屬性和文本的樹結構( 節(jié)點樹) 。 2 1 1 4 客戶端j a v a s c r i p t j a v a s e r i p t 是i n t e r a c t 上最流行的腳本語言之一，它兼容于所有w e b 瀏覽器版本，能夠增 強用戶與w e b 站點和w e b 應用程序之間的交互。它是一種廣泛應用于客戶端網(wǎng)頁開發(fā)的腳本 語言，用來給h t m l 網(wǎng)頁添加動態(tài)的功能。j a v a s c r i p t 除了用于客戶端的功能，比如客戶端 的數(shù)據(jù)校驗，也可以用于服務器端編程。完整的j a v a s c r i p t 實現(xiàn)包含三個部分：e c m a s c r i p t ， 文檔對象模型( d o c u m e n to b j e c tm o d e l ，d o m ) ，瀏覽器對象模型( b r o w s e ro b j e c tm o d e l ，b o m ) 。 e c m a s c r i p t 描述j a v a s c r i p t 語言的語法和基本對象；d o m 描述處理網(wǎng)頁內(nèi)容的方法和接口； b o m 描述與瀏覽器進行交互的方法和接口。e c m a s c r i p t 僅僅是一個描述，定義腳本語言的 所有屬性、方法和對象。其他語言可以實現(xiàn)e c m a s c r i p t 來作為功能的基準。簡單地說， e c m a s c r i p t 描述了以下內(nèi)容：語法；類型；語句；關鍵字；保留字；運算符對象。d o m 把 整個頁面規(guī)劃成由節(jié)點層級構成的文檔。h t m l 或x m l 頁面的每個部分都是一個節(jié)點的衍 生物。b o m 用于移動窗口、改變狀態(tài)欄中的文本以及執(zhí)行其他與頁面內(nèi)容不直接相關的動作。 它只是j a v a s c r i p t 的一個部分，沒有任何相關的標準。b o m 主要處理瀏覽器窗口和框架，通 常瀏覽器特定的j a v a s c r i p t 擴展都被看做b o m 的一部分。這些擴展包括：彈出新的瀏覽器窗 口；移動、關閉瀏覽器窗口以及調整窗口大j x ；提供w e b 瀏覽器詳細信息的定位對象；提供 用戶屏幕分辨率詳細信息的屏幕對象；對c o o k i e 的支持；i e 擴展b o m ，加入了a c t i v e x o b j e c t 類，可以通過j a v a s c r i p t 實例化a c t i v e x 對象。 2 1 1 5 層疊式樣式表c s s 層疊式樣式表( c a s c a d i n gs t y l es h e e t ，c s s ) ，又稱為“風格樣式表( s t y l es h e e t ) ”，專門 用于w e b 頁面風格設計的。例如，網(wǎng)站為紀念某項活動而在當天將整個網(wǎng)站的頁面背景顏色 設置為某種顏色，這就是一種風格。通過設置樣式表，可以有效地、統(tǒng)一地設定h m t l 頁面 中各標簽的顯示屬性。也就是說，級聯(lián)樣式表可以使網(wǎng)站管理員更有效地控制網(wǎng)頁外觀。使 用級聯(lián)樣式表，可以擴充精確指定網(wǎng)頁元素位置，外觀以及創(chuàng)建特殊效果的能力。c s s 最主 要的目的是將文件的結構( 用h t m l 或其他相關的語言寫的) 與文件的顯示(