信息安全常見漏洞類型匯總

一、SQL注入漏洞

SQL注入攻擊（SQLInjection），簡稱注入攻擊、SQL注入，被廣泛用于非法獲取網(wǎng)站控制權(quán)，是發(fā)生在應用程序的數(shù)據(jù)庫層上的安全漏洞。在設計程序，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數(shù)據(jù)庫誤認為是正常的SQL指令而運行，從而使數(shù)據(jù)庫受到攻擊，可能導致數(shù)據(jù)被竊取、更改、刪除，以及進一步導致網(wǎng)站被嵌入惡意代碼、被植入后門程序等危害。

通常情況下，SQL注入的位置包括：

（1）表單提交，主要是POST請求，也包括GET請求；

（2）URL參數(shù)提交，主要為GET請求參數(shù)；

（3）Cookie參數(shù)提交；

（4）HTTP請求頭部的一些可修改的值，比如Referer、User_Agent等；

（5）一些邊緣的輸入點，比如.mp3文件的一些文件信息等。

SQL注入的危害不僅體現(xiàn)在數(shù)據(jù)庫層面上，還有可能危及承載數(shù)據(jù)庫的操作系統(tǒng)；如果SQL注入被用來掛馬，還可能用來傳播惡意軟件等，這些危害包括但不局限于：

（1）數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息的泄露。作為數(shù)據(jù)的存儲中心，數(shù)據(jù)庫里往往保存著各類的隱私信息，SQL注入攻擊能導致這些隱私信息透明于攻擊者。

（2）網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改。

（3）網(wǎng)站被掛馬，傳播惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊。

（4）數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務器被攻擊，數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改。

（5）服務器被遠程控制，被安裝后門。經(jīng)由數(shù)據(jù)庫服務器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)。

（6）破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)。

解決SQL注入問題的關鍵是對所有可能來自用戶輸入的數(shù)據(jù)進行嚴格的檢查、對數(shù)據(jù)庫配置使用最小權(quán)限原則。通常使用的方案有：

（1）所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。當前幾乎所有的數(shù)據(jù)庫系統(tǒng)都提供了參數(shù)化SQL語句執(zhí)行接口，使用此接口可以非常有效的防止SQL注入攻擊。

（2）對進入數(shù)據(jù)庫的特殊字符（'"\<>&*;等）進行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。

（3）確認每種數(shù)據(jù)的類型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫中的存儲字段必須對應為int型。

（4）數(shù)據(jù)長度應該嚴格規(guī)定，能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行。

（5）網(wǎng)站每個數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導致一些過濾模型被繞過。

（6）嚴格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。

（7）避免網(wǎng)站顯示SQL錯誤信息，比如類型錯誤、字段不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。

（8）在網(wǎng)站發(fā)布之前建議使用一些專業(yè)的SQL注入檢測工具進行檢測，及時修補這些SQL注入漏洞。

二、跨站腳本漏洞

跨站腳本攻擊（Cross-sitescripting，通常簡稱為XSS）發(fā)生在客戶端，可被用于進行竊取隱私、釣魚欺騙、竊取密碼、傳播惡意代碼等攻擊。

XSS攻擊使用到的技術主要為HTML和Javascript，也包括VBScript和ActionScript等。XSS攻擊對WEB服務器雖無直接危害，但是它借助網(wǎng)站進行傳播，使網(wǎng)站的使用用戶受到攻擊，導致網(wǎng)站用戶帳號被竊取，從而對網(wǎng)站也產(chǎn)生了較嚴重的危害。

XSS類型包括：

（1）非持久型跨站：即反射型跨站腳本漏洞，是目前最普遍的跨站類型。跨站代碼一般存在于鏈接中，請求這樣的鏈接時，跨站代碼經(jīng)過服務端反射回來，這類跨站的代碼不存儲到服務端（比如數(shù)據(jù)庫中）。上面章節(jié)所舉的例子就是這類情況。

（2）持久型跨站：這是危害最直接的跨站類型，跨站代碼存儲于服務端（比如數(shù)據(jù)庫中）。常見情況是某用戶在論壇發(fā)貼，如果論壇沒有過濾用戶輸入的Javascript代碼數(shù)據(jù)，就會導致其他瀏覽此貼的用戶的瀏覽器會執(zhí)行發(fā)貼人所嵌入的Javascript代碼。

（3）DOM跨站（DOMXSS）：是一種發(fā)生在客戶端DOM（DocumentObjectModel文檔對象模型）中的跨站漏洞，很大原因是因為客戶端腳本處理邏輯導致的安全問題。

六、框架釣魚漏洞（框架注入漏洞）

框架注入攻擊是針對InternetExplorer5、InternetExplorer6、與InternetExplorer7攻擊的一種。這種攻擊導致InternetExplorer不檢查結(jié)果框架的目的網(wǎng)站，因而允許任意代碼像Javascript或者VBScript跨框架存取。這種攻擊也發(fā)生在代碼透過多框架注入，肇因于腳本并不確認來自多框架的輸入。這種其他形式的框架注入會影響所有的不確認不受信任輸入的各廠商瀏覽器和腳本。

如果應用程序不要求不同的框架互相通信，就可以通過完全刪除框架名稱、使用匿名框架防止框架注入。但是，因為應用程序通常都要求框架之間相互通信，因此這種方法并不可行。因此，通常使用命名框架，但在每個會話中使用不同的框架，并且使用無法預測的名稱。一種可行的方法是在每個基本的框架名稱后附加用戶的會話令牌，如main_display。

七、文件上傳漏洞

文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴造成的，如果文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，攻擊者可通過Web訪問的目錄上傳任意文件，包括網(wǎng)站后門文件（webshell），進而遠程控制網(wǎng)站服務器。

因此，在開發(fā)網(wǎng)站及應用程序過程中，需嚴格限制和校驗上傳的文件，禁止上傳惡意代碼的文件。同時限制相關目錄的執(zhí)行權(quán)限，防范webshell攻擊。

八、應用程序測試腳本泄露

由于測試腳本對提交的參數(shù)數(shù)據(jù)缺少充分過濾，遠程攻擊者可以利用洞以WEB進程權(quán)限在系統(tǒng)上查看任意文件內(nèi)容。防御此類漏洞通常需嚴格過濾提交的數(shù)據(jù)，有效檢測攻擊。

九、私有IP地址泄露漏洞

IP地址是網(wǎng)絡用戶的重要標示，是攻擊者進行攻擊前需要了解的。獲取的方法較多，攻擊者也會因不同的網(wǎng)絡情況采取不同的方法，如：在局域網(wǎng)內(nèi)使用Ping指令，Ping對方在網(wǎng)絡中的名稱而獲得IP；在Internet上使用IP版的QQ直接顯示。最有效的辦法是截獲并分析對方的網(wǎng)絡數(shù)據(jù)包。攻擊者可以找到并直接通過軟件解析截獲后的數(shù)據(jù)包的IP包頭信息，再根據(jù)這些信息了解具體的IP。

針對最有效的“數(shù)據(jù)包分析方法”而言，就可以安裝能夠自動去掉發(fā)送數(shù)據(jù)包包頭IP信息的一些軟件。不過使用這些軟件有些缺點，譬如：耗費資源嚴重，降低計算機性能；訪問一些論壇或者網(wǎng)站時會受影響；不適合網(wǎng)吧用戶使用等等?，F(xiàn)在的個人用戶采用最普及隱藏IP的方法應該是使用代理，由于使用代理服務器后，“轉(zhuǎn)址服務”會對發(fā)送出去的數(shù)據(jù)包有所修改，致使“數(shù)據(jù)包分析”的方法失效。一些容易泄漏用戶IP的網(wǎng)絡軟件(QQ、MSN、IE等)都支持使用代理方式連接Internet，特別是QQ使用“ezProxy”等代理軟件連接后，IP版的QQ都無法顯示該IP地址。雖然代理可以有效地隱藏用戶IP，但攻擊者亦可以繞過代理，查找到對方的真實IP地址，用戶在何種情況下使用何種方法隱藏IP，也要因情況而論。

十、