Chinadu`s Blog

Test sites / testing grounds

SPI Dynamics (live) – http://zero.webappsecurity.com/
Cenzic (live) – http://crackme.cenzic.com/
Watchfire (live) – http://demo.testfire.net/
Acunetix (live) – http://testphp.acunetix.com/ http://testasp.acunetix.com http://testaspnet.acunetix.com
WebMaven / Buggy Bank – http://www.mavensecurity.com/webmaven
Foundstone SASS tools – http://www.foundstone.com/us/resources-free-tools.asp
Updated HackmeBank – http://www.o2-ounceopen.com/technical-info/2008/12/8/updated-version-of-hacmebank.html
OWASP WebGoat – http://www.owasp.org/index.php/OWASP_WebGoat_Project
OWASP SiteGenerator – http://www.owasp.org/index.php/Owasp_SiteGenerator
Stanford SecuriBench – http://suif.stanford.edu/~livshits/securibench/
SecuriBench Micro – http://suif.stanford.edu/~livshits/work/securibench-micro/

 

HTTP proxying / editing

WebScarab – http://www.owasp.org/index.php/Category:OWASP_WebScarab_Project
Burp – http://www.portswigger.net/
Paros – http://www.parosproxy.org/
Fiddler – http://www.fiddlertool.com/
Web Proxy Editor – http://www.microsoft.com/mspress/companion/0-7356-2187-X/
Pantera – http://www.owasp.org/index.php/Category:OWASP_Pantera_Web_Assessment_Studio_Project
Suru – http://www.sensepost.com/research/suru/
httpedit (curses-based) – http://www.neutralbit.com/en/rd/httpedit/
Charles – http://www.xk72.com/charles/
Odysseus – http://www.bindshell.net/tools/odysseus
Burp, Paros, and WebScarab for Mac OS X – http://www.corsaire.com/downloads/
Web-application scanning tool from `Network Security Tools’/O’Reilly – http://examples.oreilly.com/networkst/
JS Commander – http://jscmd.rubyforge.org/
Ratproxy – http://code.google.com/p/ratproxy/

阅读全文...

四问“云安全”

在本次采访中令人振奋的另一大热点，就是各家安全厂商都在或多或少地将最新的云计算模型引入到Web安全技术之中，并构建了完善的云安全方案。

在云安全方面投入力量最早的是趋势科技，他们早在两年前就开始针对云安全进行研究，并且在全球部署了34000台云端服务器，同时与顶级域名管理机构合作，在DNS中增加参数，进行全球域安全解析。无疑，所有的努力都是为了尽可能全面地应对Web安全的挑战。

趋势科技资深技术顾问徐学龙在接受本报独家专访时表示，云计算是一个数据处理的概念，在处理海量数据的时候的模型，大量集群服务器收集信息，给出结果。这种模式是一种模型，安全厂商利用这种模型推出来的服务，就是云安全方案。

他说：“云安全可以从整个互联网上收集源信息，判断用户的互联网搜索、访问、应用的对象是不是恶意信息。这种模式与病毒代码的比对不同，病毒代码是用特征码进行识别，而云安全根据信息的位置来判断，根据URL地址这一段的风险程度来判断。要知道，传统的病毒代码分析依靠大量人工，而云安全则利用历史的观点不停地对互联网进行分析，通过将URL划分为50多种属性，安全统计的准确性、动态性会非常好，第一次的安全事件命中率可以达到99%，只要全球范围内有1%的用户提交需求给云端服务器，15分钟之后全球的云安全库就会进行策略控制。目前云安全的分析方法是根据信息所在地址的多种属性来分析，通过长期跟踪，几乎没有误报。”

长远来看，针对Web安全中比较头疼的病毒、木马、间谍软件、恶意软件与恶意站点攻击，采用云安全技术确实可以有效阻止此类威胁的蔓延。据统计，目前全球的病毒代码约为100万个，并且在不断增长，这就造成病毒代码比对的难度越来越高。在记者看来，云安全的出发点则是阻止整个互联网中的“威胁块”，这里说的“威胁块”不仅仅是指某个网站，有时候就是一个网页中的一小部分。

云安全是一个技术，不是单一的产品。云安全技术是第一道防线，用户可以选择对访问目标（下载的文件）进行病毒代码扫描，并且与云端服务器进行安全回馈。对企业用户来说，具体的回馈敏感度管理员可以根据使用情况来调整。

最后，徐学龙给记者列出了一套完整的云安全方案需要的组件：Web信誉服务、邮件信誉服务、文件信誉服务。

中国工商银行总行的IT负责人介绍，他们近期已经为全行采购了趋势科技的Web安全网关IWSA，出发点就是看中了其中集成的相关信誉服务体系。随着Web病毒越来越多，Web信誉的价值越发明显。而文件信誉服务则是追踪整个互联网上文件的信誉，跟踪文件的生命周期。包括本地U盘拷贝等，通过MD5算出的32位值比对云端的恶意文件匹配，从而确保了文件安全与防泄漏。

另外，Blue Coat资深技术经理毛骏也向记者表示：“为了获得更加完整的安全效果，公司推出基于分层理念的Web安全防御体系。其中包括了云计算层和网关层两大部分。云计算层提供基于全球的网站分类、样本收集与策略分发，而网关层涵盖了基本内容过滤、Web防病毒、用户行为管理、数据防泄露四部分。两大部分相互结合，组成全面、准确、及时的Web安全方案。”

其实，相对于大而全的云安全方案，还有一些在Web安全网关中应用了云安全模型的技术值得关注。

比较有代表性一类包括Blue Coat的Web Pluse网络脉冲技术、Wedge Networks的Trusted Cloud Forest云信任森林技术，他们的共同之处都是将技术嵌入到自家的Web安全网关之中，并且利用在互联网上部署的上万台设备，采集上百万客户端的样本，并且由统一的中心进行分析，全球每天15亿次的各种请求最终形成自身的安全策略进行下发。

另一类则是以Secure Computing的TrustedSource和Websense的ThreatSeeker为代表的信誉体系技术。他们的共同点都是利用云计算的特征，在全球范围内部署设备收集信息，同时进行关联分析，甚至利用蜜罐、网格计算技术为安全规则库更新信息。这种精细化的策略，能够更精准的进行控制，并且减少设备管理上的负担。
 

三问“新型Web安全网关”

由于发现了Web安全对于企业用户的重要性，同时也由于传统的安全技术对此束手无策，新型的Web安全网关被推到了当前安全话题的中央。

传统的Web安全网关诞生于2006年，经过两年的市场磨合，感觉存在四方面的不足：第一，性能跟不上；第二，功能与检测准确度不够；第三，部署比较复杂；第四，维护难度较高。为此，当前主流安全厂商在大量应用新技术的条件下，推出了“新一代”Web安全网关。细心的读者可能发现，参与本次专题的都是外资安全厂商。确实，在占领技术的制高点上，外资公司又走到了Web安全的“风口浪尖”。

对此，张鸿文博士对记者表示，目前恶意Web攻击在全球范围内呈指数形式增长，对抗类似威胁的有效方法之一，就是和每一个Web安全方面的领导厂商建立强有力的合作伙伴关系。以Wedge Networks为例，我们一直在推动NDP网络数据处理平台，并且在其中应用了Subsonic次声技术。这种技术目前在北美的大型企业网关、服务器池、以及IDC中心颇为流行，它可以让Web安全网关在一个高负载的网络中从容提供实时的七层深度内容检测。Subsonic技术在算法上取得了突破，不仅性能可以满足繁忙网络的需求，而且可以基于特征码和模式识别进行安全检测，配合NDP开放的服务总线架构与高级的网络协议堆栈，确保一个Web安全网关可以整合更多不同安全厂商（如更专业的反病毒、反恶意软件厂商）的技术与算法。

对于很多用户关心Web安全防御中的性能损耗问题，他说：“我同意并且理解这些用户担心什么。我们的渠道已经告诉我们在处理Web安全方面，维持一个可以接受的性能会有多么重要。事实上，自从2003年以来，随着单核CPU的时钟频率趋于稳定，每年网络带宽的需求都会增加四倍。作为企业的CTO，我发现任何架构想要跨越这个性能鸿沟都不得不采用多CPU和多核系统。幸运的是，Subsonic技术可以利用行为模式原理去管理大量并发会话，从而在多核环境中大量提高性能。”

另外，李松对于Web内容的深度检测也非常看重。他说：“当前防御来自HTTP的威胁已经成为安全网关的首要问题之一。而大量存在漏洞的Web服务器更是随时可能被攻击并被利用来传播或发布恶意软件。网站内容的可变性决定了只有进行内容检查才能得到最可靠的结果。而HTTP访问对于即时性有很高的要求，传统基于X86架构的安全设备在性能处理上存在瓶颈，面对应用层安全设备的高性能需求，利用ASIC芯片扫描技术可以对Web内容进行流畅的扫描。Anchiva目前采用ASIC芯片来进行病毒扫描，加上自主研发的性能优化操作系统，单台设备可以做到千兆级别的线速吞吐。”

在多核的应用上，王钟也非常积极，不过他对实时的内容检测技术有所担心。他说：“针对基于Web的安全威胁，我跟踪了相当长的时间，这方面国外厂商积累了较为资深的经验，从实践来看，效果还不错。针对网页内容引发的Web风险，我更青睐基于URL的网页过滤，以及基于应用协议分析的管控手段。因为安全检测到了内容级，都会消耗较多的系统资源。所以大家才会有这样一个共识，事先对Web内容做安全性检测，提供出对应的URL列表。但这种技术对相应的安全数据库有较高的要求，必须做到经常更新，确保控制的有效性。其实，任何安全防范手段都有其时效性的问题。考虑到开启深度内容检测功能带来的性能下降问题，多数厂商选择放弃，而只提供了入口级的控制手段。如果厂商能解决好处理性能问题，比如将多核处理器支持运用的如火纯青，会为用户提供更为稳固的安全防范手段。”

在功能的全面性与性能的平衡上，Secure Computing的做法比较独特。有意思的是，这家公司本月初刚刚被IDC认定为“全球Web安全产品和解决方案领域市场份额第一，居于市场领导者地位。”

ecure Computing中国区总裁蔡勇先生向记者表示，Web安全需要全方位的技术方案，包含了从防火墙、Web控制、邮件安全的各个层面。因此对于安全问题，并非某个独立的应用，而是需要在各种不同层次的安全设备中，提供对混合威胁（blended threat）的防护。

他说：“安全做到现在的阶段，我越来越感到安全本身的复杂与庞大。如果要做到全面的安全，单靠某一点的努力已经远远不够了。比如我们一直在推动全球最大和历史最久的信誉系统TrustedSource，目的就是希望通过对不同国家、多种应用的分析----包括对IP地址、域名、邮件、图片、URL等多种对象的数据关联分析，提供最全面、准确和实时的信誉评估，从而最大程度地保护用户的网络和应用。当然，这仅仅是基础，一个优秀的Web安全网关，还需要对SSL扫描进行支持，因为当前隐藏在SSL流量中的恶意软件不胜枚举----全面就不能忽视安全的细节。”

针对当前用户比较头疼的HTTP防御和Web服务器漏洞保护问题，他提出了五点建议：第一，HTTP防御中最困难和最复杂的是解决应用层面的攻击，例如SQL注入、特殊编码、恶意变换URL等；第二，Secure Computing的Sidewinder防火墙通过采用应用代理技术，可以从根本上确定安全防御的模型，确保应用协议的规范性，以及应用的可控性，从而为应用的安全控制提供了管理的可能；第三，利用高效IPS引擎对已经过规范性审核的HTTP流量进行特征检查，可以即时发现恶意攻击；第四，通过Sidewinder中的GeoLocator功能，可以针对不同地域来源的访问设定不通的安全防护级别，优化系统资源与效能；第五，TrustedSource信誉体系提供的信誉评估数据，可以使得安全设备识别出访问的意图，从网络的边缘拒绝掉恶意的僵尸主机攻击，提高正常访问的比率，在提高了安全性的同时节省了带宽。

另外，针对新型Web安全网关的部署模式问题，Websense中国区技术经理刘沛旻向记者透露，目前主流的Web安全防御方案，主要采用的是旁路监听方式和结合网关设备的方式。如果是采用旁路监听的方式，可以通过复制出口流量来进行内容分析，只有在发现异常数据时才会通过相关组件发送阻断指令，阻断不良、恶意连接，这样的方式是完全不会造成任何网络延迟的。结合网关设备的方式则利用网关设备和Web安全防御方案联动的方式进行，客户的请求将由网关设备转交给Web安全防御产品处理，再决定用户的请求是否被允许，这样的工作方式的确可能造成一定的互联网访问的延迟，但是因为目前主流的Web安全防御方案还是主要采用URL匹配的方式来发现恶意的网站，而不是本地分析整个网页的内容，因此，匹配过滤的速度还是相当快速的。

另外，他也建议，如果用户采用网关设备结合部署，可以采用Proxy设备及硬件缓存设备来进行结合，因为这类网关设备可提供本地的缓存能力，可以为用户提供更快速的内容缓存和页面内容过滤的缓存。 
 

二问“Web安全形势”

之所以当前Web安全成为热门话题，关键还是因为国内外Web安全大环境不容乐观。根据趋势科技刚刚发布的《2008年上半年安全威胁报告》的统计，目前针对Web应用的威胁正以爆炸式的速度增长，全球范围内企业与终端用户面临的风险已经到了非常严重的地步。

对此，Wedge Networks全球CTO张鸿文博士介绍，无论是美国还是中国，随着“社会网络、Web2.0、SaaS”的兴起，网络本身已经成为社会生活的一部分。在这种环境下，与传统的病毒制造不同，当前各种木马程序、间谍软件、恶意软件等以利益驱动的攻击手段越来越多。事实上，随着当前Web应用开发越来越复杂与迅速，攻击者可以很容易地通过各种漏洞实施诸如：注入攻击、跨站脚本攻击、以及不安全的直接对象关联攻击，从而进一步通过各种隐蔽的技术手段盗窃企业机密、用户隐私、信用卡账号、游戏账号密码等能够轻易转化成利益所得的信息。另外，通过木马、漏洞控制海量的普通用户主机组成僵尸网络，利用这些“肉鸡”，控制者可以通过多种方式获取利益，比如发起攻击、点击广告、增加流量等行为。

“从实际的经验看，在一个典型的Web服务架构中，很有可能发生某些攻击行为从Web层面渗透到企业的控制与数据层面，从而引起更大范围的灾难。其实不论是攻击Web站点还是Web服务，恶意Web站点总是能够快速建立起来，并在搜索引擎的推动下袭击无辜的用户。”

从Wedge Networks全球合作伙伴反馈的信息来看，美国、日本、韩国、英国的企业用户对于Web攻击以及Web应用的脆弱性都有较为充分的了解。在此基础上，那些国家中一些垂直行业与机构，比如公共安全、金融、医疗、交通、能源等企业，对于Web安全保护的技术关注与投入都非常高。
然而遗憾的是，记者在国内进行的统计结果并不乐观。有调查显示，超过70%的被调查用户不清楚Web安全的威胁形势与防御手段，其中将近六成用户都没有编列相关安全预算。令人担心的是，很多企业对此出现了认识误区，他们认为通过防火墙或者IDS/IPS设备就可以确保Web安全。更有甚者，在某些国内厂商的“误导”下，一些用户将Web安全等同于系统漏洞/脆弱性扫描。

实际情况是可悲的。根据趋势科技发布的统计数字，从今年二季度开始，国内就有超过1万个大型网站遭受“注入攻击”，这些攻击者的动机几乎都是恶意软件植入、名誉损害、以及数据窃取。

记者清楚的记得，有用户这样抱怨：“我们重视Web安全造成的损失，但是我不清楚，这部分预算究竟应该分配给谁：是分配给负责网络基础设施的管理团队，还是分配给管理Web服务器和数据库服务器的团队？”无疑，Web安全的挑战被演绎到了技术、应用与企业管理水平的层次上。

问题已经很清楚了，当前针对Web应用的威胁，企业用户当前的防范措施还远远不够。对此张鸿文博士曾一针见血地指出：“当前国内企业已有的大部分安全设备都是基于TCP/IP协议的三、四层防范，而针对Web应用的威胁是基于协议的七层攻击（应用层攻击），从技术角度来看，传统防火墙、IDS等设备针对应用层的攻击几乎是没有防御效果的。”

一直以来，针对Web安全保护的技术层出不穷，当前此类技术流派已经分成两大类：第一类以新型的Web安全网关为基础，第二类以最新的云安全技术为基础，两种技术一度出现了互相渗透与融合的局面。对用户而言，无论采用哪种技术，最关键的还是安全效果的体验。

为了能够更加清晰地指导用户进行Web安全技术选型，本报特别邀请了Anchiva、Blue Coat、Hillstone、Secure Computing、Websense、Wedge Networks、趋势科技的安全技术专家，共同对当前热门的Web安全技术进行分析。

一问：“定义与共识”

者在筹备这次大型专题的过程中，最为兴奋的一件事情，就是当前业内主流安全厂商经过多年的反复争论，终于在Web安全上达成了共识，统一了Web安全的定义。这的确是一件不容易的事情，要知道不同的厂商侧重点不同----URL过滤的、Http过滤的、防病毒的、反垃圾邮件的、Proxy的、端口镜像的等等----大相径庭的方案很可能导致用户对整个Web安全领域的困惑，非常不利于整个产业的成长。

针对Web安全，当前业内的一致看法是，统一的定义不能从厂商的技术上去下，而是要与用户需求的紧迫程度挂钩。

从这个角度上分析，Web安全分成两类应用模式：一类是针对病毒、木马、间谍软件、恶意软件的威胁；另一类着眼于规范用户行为，比如用URL过滤某些站点、员工上班时间上网控制、对用户应用协议的控制、对IM应用的记录与过滤、对P2P软件的管理与控制、对企业内部的带宽管理等。

需要注意的是，两种应用模式并非孤立存在，彼此间是有交叉的。据Anchiva中国区总经理李松介绍，根据经验，一套完整的Web安全方案，至少需要两个部分：一台针对TCP/IP协议二、三、四层应用的安全防御设备（比如防火墙、入侵检测、UTM），之后串接一台针对七层内容的安全防御设备，以便解决病毒、IM、P2P、网络游戏、垃圾邮件、内容审计等应用。

持类似看法的，还有中国民用航空管理局的一位安全管理员。他说：“到目前为止，我所了解的不少同类用户对于Web安全仍然无法形成最优的配置或共识，但我们有一个最基本的思路，即一套完整的IPS系统+Web安全网关相配合，至少能够满足相当多的内部员工对于Web安全的需求。”

说到应用，Hillstone首席软件架构师王钟在接受本报独家专访时表示，针对企业的攻击总是跟随着应用而来，越来越多的企业应用构建在互联网之上，而用户在互联网上的活动也是越来越频繁和难以控制。无论是正常的企业应用还是企业员工的个人上网行为，都会成为Web攻击的对象。从目前来看，多年的积累，使得企业具备一定的网络攻击防御能力，而针对新出现的Web活动引发的安全威胁，企业需要根据自身的特点，增强相应的防范手段。

企业及其雇员越来越依赖于互联网，不管是在家里、在路途中、在办公室中都是如此。这种依赖性在与多种最新的Web威胁结合之后，将会使企业比以往更加脆弱，更容易遭受攻击。近半年来的Web攻击都有一个鲜明的特点，在无需用户干预的情况下，这些威胁就可以进入网络，严重威胁着企业的数据安全、工作效率，直至企业的最终利益。

而且，由于Web内容和形式的多样性，其威胁的花样也是不断翻新。比方说，前些日子使得许多网站深受其害的SQL注入式攻击就采用了不同于以往的手段。前几天利用Flash player漏洞的攻击，也体现出这种威胁形式的变化性和无常性。面对新的威胁，加强防御是唯一的制胜之道。

Web威胁的种类

此处谈的种类虽不能代表全部全部，至少代表了最为严重的一些Web威胁。现在的黑客日益聪明，他们认识到通过互联网络搞点“外快”要远比炫耀自己的本领更加实惠。

前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”，都有黑客们的手脚在里面，他们往往用一些令人感兴趣的东西来吸引受害者，所谓愿者上钩。孰不知，这些表面的东西往往包含着恶意软件，甚至rootkit程序。根据赛门铁克的调查，以下这些可谓最具危险性的Web威胁：

可信任站点的漏洞：我们都有这样的看法，大的知名网站是相对安全的。黑客们也知道这一点，他们会想方设法修改这些网站的网页，将用户的浏览器重新导向到其精心打造的恶意站点，这个恶意站点看起来还是是非常可信的。但在用户向其中输入个人信息时，它们“统吃”。“吃”了你的还不算，还要在你的系统上种上点东西(如间谍软件等)，或者破坏你的邮件地址簿，肆意传播垃圾邮件等。

浏览器和浏览器插件的漏洞：前几天我们看到一些安全专家建议不要使用IE浏览器。其实其它的浏览器也并非无懈可击，只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器，攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上，或者将用户指引到一个恶意站点。

终端用户：许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。

可移动的存储设备：由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用，恶意软件也可以轻易地从外部的设备传输到网络系统中。此外，插到iPod中的插件也可以成为窃取系统数据的重要媒介。

网络钓鱼：前面笔者在谈到Web的新威胁时谈到，网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装，在电子邮件中诱骗消费者输入其个人机密信息。

僵尸网络：攻击者通过隐藏的程序控制大量的计算机系统并执行多任务，如发送垃圾邮件和发动拒绝服务攻击等。

键盘记录程序：黑客在用户的系统上安装可以记录用户击键的程序，并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。

多重攻击：黑客使出“组合拳”，即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。

此外，攻击者还可以通过间谍软件窃取个人的机密信息，并能够通过垃圾邮件传播病毒、间谍软件、木马等。

以上这些威胁并不代表全部，现在的web威胁日益体现出综合化，并向纵深发展。以前攻击者主要利用操作系统漏洞，现在对应用软件的漏洞越来越感兴趣；以前的SQL攻击可以检测，现在却越来越难；以前黑客们控制一两台计算机，现在可以通过一个网站攻击其它网站，并感染用户，进而构建僵尸网络，借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性和多重性，不要依赖单纯的一种技术，有了UTM并不意味着万事大吉。为此笔者提供以下防护Web威胁的方法：

阻止对恶意服务器的访问

企业应建立恶意站点的清单，借助防火墙、UTM等设备，在桌面用户试图打开已知的恶意服务器的网页时，立即阻止这种企图。这样做不但有助于安全，还可以节省大量的带宽和网络资源。

仅允许对可信任站点的移动代码的访问

所谓移动代码是一段计算机程序，能够在计算机或网络之间传播，在未经授权的情况下，它可以修改计算机系统。如ActiveX，Java Scripts，Rootkit等都属于移动代码。虽然移动代码使得web更加生动活泼、富有活力，但它也为攻击者提供了深透进入桌面计算机的便利，

网关扫描

任何时候都不要假定用户一定拥有最新的反病毒定义，并运行着防火墙等软件，也不要认为正在访问的计算机都受到了良好的管理。企业可以在威胁进入网络之前，通过网关集中扫描恶意代码从而轻易地控制所有进入的Web通信。

依靠不同厂商的软硬件实施桌面和Web网关的扫描

不要一棵树上吊死。因为现代的攻击在发布之前都针对某些流行的反病毒机制进行了测试。企业应当通过恶意代码扫描工具的多样性来加强对威胁的检查和阻击能力。

经常更新桌面和服务器的补丁

这样做的原因是经常有新的漏洞出现。且不说零日漏洞，只要我们认识到多数的攻击都是通过利用未打补丁的应用程序和系统来传播的，那么也就会自觉的经常为系统打补丁。

桌面要安装反病毒程序并保持最新

企业要告诫用户不要认为安装反病毒程序会影响性能而禁用之。一台没有安装反病毒程序并能够保持升级的电脑不应当连接到互联网和企业内部网，也不应当访问光盘和移动存储设备。

仅准许访问通过所有浏览器检查的HTTPS网站

多数用户并不理解三个SSL浏览器检查的意义，也不能理解为什么不能访问没有通过全部三个检查的站点。SSL检查是指证书与所请求的URL之间的到期证书、不可信任的发行者、主机不匹配三个方面。

仅从可信任的网站下载可执行程序

许多用户都有这样的体验，在安装某个下载的工具时，它要求访问网络。而这种访问对普通而言，首先是不必要，因为我们仅需要其当前功能；二是风险很大，因为普通用户并不清楚访问网络程序的具体行为，而且也无法保障所访问的网络真正安全。而且，现在许多恶意软件都是将自己与一个冒似“忠良”的程序结合起来发布。这种程序在执行时，其中的恶意软件就会为所欲为。

不要访问以IP地址作为服务器的网站

近来的一些攻击更多地利用了安装有简单Web服务器功能的、受到损害的家用计算机。一些受害者多是通过IP地址被指引到家用电脑，而不是域名。实际上，真正合法的网站都会在URL中采用主机名。

仔细键入网站的URL，避免输入错误

任何一个正常的用户都不会愿意访问一个恶意的站点，但为什么还是屡屡中招
呢？对一些知名的网站的域名输入错误会将用户带到一些早就潜伏在那里等待用户上钩的网站。此外，如果用户的浏览器并没有打上最新的补丁，也有可能被偷渡式下载(drive-by download)安装恶意软件。

结束语

以上这些防御手段可以看出，多数措施需要企业的雇员或用户的配合。因为正是他们是网络链条中最薄弱的环节。所以对雇员等加强安全教育的力度和广度，强化用户的安全意识，提高全体工作人员的防范意识才能真正地对付各种不断变化的威胁。

随着中国信息化建设的高速发展，中国已经发展成全球第二大的互联网用户，也带来了互联网网站的高速发展。当前的互联网网站已经成为信息传播、流通、交换及存储的重要手段。政府部门的信息化建设，使得电子政务的加速增长，越来越多的传统办公业务转变成依懒互联网的网站业务。企业的B2B、B2C业务的发展更多地依靠于网站业务的正常运行。各大商业银行为了方便业务的开展，依懒于网站提供更多的在线服务方式。随着网站与网页数的与日俱增，信息安全问题变得更为严峻。由于互联网网站处于全天候的开放状态，而承载网站的应用程序具有自身无法完全克服的漏洞问题，这就为黑客的入侵提供了可乘之机。

互联网网站与网页存在一些安全问题，比如网站服务器易出现的以下问题：

◆网站脚本程序的安全问题检测，如网站的默认数据库，默认管理帐号（admin，root，manager等）；

◆网站程序设计存在的安全问题检测，网站程序设计者在编写时，对相关的安全问题没有做适当的处理，如SQL注入，上传漏洞，脚本跨站执行等；

◆服务器配置不当，安全策略设置存在缺陷，可导致产品被入侵的问题检测；

◆应用服务权限设置导致系统被入侵的问题检测；

◆系统和服务的补丁未升级导致系统可被入侵的安全检测等。

利用网站的安全漏洞，尤其是Web应用程序漏洞：如SQL 注入等，黑客能够得到 Web 服务器的控制权限，随意篡改网页内容或窃取重要内部数据，更为严重的则是在网页中植入恶意代码，通过“网页挂马”感染更多的客户端用户。通过这一行为，黑客可以控制网站的访问者甚至包括网站本单位的人员的计算机，从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。由于网页木马制作的简单性和网络漏洞存在的必然性，通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。2007年微软系统的安全漏洞，以及各种应用软件存在安全漏洞，如MS06014安全漏洞、MS07004安全漏洞、Open9.0-9.2安全漏洞、PPS安全漏洞、Web迅雷安全漏洞、Ani指针安全漏洞、暴风播放器安全漏洞、JetAudio 7.x安全漏洞、百度插件安全漏洞、PPlive安全漏洞、雅虎安全漏洞、MS07055安全漏洞、迅雷5安全漏洞、超星的安全漏洞等安全漏洞问题。各种漏洞生成的相应的漏洞利用网马并进行挂马，使得网页挂马事件得到快速的发展。

网络信息化建设的不断发展、核心应用业务迅速网络化以及互联网用户的飞速增长，我们面临的安全威胁也日益增多和复杂。根据CNCERT的最新统计数据，2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个，同比增长1.5倍；其中政府网站（.gov.cn）被篡改3407个，占大陆被篡改网站的7%。CNCERT统计显示，大陆地区约有4.3万个IP地址主机被植入木马，约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。

国内被篡改的网站为政府、学校、信息综合门户、知名企业等影响力高、受众面广的网站，而一些中小企业的网站更是易被侵入篡改。网站被篡改带来的不良影响，不仅仅是单位组织的形象和声誉遭到破坏，而且会直接影响以网站运营为主的业务，带来一定的经济上的损失。如何保护网站的安全性，是众多网站管理员及单位组织关注的事情。除了网络管理员提供日常管理维护，还需要专业的安全人员对网站及相关服务器的安全性进行检测。

网站是否存在Web 应用程序漏洞，往往是被入侵后才能察觉；而网站是否已经被挂马，通常是在被访问者投诉或被监管部门查处才能察觉，但这个时候损失已经发生；如何在攻击发动之前主动发现Web应用程序漏洞以及网站在挂马发生之后迅速获悉，已成为构筑Web安全的上上策。目前解决这一问题的通常方式就是网站的运维管理人员购买专业的Web扫描工具，同时学习专业的安全知识，并对网站进行常规扫描、高频度检测，但专业的扫描工具往往不能解决木马问题，并且开销巨大，同时面对Web网站复杂的安全需求，也有自身的一些局限性。那么，能否设计一种具有这种功能的产品或服务，既能够预先扫描Web系统，防患于未然，又能够发现已经存在的网页木马，从而提醒网站管理者进行相应的应急处理呢？

来源：安全焦点
作者：7all (sgh81_at_163.com)

WEB漏洞挖掘技术

|=---------------=[ WEB漏洞挖掘技术 ]=-----------------------------=|
|=-----------------------------------------------------------------=|
|=---------------=[ 7all<7all7_at_163.com> ]=----------------------=|
|=-----------------------------------------------------------------=|
|=---------------=[ bbs.cciss.cn ]=--------------------------------=|

--]前言
漏洞挖掘技术一直是网络攻击者最感兴趣的问题,漏洞挖掘的范围也在随着技术的
提升而有所变化.在前期针对缓冲区溢出 格式化字符串 堆溢出 lib库溢出等技术都
是针对ELF文件(Linux可执行文件)或者PE文件(Win可执行文件)的漏洞挖掘技术.
在针对ELF文件 PE文件(*.exe与*.dll)的漏洞挖掘过程中,出现了很多的漏洞挖掘
技术,但是针对PE文件 ELF文件的漏洞挖掘始终停留在了黑盒测试(包括单元黑盒测试)
源代码审计等办法.通过RATS等源代码审计软件可以找到部分源代码级别的漏洞信息,
但是毕竟源代码审计软件寻找的多数为strcpy memcpy等存在缓冲区溢出遗患的C函数,
所以通过审计源代码的办法来进行漏洞挖掘是一个可能性系数很小的漏洞挖掘技术,而
针对软件的黑盒子测试虽然也能找到一些软件的漏洞,但可能性系数也会较小,在国外
的一些进行漏洞挖掘的办法已经慢慢的提升为自己写黑盒子测试代码,然后针对系统或
软件的某个功能模块进行模块化的漏洞挖掘技术.例如Linux内核的很多漏洞都是通过
fuzzing技术找到的,fuzzing即模糊测试的意思,大家可以理解为类似SQL盲注入类型的
攻击技术.
网络安全的界限在不断的提升,目前缓冲区溢出漏洞已经如MS SQL注入般的被很多人
堵死,而在进行网络入侵渗透的过程中,很多人渗透成功的着力点都是通过WEB开始的,
当然有些人是通过MS SQL注入,有些人通过其它的WEB漏洞技术一步步的走到了入侵成功
的步骤.我们下面将会讨论一些WEB漏洞挖掘的简单技术,通过这些简单技术的规则,然后
配合经验的提高,大家或许会得到意想不到的效果.
阅读全文...