一臺(tái)Web應(yīng)用服務(wù)器開放到公網(wǎng)上�,幾分鐘之內(nèi),就會(huì)產(chǎn)生訪問流量���。如果該服務(wù)器開放的端口是常見的443或者80�,被發(fā)現(xiàn)的速度更快�����,被探測的頻率也會(huì)非常頻繁。這些掃描和探測服務(wù)器的流量中�,絕大部分都是由自動(dòng)化的工具生成的。
被自動(dòng)化工具掃描����、監(jiān)控和攻擊是Web應(yīng)用開放到互聯(lián)網(wǎng)上需要面對(duì)的最常見的問題。
Web應(yīng)用自動(dòng)化探測
互聯(lián)網(wǎng)的核心在于連接��,基礎(chǔ)在于數(shù)以億萬級(jí)的機(jī)器設(shè)備��。面對(duì)如此龐大的設(shè)備資產(chǎn)���,黑客單純利用手工測試的方式����,無法高效完成探測和攻擊行為����,所以利用工具實(shí)現(xiàn)自動(dòng)化的掃描和攻擊是達(dá)到快速提高攻擊效率的必由之路。
常見的Web應(yīng)用的自動(dòng)化探測類型有目錄掃描��、文件掃描����、接口探測和應(yīng)用識(shí)別等���。
2.1 目錄掃描
目錄掃描���,也常叫做目錄爆破�����,是一種基于目錄字典對(duì)目標(biāo)的網(wǎng)站目錄進(jìn)行訪問嘗試的方法�。目錄掃描的目的主要有查找目標(biāo)站點(diǎn)的后臺(tái)管理地址�、確定某些組件是否使用和探索網(wǎng)站的整體結(jié)構(gòu)等。
有很多目錄掃描工具且這些工具的獲取比較容易���,如DirBuster���、御劍、BBScan等���,它們的基本功能相差不大�,如自帶字典及支持自定義字典����、遞歸掃描�、狀態(tài)碼過濾�、多Payload及自定義User-Agent等。
目錄掃描的判斷依據(jù)����,主要是基于服務(wù)端HTTP響應(yīng)里Status,通常200代表存在�����,404代表不存在���。
2.2 文件掃描
Web服務(wù)器管理員常常會(huì)對(duì)服務(wù)器上的重要文件或目錄進(jìn)行壓縮備份����,避免重要文件的丟失����。如果文件目錄或備份文件管理不規(guī)范,這些重要文件或目錄可能會(huì)被未授權(quán)訪問��,甚至造成敏感文件及信息泄露�����。
對(duì)文件進(jìn)行掃描,常見的目標(biāo)包括.ZIP類備份文件�、.SVN類的隱藏文件和安裝后的遺留文件等。
2.3 接口探測
通過對(duì)目標(biāo)主機(jī)的端口進(jìn)行探測���,了解目標(biāo)服務(wù)器開放的端口情況���,便于對(duì)目標(biāo)主機(jī)開放端口上的服務(wù)�����,再次進(jìn)行漏洞利用���。網(wǎng)絡(luò)上接口探測的頻率非常頻繁�,相關(guān)的接口探測技術(shù)也非常成熟��,當(dāng)前已有不少工具可以實(shí)現(xiàn)接口探測�����,如Nmap和MassCAN��,支持多種端口探測模式�����,并且能夠快速對(duì)大量的目標(biāo)和端口進(jìn)行掃描。
2.4 應(yīng)用識(shí)別
網(wǎng)絡(luò)上對(duì)外提供Web服務(wù)的服務(wù)器所面對(duì)的威脅流量粗略可分為兩類�����,一類是對(duì)整個(gè)網(wǎng)絡(luò)邊界資產(chǎn)的盲掃����,將某漏洞的利用報(bào)文發(fā)送到不同的網(wǎng)絡(luò)目標(biāo),至于是否打中誰���,主要看天意�����。另一類是有針對(duì)性的攻擊流量���,針對(duì)某服務(wù)器上不同的端口和不同的服務(wù),發(fā)送特定的攻擊報(bào)文�����,如對(duì)MySQL服務(wù)進(jìn)行弱口令爆破嘗試���,就會(huì)在精準(zhǔn)識(shí)別MySQL服務(wù)器之后��,在進(jìn)行弱口令嘗試�����。
對(duì)于Web應(yīng)用��,很多服務(wù)將自己部署于非80和非443端口����,逃避外部對(duì)其Web服務(wù)的發(fā)現(xiàn)�,實(shí)現(xiàn)簡單的服務(wù)隱藏。
在識(shí)別端口上運(yùn)行著Web應(yīng)用之后�����,攻擊方會(huì)嘗試對(duì)Web應(yīng)用做進(jìn)一步的識(shí)別�����,如判斷目標(biāo)應(yīng)用采用的是哪種語言開放����、使用的中間件架構(gòu)和后端數(shù)據(jù)庫等等�����。
Web應(yīng)用自動(dòng)化攻擊
常見的針對(duì)Web應(yīng)用的攻擊方式包括SQL注入�、對(duì)Web中間件的漏洞利用和對(duì)Web內(nèi)容中敏感數(shù)據(jù)進(jìn)行批量爬取等�����,都可以利用程序代碼實(shí)現(xiàn)自動(dòng)化的攻擊流程�����。很多攻擊者將對(duì)漏洞點(diǎn)的探測和利用程序自動(dòng)執(zhí)行����,不需要人去介入,大幅度提升了攻擊的速度和能力�����。
3.1 SQL注入
SQL注入攻擊利用Web服務(wù)端的漏洞�����,在HTTP(S)請(qǐng)求字符串中加入SQL語句,以訪問目標(biāo)的后端數(shù)據(jù)���。目前很多工具會(huì)自動(dòng)爬取目標(biāo)站點(diǎn)的內(nèi)容����,提取API�����,在各個(gè)位置上自動(dòng)注入�����,模糊測試可能存在的注入點(diǎn)�。
3.2 Web中間件及依賴項(xiàng)的漏洞利用
很多Web中間件和依賴項(xiàng)存在安全問題,可被黑客遠(yuǎn)程利用����,如FastJson和XStream���。以FastJson為例�,通過API接口��,以POST方式往目標(biāo)服務(wù)器傳送特定構(gòu)造的Json格式Payload,以此嘗試觸發(fā)目標(biāo)的反序列化問題��。
3.3 敏感接口數(shù)據(jù)爬取
業(yè)務(wù)的某些API接口響應(yīng)內(nèi)容里�����,泄露了用戶敏感數(shù)據(jù)�����,是Web服務(wù)端面臨的常見問題����。對(duì)于大型網(wǎng)站而言,其存量的API接口數(shù)量眾多���,增量的API接口不斷增多���,這種情況下的數(shù)據(jù)外泄風(fēng)險(xiǎn)會(huì)一直持續(xù)。
相較于常規(guī)Web攻擊��,爬蟲流量隱藏在正常業(yè)務(wù)流量里��,不易被發(fā)現(xiàn)�,對(duì)包含敏感數(shù)據(jù)接口的訪問���,不會(huì)有明顯的攻擊特征。
自動(dòng)化掃描與攻擊的防護(hù)
4.1 傳統(tǒng)防護(hù)方式
傳統(tǒng)的Web應(yīng)用防護(hù)方式���,按照防護(hù)位置�����,大略可分為隱藏�����、訪問限制和檢測與攔截�����。
(1)隱藏策略用于應(yīng)對(duì)常見端口和常見目錄的自動(dòng)化掃描��。一些比較關(guān)鍵或者敏感的Web服務(wù)���,會(huì)將自身部署在非常規(guī)的80或443端口上��,減少被端口掃描到的概率����。并將應(yīng)用的訪問入口��,部署在不易猜解的目錄下�。這樣保證了業(yè)務(wù)不被輕易發(fā)現(xiàn)���,也就降低了業(yè)務(wù)敏感數(shù)據(jù)被爬取和泄露的風(fēng)險(xiǎn)���。
(2)訪問控制策略只允許指定來源的對(duì)象可訪問,將訪問來源收束到一個(gè)很小的范圍�,很大程度上減少Web應(yīng)用面對(duì)的威脅范圍。業(yè)務(wù)應(yīng)用服務(wù)器無法訪問���,自動(dòng)化掃描和自動(dòng)化的攻擊流量也就沒有了用武之地��。這種策略需要依據(jù)業(yè)務(wù)的安全需求決定����,一旦某業(yè)務(wù)應(yīng)用服務(wù)器在商業(yè)模式角度的考量之下必須對(duì)所有公網(wǎng)用戶開放����,該策略就完全失效。
3)對(duì)于惡意的訪問請(qǐng)求�,可以在將請(qǐng)求發(fā)往后端服務(wù)器之前����,通過對(duì)流量內(nèi)容進(jìn)行分析����、檢測和攔截攻擊請(qǐng)求。
上述第(1)種和第(2)種方式實(shí)現(xiàn)的成本很小����。與(1)和(2)的實(shí)施難易程度比較,第(3)種策略實(shí)現(xiàn)對(duì)Web請(qǐng)求進(jìn)行攔截和請(qǐng)求����,需要很高的技術(shù)要求和持續(xù)不斷的運(yùn)營能力和成本。WAF是這種方式的具體實(shí)現(xiàn)形式�,通過WAF在邊界上,對(duì)用戶側(cè)的Web請(qǐng)求進(jìn)行檢測和攔截���,是目前很多企業(yè)的標(biāo)配��。
4.2 傳統(tǒng)防護(hù)方式的不足
上述傳統(tǒng)的Web應(yīng)用防護(hù)方式����,依然不能有效解決來自互聯(lián)網(wǎng)側(cè)持續(xù)不斷的自動(dòng)化攻擊威脅���。
以WAF為例�,目前主流的WAF����,大多是以“規(guī)則”的方式,檢測和攔截不同的請(qǐng)求�。對(duì)WAF規(guī)則的繞過和對(duì)新攻擊方式的檢測,是攻防雙方持續(xù)對(duì)抗的一個(gè)過程���。部分WAF嘗試通過語法和語義分析的方式�����,解析請(qǐng)求����,查找攻擊請(qǐng)求���,這種方式有利用防守方脫離對(duì)具體規(guī)則的維護(hù)����,但無法避免被繞過���,畢竟語言太靈活�,語義解析無法完全覆蓋所有可能的情況。
對(duì)于API的安全�����,目前已有不少廠家具有對(duì)應(yīng)的防護(hù)解決方案��,如全知科技��、永安和阿里云等等��,F(xiàn)有防護(hù)解決方案主要實(shí)現(xiàn)對(duì)Web業(yè)務(wù)的全流量分析���,如分析業(yè)務(wù)流量中的響應(yīng)報(bào)文內(nèi)容��、持續(xù)梳理API資產(chǎn)和檢測是否有數(shù)據(jù)泄露的情況存在等等��。
圖4-2 API通用安全解決方案架構(gòu)
這類的防護(hù)解決方案有助于了解自身的API資產(chǎn)情況和數(shù)據(jù)風(fēng)險(xiǎn)情況��,并可對(duì)數(shù)據(jù)外泄事件進(jìn)行溯源��,但這需要覆蓋所有業(yè)務(wù)流量和場景�,然而在當(dāng)下大型企業(yè)業(yè)務(wù)分散的場景下,難以實(shí)現(xiàn)完全覆蓋�����,原因在于系統(tǒng)部署結(jié)構(gòu)復(fù)雜且系統(tǒng)的輸出�����,如敏感接口的發(fā)現(xiàn)和訪問需要持續(xù)不斷的運(yùn)營��。
4.3 Web應(yīng)用隔離防護(hù)
4.3.1 Web應(yīng)用隔離防護(hù)架構(gòu)
當(dāng)前Web應(yīng)用面臨的自動(dòng)化掃描與攻擊�,鈦星數(shù)安提出了區(qū)別于傳統(tǒng)的安全防護(hù)方式——鈦星Web應(yīng)用隔離系統(tǒng)��。該系統(tǒng)將用戶與實(shí)際的Web應(yīng)用服務(wù)器進(jìn)行隔離�,以另一種“語言”與用戶側(cè)進(jìn)行交互,獲取用戶端的輸入發(fā)往服務(wù)端�����,并將服務(wù)端的服務(wù)以與原有方式相同的視覺效果展現(xiàn)給用戶�。
圖4-3 Web應(yīng)用隔離架構(gòu)
Web應(yīng)用隔離系統(tǒng)獲取用戶在瀏覽器上的鼠標(biāo)鍵盤操作,轉(zhuǎn)換為Web服務(wù)器可以接受的HTTP(S)請(qǐng)求����;將Web服務(wù)器所有的活動(dòng)腳本及API在Web應(yīng)用隔離平臺(tái)執(zhí)行后,隱藏原有代碼,重構(gòu)網(wǎng)頁內(nèi)容�����,返回給用戶側(cè)瀏覽器����。從用戶側(cè)看,用戶瀏覽器展示的Web頁面����,與用戶直接訪問原網(wǎng)站相同,但是不含源網(wǎng)站活動(dòng)腳本及API等信息�����。
4.3.2 Web應(yīng)用隔離防護(hù)原理
基于上述Web應(yīng)用隔離架構(gòu)�,可以有效防護(hù)來自網(wǎng)絡(luò)的自動(dòng)化掃描和攻擊,主要運(yùn)用以下的思路來實(shí)現(xiàn):
(1)源碼隱藏
Web應(yīng)用隔離系統(tǒng)會(huì)將源網(wǎng)站所有的活動(dòng)腳本及API在隔離平臺(tái)執(zhí)行�����,用戶側(cè)無法獲取可用的服務(wù)端API接口����,同時(shí),隔離平臺(tái)對(duì)于Web服務(wù)器的響應(yīng)內(nèi)容,進(jìn)行了重構(gòu)����,用戶側(cè)無法對(duì)接口的響應(yīng)內(nèi)容進(jìn)行過濾,獲取敏感數(shù)據(jù)�����。使用這種原理��,傳統(tǒng)的基于API接口的攻擊���,都無法生效,如針對(duì)特定API接口內(nèi)容的爬取問題���,客戶端將無法獲取到可用的API接口���,也無法對(duì)響應(yīng)包內(nèi)容進(jìn)行提取。
該原理可完全防護(hù)利用API對(duì)網(wǎng)站內(nèi)容進(jìn)行自動(dòng)化爬取����、API接口敏感內(nèi)容泄露和對(duì)網(wǎng)站的自動(dòng)化攻擊等安全問題。
(2)用戶側(cè)瀏覽器與隔離系統(tǒng)間的交互
用戶側(cè)與Web應(yīng)用隔離系統(tǒng)的交互是基于隔離系統(tǒng)的特定協(xié)議�。隔離系統(tǒng)只接受用戶側(cè)發(fā)送的GET請(qǐng)求和用戶產(chǎn)生的鼠標(biāo)鍵盤操作事件,其它類型如POST、OPTION��、HEAD等��,隔離平臺(tái)不能接受并丟棄���。以FastJson漏洞利用為例���,其利用方式為以POST方式發(fā)送特定Json數(shù)據(jù),這類請(qǐng)求發(fā)送到Web應(yīng)用隔離系統(tǒng)��,系統(tǒng)將直接丟棄掉��;隔離系統(tǒng)與用戶側(cè)交互的URL��,以特定的方式進(jìn)行加密和排序���,非加密的URL��,隔離系統(tǒng)不予處理�。SQL注入類的攻擊���,由于不滿足于隔離系統(tǒng)間的URL交互要求�,其請(qǐng)求將無法抵達(dá)真正的Web應(yīng)用服務(wù)器。
4.3.3 Web應(yīng)用隔離防護(hù)效果
對(duì)于自動(dòng)化掃描和攻擊中常見的場景��,在隔離和非隔離狀態(tài)下的對(duì)比����,有著非常明顯的差異。
(1)防爬蟲
利用Web應(yīng)用隔離進(jìn)行防護(hù)前���,使用Burp Suite的爬蟲模塊可以直接獲取到網(wǎng)站的目錄架構(gòu)和具體的文件路徑�����。
圖4-4 獲取目標(biāo)網(wǎng)站目錄架構(gòu)及文件
防護(hù)后,工具已經(jīng)無法獲取到網(wǎng)站的目錄架構(gòu)和文件路徑��。
圖4-5 無法獲取目標(biāo)的目錄及文件
(2)防目錄掃描
防護(hù)前��,使用掃描工具可以直接掃描出網(wǎng)站的一些文件路徑��。
圖4-6 目錄掃描成功
防護(hù)后�����,工具已經(jīng)無法掃描出網(wǎng)站的目錄和文件信息����。
圖4-7 目錄掃描無有效結(jié)果
(3)敏感信息泄露防護(hù)
防護(hù)前�,使用Fiddler可以直接獲取到客戶端發(fā)送到服務(wù)器的數(shù)據(jù)包��,HTTP的整個(gè)頭部參數(shù)信息都能正常顯示���,開啟防護(hù)后����,網(wǎng)頁通過私有協(xié)議加密傳輸網(wǎng)頁數(shù)據(jù)和鼠標(biāo)鍵盤點(diǎn)擊事件信息����,從而有效避免敏感信息的泄露。
圖4-8 防護(hù)后頁面數(shù)據(jù)
(4)對(duì)SQL注入的防護(hù)
對(duì)某站GET請(qǐng)求頭中的參數(shù)進(jìn)行SQL注入測試��,注入效果如下所示:
圖4-9 SQL注入成功
進(jìn)行隔離后���,瀏覽器與隔離系統(tǒng)間的URL采用加密字符串的方式����,注入Payload無法有效傳遞到后端的Web應(yīng)用服務(wù)器�����,可防護(hù)SQL注入。
圖4-10 對(duì)SQL注入的防護(hù)
(5)防漏洞利用
以 JBoss的Java反序列化漏洞為例��,通過自動(dòng)化工具用 JBoss中間件反序列化漏洞攻擊�,查看攻擊情況。
圖4-11 JBoss反序列漏洞利用對(duì)比
使用Web應(yīng)用隔離進(jìn)行防護(hù)前�,可成功執(zhí)行系統(tǒng)命令。開啟隔離防護(hù)后�����,使用自動(dòng)化工具對(duì)隔離后網(wǎng)站進(jìn)行 JBoss反序列化漏洞攻擊����,結(jié)果顯示網(wǎng)站無 JBoss反序列化漏洞。
綜上��,由于徹底改變了用戶側(cè)瀏覽器與Web應(yīng)用服務(wù)器間的交互方式���,使得基于傳統(tǒng)HTTP(S)協(xié)議的自動(dòng)化攻擊,失去了利用的基礎(chǔ)�����,完全無法執(zhí)行攻擊行為�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
