《黑客攻击与防御研究7600字（论文）》

黑客攻击与防御技术的设计与研究前言在日常生活中，人们使用许多网页和应用软件，例如在线购物，在线银行，微博，论坛等，注册时，用户必须提供个人信息，例如身份证号，账号等。当此信息及其私人信息被盗用并被黑客使用时，将造成严重后果。与个人信息相比，公司信息是一个更大，更复杂的数据集合，通常由公司员工手动输入。如果员工缺乏对网络安全防御技术的了解，它将使黑客攻击入侵。而黑客精通不同的攻击技术，一旦损坏难以补救。虽然计算机网络技术的发展较快，但是计算机网络安全防范技术的发展则较为滞后，各种数据加密技术等网络安全防御技术还没有普及，导致计算机中的网络信息等受到黑客攻击的威胁。在黑客攻击手段日益先进的情况下，各种新产品虽然被研发出来了，但安全防范技术的开发却不足，计算机的安全保护存在很大的漏洞，使得计算机以及用户信息等都在面临安全威胁。因此本文将为此探讨黑客的攻击手段以及防御技术。1.黑客攻击的相关概念界定1.1黑客的概念及发展黑客这个词最早源于上世纪50年代的hacker，最开始只是代表着一群计算机技术高超的研究者，他们把加密解密等技术当成自己的爱好，但很多人提到黑客会觉得非常厌恶和讨厌，其实这是由于部分“骇客”喜欢攻击别人的计算机系统和软件，导致信息数据遭到破坏，其实并不是所有黑客都会去网络犯罪，有的黑客只是由于虚荣心想炫耀自己的技术，还有的是作为保护漏洞或者和心术不正的人进行对抗，例如我国早期的红客，就是一群保护自己国家网络安全的“黑客”，为了让我们国家网络不受到其他国家的攻击组成了红客联盟进行防范和反击，所以并不是所有的黑客都会带来破坏，但是不能因为这样就低估了黑客的攻击，因此对于发生过的黑客攻击事件我们还是要时刻留有防范之心，做好防御措施。1.2黑客常用的攻击方式现代的黑客攻击主要有两种方式：一种是网络数据攻击，顾名思义就是以各种方式去破坏对方计算机的数据，造成数据丢失与系统瘫痪，已达成自己的目的，软件漏洞现在社会中非常容易被黑客攻击和利用，原本软件漏洞是程序员在进行程序编译的时候，考虑得不那么完善周全的一种程序漏洞，有的甚至程序员为了后期修改或者调整程序方便而留下的一道“后门“，这种漏洞其实是非常容易受到黑客的利用和攻击的。而当黑客成功地入侵到你的计算机之后，其实可以非常容易的对你留在计算机中的个人数据进行盗取。其实，所有的软件都是有着漏洞的，因为技术的不断发展，可能在过去没有发现漏洞的软件，在过了一段时间后，就被人找到存在的漏洞而加以利用。另一种是网络侦查，就是以隐匿的手段，在目标不知不觉中，窃取了个人的私密信息。例如互联网的发展也催生了各式各样依托网络的新兴行业，网络购物就是其中之一，而网购的不断发展进步给群众带来生活便利的同时，一些不法分子则在社会还没有为这些新产业完善立法，人们对新产业的熟悉程度和警惕心不高的时候，利用计算机技术进行网络诈骗，骗取受骗者的重要信息甚至是银行卡号和密码。由上文可知软件漏洞很容易受到黑客的利用和攻击，而现代黑客的攻击手段多种多样，不再是简单地利用软件漏洞或者管理员后门入侵，而是会利用木马，病毒，甚至直接诱惑计算机主人自己打开网络防护，主动“邀请“黑客进入，从而造成经济损失。1.3黑客攻击的对象黑客是一群狂热的计算机爱好者，所以他们的攻击对象无不遍布着整个计算机系统，包括网络组件、网络服务、计算机系统和信息资源和网络客户端，而最普遍的攻击对象还是Web（WorldWideWeb），因为里面包含着许多个人和企业的信息，并且各种管理系统也是基于Web技术，无论用户的系统平台是什么，都可以通过Internet访问，并且还可以使用各种超链接附带病毒使用户计算机遭到攻击破坏。随着互联网的发展，Web逐渐成为生活中不可分割的一部分，各种各样的Web应用程序层出不穷，与此同时人们还受到相关Web安全问题的威胁。根据WebCohort的一份报告显示，在研究的250多个网络应用程序中，至少92％的安全性漏洞可能被黑客入侵，说明黑客常以Web为攻击对象获取自己的利益。其中，超过80％的应用程序是由Web前端的安全漏洞引起的攻击威胁。这说明当前的Web安全问题依然较为严重。Web前端一般是用户与应用程序进行交互的主要介质，随着Web应用程序越来越复杂，Web前端的作用越来越丰富，同时也隐藏了更多的安全隐患。从目前的开发形式来看，Web前端的安全保护并没有统一的规范和约束，更多的是依赖于浏览器本身的安全措施。因此一旦web前端存在漏洞，那么很容易造成大面积的恶行攻击行为，不管是用户还是开发者，对于Web前端的安全性问题都需要加以重视。2.黑客攻击Web前端的技术及方式2.1黑客前端攻击技术来源2.1.1浏览器同源策略理解与Web前端安全性相关的Web前端基础知识对于我们发现黑客利用的前端漏洞是非常重要的，同源策略是浏览器的核心和最基本的安全功能。可以说，整个Web都是基于同源策略构建的。相同来源策略是一项合同规范，其中规定了来自不同来源的客户端脚本在没有显示授权的情况下不能读写彼此的资源、标记不受同一区域策略的约束。可以说，浏览器的同源策略是浏览器安全性的基础，同时这也是黑客Web前端攻击的主要支撑点。2.1.2HTML超文本标记语言超文本标记语言是一种规范和标准，通过向网页文件中添加标签来区分网页的各个部分，告诉浏览器如何解析和呈现内容，一般来说，HTML由许多标签组成，这些标签不区分大小写，多余的空格和制表符不会影响HTML解析。同时在此文本的设计过程中可以嵌入HTML，CSS，JavaScript和其他内容，同时也由于这些内容的拓展性，构成了HTML具备较强的松散型以及更易编写等特点，从目前对于黑客在WEB前端攻击的统计来看，许多前端安全问题的产生也正是源于HTML的松散性。2.1.3AJAX异步交互AJAX称为异步JavaScript和XML，在实际运用过程中，AJAX是前端黑客攻击的必要技术。此技术有三个突出特点：异步特性，JavaScript和XMLo异步不会阻止浏览器的主要进程，因此更难检测到使用AJAX进行的攻击。AJAX本身由JavaScript组成，并且不需要XML，而且AJAX严格遵守同源策略，并且不能跨域访问。但是，在新的W3C标准中，在跨源资源共享的推动下，浏览器对跨域解决方案的支持逐渐完善，这为黑客攻击带来了越来越多的有效攻击方法。2.2黑客前端攻击方式介绍现如今，黑客对Web前端的攻击方式主要有三种，分别是XSS攻击、CSRF跨站请求伪造和界面操作劫持攻击。2.2.1XSS攻击概述XSS称为跨站点脚本，其经常出现在Web应用程序中。这通常意味着攻击者已通过各种手段篡改了网页并注入了恶意攻击脚本，就种类而言，这些攻击脚本包括HTML代码和JavaScript脚本等。在真正的网络攻击中，攻击者可以用致命的脚本内容替换警报等脚本代码，从而使攻击者更容易进行攻击。只要攻击者诱骗用户单击该链接，该用户的浏览器在访问该链接后将加载并执行由攻击者构造的恶意代码。在web技术的发展过程中，XSS一直被列为Web前端安全的头号敌人，其较强的破坏力以及复杂的生成场景给了其更为广泛的攻击方式和对网络安全的危害性。其中，根据不同的影响，XSS攻击可分为三类：①反射型XSS反射XSS也称为非持久XSS。攻击者通常需要诱使用户访问恶意连接才能成功进行攻击，未经身份验证的用户数据直接包含在页面中，这为攻击者提供了将恶意从客户端注入到动态页面的机会。在具体的过程中，攻击者通过URL输入的恶意JavaScript脚本已执行。这是典型的反射型XSS攻击形式，攻击者使用页面XSS漏洞将恶意脚本代码嵌入到页面的URL中，然后诱使用户访问精心构建的URL。当用户访问时，恶意脚本代码被发送到服务器，并且服务器将代码嵌入到服务器的响应页面中，在用户浏览器接收并解析响应后，将执行恶意代码。反射性XSS攻击非常广泛，实际XSS攻击中有75％属于这种类型。图1反射型XSS攻击过程②存储型XSSXSS存储将在服务器端“存储”攻击者的恶意脚本数据，该XSS非常稳定和持久性，其一般出现在网络的博客文章中，一般来说，攻击者首先撰写包含恶意Java的博客文章，其后所有访客都将被迫，强制性地在其浏览器中执行此恶意JavaScript代码。整个攻击过程中，攻击者将恶意脚本存储在服务器端，因此这种XSS攻击称为“存储XSS”，同时也由于这种特性，存储XSS也通常称为持久XSS。图2存储型XSS攻击过程从上图可以看出，与反射型XSS攻击不同，存储XSS无需构造包含恶意脚本的URL来诱使用户访问，在此过程中，攻击者上传脚本数据需要HTTP请求和响应，然后用户需要另一个HTTP请求和响应来浏览攻击者的数据，因此存储XSS漏洞也称为二阶XSS。③DOMBasedXSS基于DOM的XSS实际上也是反射型XSS。将其分开划分的原因是基于DOM的XSS形成的原因很特殊。简而言之，通过修改页面的DOM节点形成的XSS被称为DOMBasedXSS。下图是使用DOM攻击劫持用户会话的示意图。图3DOMBasedXSS攻击过程从上图可以看出，DOMBasedXSS攻击与反射型XSS攻击一样，需要诱导用户访问攻一示者精心构造含有脚本的URL，不同之处在于DOMBasedXSS攻击时攻击代码不会发送给服务器，而是通过脚本直接将恶意脚本嵌入页面并执行。2.2.2界面操作劫持攻击接口操作劫持是近年来在Web前端安全领域中开发的一种新型攻击，其影响范围非常广泛。在2018年的一份对500个网站的调查统计中，只有14％的网站采取了相应的防御措施来防御接口劫持攻击。接口操作劫持攻击是一种基于视觉欺骗的攻击方法。它在网页的用户交互部分上覆盖了一个不可见的框架层，这使用户错误地认为它在操作的可见部分，然后在封面框架层中执行恶意代码，最终首先窃取敏感信息，篡改数据等目的。界面操作劫持攻击是2008年以后出现的一种新型的Web前端攻击，对其的研究有待丰富和完善。2.2.3CSRF跨站请求伪造CSRF的全名是“跨站点请求伪造”，这是一种常见的Web前端攻击方法，同时这种攻击方式往往很容易被忽略，即便是不少的网络工程师也对其不甚了解。但是从现实生活中来看，CSRF攻击发生的频率越来越大，CSRF的使用和危害取决于特定的情况。对于黑盒网站，即使后台存在CSRF漏洞，如果攻击者不了解后台情况，则此漏洞也没有意义。例如：开源政府，教育和企业网站。对于这些网站，CSRF漏洞不是他们的重点，反而对于开源网站，CSRF的发生愈发频繁。CSRF比XSS更简单，以下将详细介绍CSRF。（1）GET类型上面已经介绍了GET类型。它使用标记对象跨域发送GET请求。攻击者可以构建一个包含令人反感的请求的页面，然后诱使用户单击。（2）POST类型在CSRF攻击开始流行之初，许多开发人员错误地认为CSRF攻击只能使用GET请求来发起攻击，而使用POST清除请求可以防止CSRF攻击。针对黑客攻击的Web前端防御模型根据先前对黑客Web前端攻击方法的描述，本章将继续深入研究和分析HTMLS的安全问题，并提出一些新的建议。3.1HTMLS安全概述HTMLS是W3C制定的新一代HTML语言标准，目前来看该标准仍在不断修订中，而且目前来看，主流浏览器已经开始支持HTMLS协议的某些功能，因此HTMLS的影响已经浮出水面。从发展的角度来看，HTMLS不再是对HTML标签的简单更改，而是包含各种新的JavaScriptAPI函数的新型网页策略，相对于传统的HTML标签，HTMLS拥有更出色的人机页面交互性以及更加易于理解的代码，同时也正是由于这两个特点，使得HTMLS下一代Web应用程序技术的公认标准。如今来看，HTMLS的新功能几乎已在所有终端的浏览器中得到广泛支持，对这些新型功能的合理运用可以轻松开发地理位置，脱机应用程序等。与此同时，更丰富的页面表达式还为用户提供了更加便捷和友好的访问体验。但是需要注意的是，尽管HTMLS带来了新功能，但是相对来说，也带来的新的发展挑战。目前国内对HTMLS安全的研究尚处于缺乏状态，对HTMLS安全问题和预防技术的研究不够深入，有待于以后的拓展和研究。3.2HTMLS安全分析3.2.1新标签和属性存在问题HTMLS定义了许多新的标签和新的家禽功能，这很有可能带来新的XSS攻击，白名单和黑名单过滤策略是防御XSS攻击的重要方法。在过滤输入和输出方面，白名单的防御效果要强于黑名单，但白名单策略要求写法非常严格，用户体验效果不强，因此实际上大多数XSS攻击用于防御所有都是黑名单策略。在传统的XSS黑名单策略中，HTML标记，属性和表达式用作关键字匹配。3.2.2新API安全问题HTMLSHistoryAPI添加了两个新方法，pushState函数和replaceState函数。这两种方法可以添加和修改历史记录栏，而无需刷新页面。PushState函数是在浏览器历史记录列表的堆栈顶部添加一条记录。它需要三个参数，一个是状态对象，一个是标题，一个是URL。ReplacState则是更改当前页面的历史记录。其参数与pushState相同。攻击者可以使用HTMLSHistoryAPI和短地址技术的新方法来完美隐藏URL恶意代码。同时短地址大大压缩了网站占用的空间，当用户单击短地址时，其往往不知道该地址指向何处，此时，攻击者可以使用短地址功能将注入了恶意代码的网站转换为短地址去攻击。3.2.3地理定位的安全问题使用HTMLSGeolocationAPI之后便可以在用户同意的情况下找到用户的地理位置。在正常情况下，网络程序对用户共享的地理位置绝对保密。但是对于攻击者来说，通过特定的技术可以获取用户的地理位置。HTMLS中的地理定位具有其自己的一组隐私保护机制，此隐私机制完全由浏览器控制。浏览器除了询问是否允许共享地理位置外，还将有选择地提示用户是否需要浏览器记住这些网站的设置权限，对于用户来说，可以直接选择共享地理位置，同时用户还需要注意记住共享设置的功能，同样这可能会导致用户始终公开其地理位置。3.3防御模型需求分析Web前端的安全性往往缺乏保护机制，尽管其往往使用相对安全的JSP页面编写的，但不应低估安全性问题。一旦Web前端出现安全问题，就无法讨论系统对主机的保护作用。因此，从实际系统开始，防御模型必须满足以下要求：1.防御模型是用JSP编写的，用于JSP页面网络安全管理系统的前端页面，其中包含许多JSP动态内容。这些动态内容容易被攻击者使用，从而使系统受到攻击并引起安全问题。因此，该模型将为JSP页面设计相应的防御方法，特别是会引起安全问题的动态内容，以达到更高的防御效果。2.通过对第二章和上一节的阐述和分析，防御模型针对XSS攻击，由于CSRF的防御和接口操作劫持攻击非常简单。考虑网络安全管理系统。一方面，为了防御CSRF攻击，系统使用HTTPS进行访问。同时，对于重要操作，使用输入的验证码有效防御CSRF；从而可以有效地防止接口操作劫持。3.高度独立的网络安全管理系统的功能非常复杂，防御机制在建设上需要尽可能独立于系统，一方面便于维护，同时也有利于防御机制的更新，因此防御机制的构建往往使用Nginx代理服务器。该模型中的大多数复杂功能都放置在代理服务器中，同时系统中仅放置了一些必须在系统代码中编程的功能，并且这些功能与系统代码模块相同，最大程度地减少了系统操作和维护的负担。4.攻击警报当系统被防御模型攻击并成功拦截或检测到时，通知系统管理员发挥攻击警报的功能，这对于管理员可以掌握系统的安全状况并快速排除故障。3.4防御模型总体设计考虑到单纯使用客户端和服务器端防御方法有其局限性，而仅使用服务器端防御无疑会增加服务器的负担，并直接防御一些简单明显的XSS攻击无需向服务器提交请求即可从客户端访问，这将减轻服务器的通信负担并改善用户体验。目前，客户端或服务器端的大多数防御方法是动态拦截方法。静态分析方法更多地用于检测XSS漏洞，鉴于上述原因，本文根据系统的具体应用场景，将客户端和服务器端的防御方法进行了集成，同时考虑到针对JSP动态内容没有有效的防御机制，我们提出了一种解决方案。该方案中，JSP的动态Web网页混合防御模型认为服务器和客户端可以协作以最好地阻止XSS，同时，为了进一步确保安全性，针对JSP页面引入了静态分析方法。通过标记JSP的动态内容和功能提取，Nginx代理服务器用于功能比较，以确保有效分析以确保不会对该页面进行恶意篡改。图4JSP混合防御模型3.4.1动态拦截作为防止XSS攻击的方法，最常见的是基于黑白名单模式的拦截方法。一方面，有许多基于黑名单的拦截方法可以验证和拦截用户输入和服务器输出。如果输入或输出包含黑名单中的信息，则该信息将被阻止或阻止。可以说，黑名单模式对于已知的XSS攻击仍然非常有效。动态拦截采用黑名单方式，对客户端和服务器同时进行认证和拦截，有效地防止了XSS攻击。3.4.2静态分析该模型针对JSP动态内容提出的静态分析框架如下图所示。考虑到防御框架的构建简便性和适用性，有必要在服务器端以尽可能少的更改为基础构建静态分析防御框架，因此大多数模块都放置在代理服务器中以供执行，这样，仅需要配置代理服务器，并在服务器端进行少量修改以构建静态分析框架。图5静态防御机制（1）标记注入：在服务器端处理应用程序中每个JSP页面的动态内容，在动态内容之前和之后插入标记注释，使用它来表征页面的动态内容。（2）特征提取：此模块对标记的JSP页面的动态内容部分执行特征提取，并提取标记的数量和属于该标记的属性作为特征值。这两个动态内容都不会更改页面的标签和属性，并且不会产生XSS攻击，同时提取的期望特征值被添加到注入标记中。（3）特征比较：模块将分析服务器生成的对应页面，提取标签之间的内容，分析内容，提取实际特征值，同时对功能值进行比较。（4）标记删除：功能比较后没有问题的页面将被标记删除，并且注入的标记注释也将被删除。（5）攻击处理：存在安全问题的页面将进入攻击处理模块，该模块将拒绝响应并向客户端返回警告页面。4.结论与展望随着网络技术的逐渐发展，Web前端安全问题变得越来越严重，黑客对于Web前端