网络攻击与防护 课件 第4、5章 恶意代码攻防技术、Web服务器攻防技术

恶意代码攻防技术前言恶意代码(maliciouscode)又称为恶意软件(malicioussoftware，Malware)，是能够在计算机系统中进行非授权操作的代码，使系统按照攻击者意愿执行任务的一组指令，在未被授权的情况下，以破环软硬设置、窃取用户信息、干扰用户正常使用为目的而编制的软件或代码片段。2017年5月12日，全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码WannaCry，该蠕虫感染计算机后会向计算机中植入敲诈者病毒，导致电脑大量文件被加密。五个小时内，包括英国、俄罗斯、整个欧洲以及我国大量行业企业内网遭受大规模感染。企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响，对重要数据造成严重损失。恶意代码概述恶意代码分析木马勒索病毒脚本病毒恶意代码定义恶意代码(maliciouscode)又称为恶意软件(malicioussoftware，Malware)，是能够在计算机系统中进行非授权操作的代码，使系统按照攻击者意愿执行任务的一组指令，在未被授权的情况下，以破环软硬设置、窃取用户信息、干扰用户正常使用为目的而编制的软件或代码片段。通常把未经授权便干扰或破坏计算机系统/网络功能的程序或代码（一组指令）称之为恶意程序，一般包括：二进制文件、脚本语言或宏语言等。恶意代码的发展趋势种类越来越模糊不清传播采用多种模式或者利用多个漏洞多平台、多应用软件服务端和客户端都遭受攻击，利用客户端软件传播的恶意代码越来越多目的性、功利性更为突出攻击者越来越小心、恶意代码隐蔽性越来越强新的应用衍生出新的恶意代码，针对手机、新型网络应用的恶意代码越来越多恶意代码分类按照恶意代码工作机制分类分类蠕虫病毒后门木马有害工具流氓软件风险程序其他恶意代码分类根据依附性和传染性来分类：1、不感染的依附性恶意代码

逻辑炸弹、后门2、不感染的独立型恶意代码

特洛伊木马、rootkit后门3、可感染的依附性恶意代码 CIH、DIR24、可感染的独立型恶意代码

蠕虫病毒病毒的传播方式病毒的危害病毒激发对计算机数据信息的直接破坏作用占用磁盘空间和对信息的破坏抢占系统资源影响计算机运行速度计算机病毒的兼容性对系统运行的影响计算机病毒给用户造成严重的心理压力蠕虫的传播方式电子邮件系统漏洞Web浏览即时通信文件传播恶意代码概述恶意代码分析木马勒索病毒脚本病毒什么是静态分析恶意代码静态分析静态分析及对程序代码的分析，首先使用反汇编工具将程序由机器代码转换为汇编代码，然后根据汇编代码提取更高级的操作行为，将恶意代码转换为中间语言或者更有意义的表现形式，然后对恶意代码的执行流程、代码特征等进行分析。静态反汇编主要工具：objdump\IDApro\w32dasm静态分析主要分为两个方向，一个是静态常规信息分析，另一个是静态代码分析。静态分析-常规分析文件名分析：程序形态特性：文件位置特性：文件版本特性：文件长度特性：文件时间特性：数字签名：静态分析-代码分析格式分析：PE信息：API查看：字符串信息：资源信息：静态分析-格式分析分析样本文件类型：文本文件，PE文件，脚本文件等。是否加壳，通常我们如果对未脱壳前的样本无法确认它的编写语言的话，那么我们就可以认为此样本是一个加壳过的程序，然后可以开始对程序进行查壳，确定程序的加壳类型，如果无法查出壳类型，则我们可以认为它加的是一个未知壳。常用工具有peid查壳。是否有附加数据，可以通过PE文件的区段来确定是否有附加进去的数据。Stud_PE查看区段，Uedit32查看原始文件信息等。获取该样本的编写语言。静态分析-PE信息静态分析-API查看API操作特性API数量特性查看导入/导出表通过反汇编工具对静态的PE文件进行反汇编列出部分恶意代码常用API常用静态分析工具C32ASM静态反汇编工具W32dsm静态反汇编工具IDA静态反汇编工具其它常用工具恶意代码动态分析动态分析：动态分析即在运行程序的同时，观察其状态和执行流程的变化，获得执行的各种数据，进而对其进行分析。动态分析主要工具包括：调试工具和系统监视工具。恶意代码动态分析恶意代码动态分析步骤恶意代码动态分析工具恶意代码动态分析步骤格式分析

编写语言？

加密？

附加数据？查壳脱壳动态分析恶意代码

字符参考

调用参考恶意代码动态分析步骤动态分析法API使用文件读写

新增？

删除？

改动？注册表读写

新增？

删除？

改动？内核调用恶意代码动态分析工具PEIDStud_PEOLLYDBG恶意代码分析处置流程对恶意代码文件进行“文件细化”处置。

加密压缩文件

包裹文件

嵌入/捆绑文件

其它类可细化文件恶意代码分析处置流程综合分析结论

本地行为

网络行为

传播方式

运行位置

感染方式

其它结果等恶意代码分析处置流程得出最终分析报告与恶意代码的解决方案。

特征码提取方式

手动清除方式

使用工具等恶意代码分析处置流程文件细化描述：加密压缩文件 －＞解压/解密包裹文件 －＞解压/安装嵌入/捆绑文件－＞提取其它类可细化文件－＞对应分析恶意代码分析处置流程文件细化恶意代码概述恶意代码分析木马勒索病毒脚本病毒木马的定义木马是指具有特殊功能的恶意代码，包含破坏文件、发送密码、记录键盘等特殊功能的后门程序。木马程序是一种客户机服务器程序，典型结构为客户端/服务器（Client/Server，C/S）模式，服务器端程序在运行时，攻击者可以使用对应的客户端直接控制目标主机。木马攻击原理木马程序是一种客户机服务器程序，典型结构为客户端/服务器（Client/Server，C/S）模式，服务器端程序在运行时，攻击者可以使用对应的客户端直接控制目标主机。木马程序的服务器端程序是需要植入到目标主机的部分，植入目标主机后作为响应程序。客户端程序是用来控制目标主机的部分，安装在控制者的计算机上，它的作用是连接木马服务器端程序，监视或控制远程计算机。木马的分类(1) 远程控制型木马(2)

密码发送型木马(3)

键盘记录型木马(4)

破坏型木马(5)

代理型木马(6)

FTP木马(7)

反弹端口型木马木马的传播方式漏洞传播系统漏洞；浏览器漏洞(网页木马)；其他应用软件漏洞（PDF、DOCetc）伪装传播捆绑；伪装成图片、文本等；合法软件社会工程电子邮件、论坛、SNS聊天软件木马的危害监视用户的操作

—包括：用户主机的进程、服务、桌面，键盘操作、摄像头等等窃取用户隐私

—包括：浏览的网页，聊天记录，输入的银行帐户密码，游戏帐户密码，窃取用户敏感文件让用户主机执行任意指令

—使用户主机沦为傀儡主机，接受并执行控制主机的指令你能做到的木马都有可能做到木马隐蔽技术隐藏通常包括本地隐藏和通信隐藏

其中本地隐藏主要有文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、编译器隐藏等

通信隐藏主要包括通信内容隐藏和传输通道隐藏。RootKit技术

本地隐藏，就是rookit技术

恶意代码的隐藏或多或少都与RootKit技术相关木马隐蔽技术-本地隐蔽技术本地隐蔽是指为了防止本地系统管理人员觉察而采取的隐蔽手段。本地系统管理人员通常使用“查看进程列表”，“查看目录”，“查看内核模块”，“查看系统网络连接状态”等管理命令来检测系统是否被植入了恶意代码。

进程隐蔽

网络隐蔽

系统隐蔽木马隐蔽技术-本地隐蔽技术进程隐藏

进程迷惑：同名不同路径的进程，相似名称。Svc0host.exe DLL注入网络隐藏

端口复用

反弹端口系统隐藏

设置为隐藏系统文件

流文件木马隐蔽技术-网络隐蔽技术使用加密算法对所传输的内容进行加密能够隐蔽通信内容。隐蔽通信内容虽然可以保护通信内容，但无法隐蔽通信状态，因此传输信道的隐蔽也具有重要的意义。对传输信道的隐蔽主要采用隐蔽通道技术。隐蔽通道分为两种类型：（1）存储隐蔽通道存储隐蔽通道是一个进程能够直接或间接访问某存储空间，而该存储空间又能够被另一个进程所访问，这两个进程之间所形成的通道称之为存储隐蔽通道。（2）时间隐蔽通道时间隐蔽通道是一个进程对系统性能产生的影响可以被另外一个进程观察到并且可以利用一个时间基准进行测量，这样形成的信息传递通道称为时间隐蔽通道。木马隐蔽技术-RooTkit技术Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的，Rootkit也可视为一项技术Windows平台上最早发现于1999 (NTRootkit,Hoglund):

不同于病毒

非破坏性的信息收集工具通常运行在核心(更易隐藏)

通常被黑客手工安装

确保能再次进入系统

隐蔽地捕获密码，键击等木马攻击技术常见的攻击技术包括：（1）进程注入技术（2）三线程技术（3）端口复用技术（4）超级管理技术（5）端口反向连接技术（6）拒绝服务攻击技术木马进程注入技术当前操作系统中都有系统服务和网络服务，它们都在系统启动时自动加载。进程注入技术就是将这些与服务相关的可执行代码作为载体，恶意代码程序将自身嵌入到这些可执行代码之中，实现自身隐藏和启动的目的。比如恶意代码“WinEggDropShell”可以注入Windows下的大部分服务程序。木马三线程技术三线程技术就是指一个恶意代码进程同时开启了三个线程，其中一个为主线程，负责远程控制的工作。另外两个辅助线程是监视线程和守护线程，监视线程负责检查恶意代码程序是否被删除或被停止自启动。守护线程注入其它可执行文件内，与恶意代码进程同步，一旦进程被停止，它就会重新启动该进程，并向主线程提供必要的数据，这样就能保证恶意代码运行的可持续性。木马端口复用技术端口复用技术，系指重复利用系统网络打开的端口（如25、80、135和139等常用端口）传送数据，这样既可以欺骗防火墙，又可以少开新端口。端口复用是在保证端口默认服务正常工作的条件下复用，具有很强的欺骗性。超级管理技术为了对抗反恶意代码软件，恶意代码采用超级管理技术对反恶意代码软件系统进行拒绝服务攻击，使反恶意代码软件无法正常运行。“广外女生”是一个国产的特洛伊木马，它采用超级管理技术对“金山毒霸”和“天网防火墙”进行拒绝服务攻击。端口反向连接技术端口反向连接技术，系指恶意代码攻击的服务端（被控制端）主动连接客户端（控制端）。国外的“Boinet”是最先实现这项技术的木马程序，它可以通过ICO、IRC、HTTP和反向主动连接这4种方式联系客户端。国内最早实现端口反向连接技术的恶意代码是“网络神偷”。“灰鸽子”则是这项技术的集大成者，它内置FTP、域名、服务端主动连接这3种服务端在线通知功能。木马查杀木马查杀的方法：(1) 查看开放端口(2) 查看系统配置文件(3) 查看启动程序(4) 查看系统进程(5) 检查注册表(6) 恢复win.ini和system.ini系统配置(7) 停止可疑进程(8)修改注册表木马防护(1) 不打开来历不明的邮件(2) 不执行来历不明的软件(3) 修补漏洞和关闭可疑的端口(4) 规避共享文件夹(5) 运行实时监控程序冰河木马攻击实践1、木马服务端冰河木马攻击实践2、木马服务端上线冰河木马攻击实践3、文件管理器冰河木马攻击实践4、命令控制台恶意代码概述恶意代码分析木马勒索病毒脚本病毒勒索病毒简介

2017年5月12日，WannaCry勒索病毒通过CVE-2017-0143漏洞在全球范围传播，受到该病毒感染的磁盘文件资料都无法正常打开，只有支付价值相当于300美元的比特币才可解锁。2017年后连续爆发了大量勒索病毒，以2019年为例，就发生了多次攻击案例。2019年3月，挪威全球最大铝制品生产商之一NorskHydro遭遇勒索软件LockerGoga攻击，导致公司全球网络宕机，影响所有的生产系统以及办事处运营，最终导致公司被迫关闭多条自动化生产线。2019年5月，中国某网约车平台遭勒索软件定向打击，服务器核心数据惨遭加密，被攻击者索要巨额比特币赎金。2019年6月，全球最大飞机零件供应商ASCO，在比利时的工厂遭遇勒索病毒攻击，导致生产环境系统瘫痪，大约1000名工人停工，在德国、加拿大和美国的工厂也被迫停工。2019年10月，全球知名航运和电子商务巨头PitneyBowes遭受勒索软件攻击，攻击者加密公司系统数据，破坏其在线服务系统，导致公司超九成财富全球500强合作企业受波及。勒索病毒发展阶段勒索病毒的发展大致可以分为三个阶段。(1) 萌芽期1989年，世界上第一个以勒索目的的病毒AIDStrojan出现，这被看作是勒索病毒时代开端。(2) 成型期自2013年开始，CryptoLocker，CTBLocker等病毒的出现，标志着勒索病毒发展已经成(3)产业化自2016年开始，勒索病毒开始借助一些系统的零日漏洞主动发起网络攻击。(4) 多样化自2018年开始，常规的勒索木马技术日益成熟。病毒的攻击目标也已经从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。勒索病毒攻击特征(1) 针对企业用户定向攻击(2) 以远程桌面协议爆破为主(3) 更多使用漏洞攻击(4) 入侵企业内网后横向渗透勒索病毒防护1.事前防护

提高安全防护意识。

计算机安装专业终端安全管理软件、杀毒软件等。2.事中应急

第一时间采用断网、断电措施3.事后处理

下载针对性专杀解密工具，做好数据备份。勒索病毒攻击实践勒索病毒勒索病毒攻击实践文档被加密后正文恶意代码概述恶意代码分析木马勒索病毒脚本病毒脚本病毒简介脚本病毒的介绍：脚本病毒是采用脚本语言设计的程序代码。脚本病毒主要采用脚本语言包括VBScript、JavaScript、PHP等。脚本病毒会利用文件系统对象，扫描系统中的文件，对规定的文件进行替换，拷贝文件到指定目录，修改注册表中键值，使得病毒代码能自启动。脚本病毒的特性是使用脚本语言编写，通过网页进行的传播的病毒，常见脚本文件后缀包括.VBS、.VBE、.JS、.BAT、.CMD。脚本病毒的特点：脚本病毒除了具有一般病毒的传染性、潜伏性、可激发性、衍生性等特点外，还具有不需要事先编译、伪装性强等特点。脚本病毒传播与清除脚本病毒的传播方式：（1）通过电子邮件传播（2）通过局域网共享传播（3）通过感染网页文件传播（4）通过聊天通道传播脚本病毒的清除步骤：（1）结束病毒进程（2）删除系统目录中的病毒副本（3）修改注册表脚本病毒防护针对Windows系统，采用如下预防措施预防脚本病毒：1)通过regsvr32/uscrrun.dll命令禁用文件系统对象，或者直接删除scrrun.dll文件。2)卸载WindowsScriptingHost项。3)删除VBS、VBE、JS、JSE文件扩展名与应用程序的映射。4)删除或者更改Wscript.exe或Cscript.exe的名称。5)禁用浏览器插件。6)取消“隐藏已知文件类型的扩展名称”默认设置，显示所有文件类型的扩展名称。7)安装杀毒软件，定期升级杀毒程序。1、IE默认页设置脚本病毒攻击实践

IE浏览器的默认主页2、篡改IE浏览器主页脚本病毒攻击实践篡改浏览器主页脚本代码2、篡改IE浏览器主页脚本病毒攻击实践主页已被篡改总结1、掌握恶意代码的基本概念2、掌握恶意代码的分类及特征3、理解恶意代码分析技术4、掌握脚本病毒的原理与防护5、

掌握网页病毒的原理与防护6、掌握木马病毒的原理与实践Web服务器攻防技术前言WEB（WorldWideWEB）即全球广域网，也称为万维网，它是一种基于超文本和HTTP(Hypertexttransferprotocol，简称HTTP)协议、全球性的、动态交互的、跨平台的分布式图形信息系统。WEB是建立在Internet上的一种网络服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面，其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。Web服务器攻防技术概述DDoS攻防Apache服务器安全配置Web系统漏洞Web工作机制什么是WEB？

万维网（WorldWideWeb），是一个由许多互相链接的超文本文档组成的系统。Web的重要概念

资源:web系统中对象称为资源 URI：统一资源标识符，用于标识一个资源(HTML文档、图像、视频片段、程序) URL:统一资源定位符（URI的一个子集） HTTP：超文本传输协议，用于传输资源，使用者通过http来获得资源Web系统组成Web开发主流数据库Oracle

甲骨文公司出品，最流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。MySQL\MariaDB MySQL是最流行的关系型数据库管理系统之一，属于Oracle旗下产品，在WEB应用方面应用出色。 MariaDB数据库管理系统是MySQL的一个分支，主要由开源社区在维护，完全兼容MySQL。SqlServer Microsoft公司的一种关系型数据库系统。Web主流中间件IIS：微软互联网信息服务器，支持web\ftp，运行asp\.net程序。Apache：应用最广泛的web服务器，多平台支持，性能稳定。Nginx：轻量级、高并发，常做web反向代理和负载均衡。Tomcat：轻量级免费的javaweb容器，调试jsp首选。Jboss：管理EJB的容器和服务器，核心服务不支持servlet/JSP，一般与Tomcat或Jetty绑定使用Weblogic：Oracle公司出品的applicationserver，基于JAVAEE架构的中间件，用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Web应用主流开发语言PHP PHP是一种解释执行的脚本语言，易学易用，开发效率高。PHP流行开发框架： ThinkPHP、ZendFramework、Yii、Laravel、CakePHPJAVA Java是面向对象的开发，功能强大、相对效率低，技术难度大，适合于做大型的企业级的应用。JAVA流行开发框架 Struts2+Spring+Hibernat Spring+SpringMVC+Hibernate/Mybatis生产环境常见Web架构LAMP Linux+apache+mysql/mariadb+php/perl/PythonLNMP Linux+nginx+mysql/mariadb+phpLinux+Apache+tomcat+oracle+jspLinux+Apache+Weblogic/WebSphere+Oracle+JavaWindows+IIS+asp+access/SqlServerWindows+IIS++SqlserverWeb安全问题分析操作系统（开放远程访问、弱口令、远程溢出、本地提权溢出…)数据库（开放远程访问、弱口令、高权限账户连接…)Web中间件(解析、远程代码执行、文件上传、目录遍历、反序列化…)Web应用程序(SQL注入、CSRF、XSS、文件上传…）Web开发框架（struts2、thinkphp…远程代码执行）Web传输协议(信息泄露、会话劫持…)HTTP协议HTTP(超文本传输协议)

一种通信协议,1990年提出，当前版本为HTTP/1.1

使用超文本标记语言(HTML)将资源从服务器传送到客户端超文本传输协议特点

请求、响应模式

简单快速：客户向服务器请求服务时，只需传输请求方法和路径

灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记

无连接：一个请求一个连接，完成后断开

无状态：协议对于事务处理没有记忆能力，在服务器不需要先前信息时应答较快HTTP协议会话HTTP的一个会话，由Request和response组成HTTP请求（Requests）包含三个部分

请求行：方法，URL，协议/版本（Method-URI-Protocol/Version）

消息报头(Requestheaders)

请求正文（Entitybody）HTTP响应（Responses)也包含三个部分

状态行：协议状态代码描叙（Protocol-Statuscode-Description）

消息报头（Responseheaders）

响应正文（Entitybody）HTTP请求范例POST/servlet/default.JSPHTTP/1.1Accept:text/plain;text/HTMLAccept-Language:en-gbConnection:Keep-AliveHost:localhostReferer:http://localhost/ch0/SendDetails.htmUser-Agent:Mozilla/4.0(compatible;MSIE4.01;Windows98)

Cookie:guid=13074579884493320060;Content-Length:33

Content-Type:application/x-www-form-urlencoded

Accept-Encoding:gzip,deflateLastName=Franks&FirstName=MichaelHTTP响应HTTP响应（Responses)也包含三个部分:状态行、消息报头、响应正文

状态行：协议状态代码描叙（Protocol-Statuscode-Description）

消息报头（Responseheaders）

响应正文（Entitybody）服务器返回的资源的内容HTTP响应状态行状态行：HTTP-VersionStatus-CodeReason-Phrase HTTP-Version表示服务器HTTP协议的版本； Status-Code表示服务器发回的响应状态代码 Reason-Phrase表示状态代码的文本描述。状态代码有三位数字组成，第一个数字定义了响应的类别，且有五种可能取值： 1xx：指示信息--表示请求已接收，继续处理 2xx：成功--表示请求已被成功接收、理解、接受 3xx：重定向--要完成请求必须进行更进一步的操 4xx：客户端错误--请求有语法错误或请求无法实现 5xx：服务器端错误--服务器未能实现合法的请求HTTP响应范例HTTP响应范例：HTTP/1.1200OKServer:Microsoft-IIS/6.0Date:Mon,3Jan201013:13:33GMTContent-Type:text/HTMLLast-Modified:Mon,11Jan201013:23:42GMTContent-Length:112WelcometoBeijing.第一行的响应包头和请求包头很相似。第一行说明协议是使用的HTTP1.1，响应请求已成功(200表示成功),一切已OK。响应包头和请求包头相似，也包含一些有用的信息。响应的实体是HTML那一部分的内容。包头和实体也都是被CRLF序列分离开的HTTP协议安全问题信息泄漏

明文传输（用户名和口令、向服务器提交的数据）弱验证

简单的认证会话管理安全问题

包含敏感信息的cookie、

会话劫持HTTP协议分析工具-BurpsuiteBurpSuite是用于攻击web应用程序的集成平台Burp包含了许多工具,并为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。OWASPTOP10web安全威胁Owasp2013Owasp2017A1–注入 A1:2017–注入A2–失效的身份认证和会话管理A2:2017–失效的身份认证A3–跨站脚本（XSS）A3:2017–敏感信息泄漏A4–不安全的直接对象引用[与A7合并]A4:2017–XML外部实体（XXE）[新]A5–安全配置错误A5:2017–失效的访问控制[合并]A6–敏感信息泄漏A6:2017–安全配置错误A7–功能级访问控制缺失[与A4合并]A7:2017–跨站脚本（XSS）A8–跨站请求伪造（CSRF）A8:2017–不安全的反序列化[新]A9–使用含有已知漏洞的组件A9:2017–使用含有已知漏洞的组件A10–未验证的重定向和转发A10:2017–不足的日志记录和监控[新]SQL注入SQL注入定义：当应用程序将用户输入的内容，拼接到SQL语句中，一起提交给数据库执行时，就会产生SQL注入威胁。SQL注入代码示例漏洞代码这里可以将用户如数的$ID的信息，拼接到SQL语句中执行。例如用户输入：1’or’’=‘,原有语句逻辑即被改变。SQL注入防御1、参数化查询2、存储过程3、对所有用户输入进行转义4、其他思路

检测参数

敏感信息加密

低权限账户连接数据库

白名单SQL注入防御案例参数化查询，在php中用bind_param()函数处理使用参数化查询，定义预处理SQL语句，对所有传入SQL语句中的变量，做绑定。这样，用户拼接进来的变量，无论内容是什么，都会被当做替代符号“?”所替代的值，数据库也不会把恶意用户拼接进来的数据，当做部分SQL语句去解析。SQL注入防御案例检测参数可以通过对用户输入参数进行过滤和检查，去除拼接数据或检查合法性XSS跨站脚本攻击XSS（crosssitescripting）跨站脚本，是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击（一般只涉及攻击者和受害者），XSS涉及到三方，即攻击者、客户端与网站。XSS跨站脚本威胁XSS跨站脚本威胁1、盗取用户cookie，伪造用户身份登录。2、控制用户浏览器。3、结合浏览器及其插件漏洞，下载病毒木马到浏览者的计算机上执行。4、衍生URL跳转漏洞。5、让官方网站出现钓鱼页面。6、蠕虫攻击XSS攻击案例通过XSS攻击，攻击者可以窃取网页访问者保存在终端的各种帐号信息，并且可以通过脚本盗取用户的cookie，劫持用户与web服务器的会话攻击者1、通过E-mail或HTTP将B的链接发给用户2、用户将嵌入的脚本当作数据发送3、浏览器执行脚本后，返回数据4、在用户毫不之情的情况下，脚本将用户的cookie和session信息发送出去5、攻击者使用偷来的session信息伪装成该用户用户BWeb服务器XSS跨站脚本攻击分类反射式XSS：应用程序或API包括未经验证和未经转义的用户输入，作为HTML输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的HTML和JavaScript。通常，用户将需要与指向攻击者控制页面的某些恶意链接进行交互，例如恶意漏洞网站，广告或类似内容。存储式XSS：你的应用或者API将未净化的用户输入存储下来了，并在后期在其他用户或者管理员的页面展示出来。存储型XSS一般被认为是高危或严重的风险。基于DOM的XSS与反射型XSS、存储型XSS的区别就在于xss代码并不需要服务器解析响应的直接参与，触发XSS靠的是浏览器端的DOM解析。反射型XSS反射型XSS它通过给别人发送带有恶意脚本代码参数的URL，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接才能引起反射式XSS漏洞的关键反射式XSS漏洞的关键在于攻击者需要构造一个能够触发脚本运行的URL，并诱骗受害者点击这个URL，点击之后，服务器就会响应并注入脚本到客户端的浏览器…00:8002/Reflectxss/testXSS.asp?txtName=%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E存储式XSS所谓存储跨站攻击是指用户提交给Web应用程序的数据首先就被永久的保存在服务器的数据库，文件系统或其他地方，后面且未做任何编码就能显示到Web页面，当其它用户浏览该链接时就会造成XSS攻击。最典型的就是2005年在MySpace发现的XSS漏洞以及利用该漏洞的SamyMySpaceWorm存储式XSS的关键相对反射式漏洞而言，存储式漏洞的关键在于将脚本注入到应用程序的数据库而对受害者来说，只要浏览的页面调用了数据库的内容，就会触发服务器的脚本注入到客户端，而用户去访问调用数据库中脚本的过程，往往是主动的，无须诱骗…XSS漏洞案例搜索框反射型弹窗XSS防御

1、对所有用户提交内容进行可靠的输入验证，进行编码替代。例如：<=<,>>包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交

2、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascipt)，去掉任何对远程内容的引用，使用HTTPonly的cookie3、部署XSS攻击防御产品Web服务器攻防技术概述DDoS攻防Apache服务器安全配置Web系统漏洞WEBDOS攻击定义：对于WEB服务器进行DOS攻击，通常有两类，一类是传统的DOS/DDOS攻击,这种类型的DOS攻击主要是针对协议层的如pingofdeath，碎片攻击，synflood攻击等，而另一类是针对WEB页面所进行的DOS攻击，通过对某个网站页面大量的访问从而造成正常的访问无法访问，象这种攻击被业内叫做CC攻击，人称WEB杀手。WEBDOS攻击传统DOS攻击拒绝服务攻击是一种对网络危害巨大的恶意攻击。DoS具有代表性的攻击手段包括PingofDeath、TearDrop、UDPflood、SYNflood、LandAttack、SpoofingDoS、Smurf等WEBDOS攻击CC攻击CC=ChallengeCollapsar，其前身名为Fatboy攻击，Collapsar(黑洞)是绿盟科技的一款抗DDOS产品品牌，在对抗拒绝服务攻击的领域内具有比较高的影响力和口碑。因此，存在这样一种拒绝攻击行为，可以将受到Collapsar（黑洞）防火墙保护的网站击溃，因此攻击发起者挑衅式的将其更名为ChallengeCollapsar攻击，简称CC攻击。WEBDOS攻击WebDOS原理1、CC攻击的原理并不复杂，其主要思路是基于应用层的弱点进行攻击。比如一个论坛系统，如果存在较多的分页，当一个爬虫多并发高频次的进行大量翻页抓取时，已经产生了一种CC攻击。WEBDOS攻击2、应用层常见SQL代码范例如下(以php为例)$sql="select*frompostwheretagid='$tagid'orderbypostiddesclimit$start,30";当post表数据庞大，翻页频繁，$start数字急剧增加时，查询影响结果集=$start+30;该查询效率呈现明显下降趋势，而多并发频繁调用，因查询无法立即完成，资源无法立即释放，会导致数据库请求连接过多，导致数据库阻塞，网站无法正常打开。WEBDOS攻击3、性能不够优良的数据查询，不良的程序执行结构，比较消耗资源的功能，都可能成为CC攻击的目标，而执行方法可能是单机发起，也可能是通过肉鸡发起，还有可能通过高流量站点嵌入脚本（iframe嵌入或js嵌入）发起，基于高流量网站嵌入攻击代码的CC攻击，在目前互联网环境上来讲，更加难以防御WEBDOS攻击预防优化代码尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销。减少复杂框架的调用，减少不必要的数据请求和处理逻辑。程序执行中，及时释放资源，比如及时关闭mysql连接，及时关闭memcache连接等，减少空连接消耗。WEBDOS攻击预防限制手段对一些负载较高的程序增加前置条件判断，可行的判断方法如下必须具有网站签发的session信息才可以使用（可简单阻止程序发起的集中请求）必须具有正确的referer（可有效防止嵌入式代码的攻击）禁止一些客户端类型的请求（比如一些典型的不良蜘蛛特征）同一session多少秒内只能执行一次WEBDOS攻击预防完善日志尽可能完整保留访问日志。有日志分析程序，能够尽快判断出异常访问，比如单一ip密集访问；比如特定url同比请求激增。DDoS攻击互联网传输数据时，为了提供可靠的传送，通常采用TCP协议发送数据，攻击者通过控制大量的傀儡主机来同时对同一个目标发动大量的攻击报文，造成目标主机所在网络链路拥塞、资源耗尽，从而使目标主机无法向正常用户提供服务，这就是分布式拒绝服务（DistributedDenialofService，DDoS）攻击。DDoS攻击DDoS攻击原理SYNFlood攻击与防护SYNFlood攻击过程SYNFlood攻击与防护SYNFlood攻击实例SYNFlood攻击与防护SYNFlood防护方法主要包括超时设置，SYN网关和SYN代理三种超时设置。SYN转发超时参数，该参数远小于服务器的timeout时间。SYN网关。SYN网关收到客户端的SYN包时，直接转发给服务器；SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。SYN代理。当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，如果收到客户的ACK包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。UDPFlood攻击与防护用户数据报协议（UserDatagramProtocol，UDP）是一种无连接的协议，在OSI模型的传输层，处于IP协议的上一层。UDPFlood属于带宽类攻击，由于UDP协议是无连接性的，所以只要开放了一个UDP的端口提供相关服务就可针对相关的服务进行攻击。UDPFlood攻击与防护UDPFlood攻击过程示意图UDPFlood攻击与防护UDPFlood防护方法有以下三种：(1)基于目的IP地址的限流(2)基于目的安全区域的限流(3)基于会话的限流Web服务器攻防技术概述DDoS攻防Apache服务器安全配置Web系统漏洞日志配置安全基线项目名称Apache审核登录策略安全基线要求项安全基线项说明

设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容检测操作步骤参考配置操作：编辑HTTPd.conf配置文件，设置日志记录文件、记录内容、记录格式。LogLevelnoticeErrorLoglogs/error_logLogFormat"%h%l%u%t\"%r\"%>s%b\"%{Accept}i\"\"%{Referer}i\"\"%{User-Agent}i\""combinedCustomLoglogs/access_logcombinedErrorLog指令设置错误日志文件名和位置。错误日志是最重要