网络层及web应用层的安全技术研究(四)

本论文在计算机毕业论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看

2、恶意攻击事故紧急处置措施

(1)发现出现网络恶意攻击，立刻确定攻击源在哪里，判断是否需要紧急切断 Web 服务器的网络连接，以保护重要数据及信息。

(2)查出对方 IP 地址并过滤，同时对防火墙设置对此类攻击的过滤，并视情况严重程度决定是否报警。

(3)当有网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时,首先应将被攻击的服务器等设备从网络中隔离出来，技术人员立即进行被破坏系统的恢复与重建工作。

3、病毒安全紧急处置措施

当发现计算机感染有病毒后，应立即将该机从网络上隔离出来。对该设备的硬盘进行数据备份。启用反病毒软件对该机进行杀毒处理，同时使用病毒检测软件对其他机器进行病毒扫描和清除工作。

4、应用系统和数据库遭受破坏性攻击的紧急处置措施

重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日备份，并将它们保存于安全处。一旦软件遭到破坏性攻击，应立即向技术人员、网络管理员报告，并将系统停止运行。网站维护员立即进行软件系统和数据的恢复。

4.2安全事故发生后有关行动

1、确保 WEB 应用信息安全为首要任务。迅速发出紧急警报，所有相关安全成员集中进行事故分析，确定处理方案。

2、确保其它接入设备的信息安全：经过分析，可以迅速关闭、切断其他接入设备的所有网络连接，防止滋生其他接入设备的安全事故。

3、分析网络，确定事故源：使用各种网络管理工具，迅速确定事故源，按相关程序进行处理。

4、事故源处理完成后，逐步恢复网络运行，监控事故源是否仍然存在。

5、针对此次事故，进一步确定相关安全措施、总结经验，加强防范。

6、从事故一发生到处理的整个过程，必须及时向安全领导小组汇报，听从安排，注意做好保密工作。

4.4 什么是XSS攻击

XSS其实就是跨站脚本攻击的英文缩写，攻击者利用WEB平台的漏洞，将恶意的客户端脚本代码(如 java script )通过各种“巧妙”的方式植入正常的网页中，当受害者访问此恶意页面后，就会执行相应的恶意代码，从而达到攻击者的某种目的，比如盗取浏览器会话、cookie信息等等。

4.5 XSS漏洞如何利用

说到xss攻击，其实菲菲博客个人感觉利用最多的就是来盗取用户帐号，包括QQ账户、网银支付号等等（比如劫持受害者的QQ cookie绕过验证）；在就是可以用来网页挂马，甚至在受害者电脑留下后门程序；还有更严重的是骇客可以编写复杂的脚本用来做非法DDos网络攻击等等。可见xss攻击的危害还是非常大的！

　　如果来举个简单的例子，或许大家就可以更容易理解了。假设在某个知名网站存在漏洞的页面中成功嵌入了如下js脚本（实际应用中可以嵌入外部js文件,这里仅做演示，实际不存在）：

其中xss.php也就是cookie接收端，我们可以写为：

<?php

$co = $_GET['c'];

$fo = fopen('1.html', 'a');

fwrite($fo, 'Cookie: ' . $co . '<br>');

fclose($fo);

这样当受害者访问并成功执行了我们构造的恶意脚本后，对方的cookie信息就会自动保存在1.html中。获得了对方的cookie，也就相当于拿到了他的账户管理权限。

4.6 XSS跨站漏洞的防范和应对

其实xss漏洞的危害远比我们想象中的要严重的多，包括很多知名站点腾讯、百度、新浪微博等等都曾爆出过xss漏洞，应该说是防不胜防啊。当然及时修复web漏洞/避免出现漏洞是这些网站安全工程师做的事儿，那么从我们用户的角度来说的话如何防范xss漏洞对自己造成的影响呢？

　　1. 不要访问别人发来的可疑网址链接，例如某些网址后面有一大串编码的参数（很可能是坏人精心构造含有恶意脚本的页面），还有就是短网址，你是直接看不出对方的真实网站链接的，所以访问一定要谨慎！

　　2. 使用最新版本的浏览器，比如IE8内核的浏览器，就自带有XSS筛选器的功能（默认就是启用状态），这虽不能完全解决xss的危害，但是对于防范一些xss跨站脚本还是有一定的效果的。

　　3. 提高安全意识，一些重要的帐号使用完毕后（比如网银/支付账户）要点击“退出”登录状态，而不是直接关闭网页

4.7 案例分析

1. 过程分析：

通过对服务器web日志进行分析，发现攻击者ip为：112.203.220.26、112.204.103.37，两ip均来自菲律宾，通过得两ip的行为分析，发现，其首先对学院审计学网站进行了目录扫描，如图：

图4

通过扫描，恶意用户发现网站后台登录地址，通过日志分析，恶意用户直接登录后台，为做其他登录尝试，猜测网站后台采用默认口令，或通过其他途径获取到管理员密码，如图：

图5

登录后台成功后，恶意用户遍历后台功能，发现后台某上传文件处存在上传漏洞，恶意用户通过此上传漏洞上传恶意文件，如图：

图6

因为此处上传为正常业务，且程序端存在校验不足，而WAF设备无法判断业务逻辑上存在的漏洞，故而被入侵。

恶意用户入侵审计学网站后，通过ip反查域名，发现学院主站也挂在此服务器上，如图：

图7

恶意用户通过已经上传的木马，可跨目录修改主站的文件，通过日志可以看到其涂改主页的记录：

图8

修补方案

1.修改网站后台登录密码。

2.网站后台地址做个性化处理，不要使用admin、manger、system等常用后台地址。

3.在apache设置中取消上传文件所在目录的文件执行权限。

4.修补web程序代码，上传做白名单校验，且上传后文件必须经重命名处理。

5.Apache多站点分用户权限设置，防止一个网站被入侵后，修改其他网站目录的文件。

2.过程分析：

1.通过对google搜索发现网站在2.15号前已被挂暗链：

图9

首页上一页 1 2 3 4 5 6 下一页尾页 4/6/6


上一篇：物流行业的信息化发展与建设	下一篇：台州市政务服务网投资项目在线审..

Tags：网络 web 应用层安全技术研究

【收藏】【返回顶部】