iWall應(yīng)用防火墻

1、iWall應(yīng)用防火墻技術(shù)白皮書上歯天存信層技朮有陽公司Shanghai Tercel Info Tech. Co.,Ltd tcxa 致力w巳b平安 FOCUS Wct> ScjiXity目錄第i章應(yīng)用平安需求i1.1來自WEB的攻擊11.2網(wǎng)絡(luò)平安設(shè)備 31.3應(yīng)用平安防護系統(tǒng) 4第2章產(chǎn)品原理和功能 52.1 IWALL 概述52.2 IWALL工作原理52.3 IWALL 功能7第3章產(chǎn)品特點93.1平安性93.2高效性93.3靈活性93.4穩(wěn)定性93.5廣泛性103.6低本錢103.7可擴充10第4章產(chǎn)品組成和型號 114.1產(chǎn)品組成和部署 114.2平臺支持124.3產(chǎn)品型號1

2、2第5章常見應(yīng)用層攻擊簡介 135.1 SQL數(shù)據(jù)庫注入式攻擊 135.2腳根源代碼泄露 135.3非法執(zhí)行系統(tǒng)命令 135.4非法執(zhí)行腳本 135.5上傳假冒文件 145.6跨站腳本漏洞 145.7網(wǎng)站資源盜鏈 145.8不平安的本地存儲 14圖示目錄圖示2-1 WEB效勞器的體系結(jié)構(gòu) 5圖示2-2 WEB系統(tǒng)核心內(nèi)嵌模塊的位置 6圖示2-3應(yīng)用防護模塊 6圖示4-1 部署示意圖 11表格目錄表格4-1產(chǎn)品型號12第1章應(yīng)用平安需求1.1來自Web的攻擊危險的Web系統(tǒng)現(xiàn)代的信息系統(tǒng)，無論是建立對外的信息發(fā)布平臺，還是建立內(nèi)部的業(yè)務(wù)應(yīng)用系統(tǒng)，都離不開 Web網(wǎng)站和 Web應(yīng)用。Web方式不僅

3、給用戶提供一個方便和易用的交互手段，也給 信息和效勞提供者構(gòu)建一個標準技術(shù)開發(fā)和應(yīng)用平臺，可以預(yù)計在相當長的一段時間內(nèi)， Web方式是網(wǎng)絡(luò)應(yīng)用的最主要方式之一。但是，隨著網(wǎng)絡(luò)技術(shù)的普及和開展，Web應(yīng)用越來越多，使用對象越來越廣泛，系統(tǒng)功能越來越復(fù)雜，而與此同時，針對Web網(wǎng)站和應(yīng)用的攻擊越來越多。僅從公開的媒體報導我們就能知道，以下針對 Web網(wǎng)站和應(yīng)用的平安事件全世界每天都在發(fā)生著：非法上傳網(wǎng)頁；篡改網(wǎng)頁；篡改數(shù)據(jù)庫；非法執(zhí)行命令；竊取腳根源程序；竊取系統(tǒng)信息；竊取用戶信息；繞過身份認證；跨站提交虛假信息；網(wǎng)站資源盜鏈；拒絕效勞攻擊。這些攻擊行為極大地影響了信息系統(tǒng)的正常運行，如果是惡意攻

4、擊還會導致數(shù)據(jù)泄密、 效勞停止和公眾信息的混亂，后果極為嚴重。1.1.2 Web應(yīng)用層攻擊傳統(tǒng)的網(wǎng)絡(luò)攻擊是掃描攻擊對象的網(wǎng)絡(luò)地址和端口， 針對某些未屏蔽和未加固的端口的 缺陷進行攻擊。隨著近年來大家對信息管理的重視， 以及防火墻和入侵檢測系統(tǒng)等平安產(chǎn)品 的大量運用，這種方式漸漸失去了攻擊的效果。但是，對于 Web網(wǎng)站和應(yīng)用來說，有一個地址永遠是開放的：網(wǎng)站或應(yīng)用地址；有一個端口也永遠是開放的： 端口。而大量的攻擊者正是利用了這個地址和這個端口。據(jù)Gartner調(diào)查顯示，現(xiàn)在的網(wǎng)絡(luò)攻擊有 75%都是針對 Web應(yīng)用層發(fā)起的。另外，據(jù)美國計算機平安協(xié)會CSI /美國聯(lián)邦調(diào)查局FBI的研究說明，在接

5、受調(diào)查的公司中，2004年有52%的公司的信息系統(tǒng)遭受過外部攻擊包括系統(tǒng)入侵、濫用Web應(yīng)用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕效勞等等，這些攻擊給269家受訪公司帶來的經(jīng)濟損失超過1.41億美元，但事實上他們之中有98%的公司都裝有防火墻。早在2002年，IDC就曾在報告中認為，“網(wǎng)絡(luò)防火墻對應(yīng)用層的平安已起不到什么作用了，因為為了確保 通信，網(wǎng)絡(luò)防火墻內(nèi)的端口都必須處于開放狀態(tài)。目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡(luò)協(xié)議深厚理解，即可完成諸如更換 Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中 產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。1.1.3 W

6、eb 漏洞Web應(yīng)用層漏洞只有小局部可以通過系統(tǒng)管理員給Web效勞器打補丁來防范，而其余大局部都是Web應(yīng)用程序本身編寫不當而帶來的漏洞。下面是局部常見的 Web應(yīng)用層漏洞或攻擊方法：SQL數(shù)據(jù)庫注入漏洞；腳根源代碼泄露漏洞；非法執(zhí)行命令非法執(zhí)行腳本；上傳假冒文件；跨站腳本漏洞；不平安的本地存儲；網(wǎng)站資源盜鏈。在實際情形中，不可能讓所有程序員在編寫所有Web應(yīng)用程序時都注意防范這些漏洞，況且局部漏洞是應(yīng)用程序無法防范的。而對于一個網(wǎng)站而言， 僅僅一個應(yīng)用系統(tǒng)的一個代碼編寫者造成了一個漏洞就可能導致整個網(wǎng)站甚至整個信息系統(tǒng)的不平安，因此，Web網(wǎng)站和應(yīng)用系統(tǒng)的平安必須要有專門的平安產(chǎn)品來保障。1

7、.2網(wǎng)絡(luò)平安設(shè)備防火墻網(wǎng)絡(luò)防火墻提供網(wǎng)絡(luò)層訪問控制和攻擊保護效勞。它們統(tǒng)一部署在網(wǎng)絡(luò)邊界和企業(yè)內(nèi)部重要資源例如 Web應(yīng)用的前端。網(wǎng)絡(luò)防火墻是整個 Web應(yīng)用平安體系結(jié)構(gòu)的一個組件， 它可提供必要的保護以防御網(wǎng)絡(luò)層黑客攻擊網(wǎng)絡(luò)掃描、telnet等。網(wǎng)絡(luò)防火墻還可形成一道屏障，以阻止蠕蟲通過一些不需要的端口和協(xié)議從企業(yè)桌面網(wǎng)絡(luò)傳播到Web應(yīng)用。但是，網(wǎng)絡(luò)防火墻規(guī)那么集必須允許重要協(xié)議如 / S 不受限制地訪問 Web應(yīng)用，即完全向外部網(wǎng)絡(luò)開放 / S應(yīng)用端口。如果攻擊代碼被嵌入到 Web通信中， 那么從協(xié)議角度來看這些通信是完全合法的，而此時網(wǎng)絡(luò)防火墻對此類攻擊沒有任何的保護作用。例如，紅色代碼

8、和尼姆達等Web應(yīng)用蠕蟲可以通過符合協(xié)議的Web通信輕松地穿透網(wǎng)絡(luò)防火墻。與此相似，SQL注入和跨站點腳本這兩種有針對性的Web應(yīng)用攻擊也是借助符合協(xié)議的Web通信來實現(xiàn)的，它們都可以完全不被發(fā)現(xiàn)地穿過網(wǎng)絡(luò)防火墻。基于網(wǎng)絡(luò)防火墻的工作原理，只要攻擊是通過普遍許可的應(yīng)用程序協(xié)議進行的，那么網(wǎng)絡(luò)防火墻就不起任何作用了。入侵檢測系統(tǒng)目前最成熟的入侵檢測技術(shù)就是攻擊特征檢測。入侵檢測系統(tǒng)首先建立一個包含目前大多攻擊特征的數(shù)據(jù)庫，然后檢測網(wǎng)絡(luò)數(shù)據(jù)中的每一個報文，判斷是否含有數(shù)據(jù)庫中的任何一個攻擊特征，如果有，那么認為發(fā)生的響應(yīng)是攻擊，否那么認為是合法的數(shù)據(jù)。入侵檢測系統(tǒng)作為防火墻的有利補充，加強了網(wǎng)絡(luò)的

9、平安防御能力。入侵檢測技術(shù)同樣工作在網(wǎng)絡(luò)層上，對應(yīng)用協(xié)議的理解和作用存在相當?shù)木窒扌裕瑢τ趶?fù)雜的 會話和協(xié)議更是不能完整處理。另外就是其技術(shù)實現(xiàn)的矛盾，如果需要防御更多的攻擊，那么就需要很 多的規(guī)那么，但是隨著規(guī)那么的增多，系統(tǒng)出現(xiàn)的虛假報告對于入侵防御系統(tǒng)來說，會產(chǎn)生中 斷正常連接的問題率會上升，同時，系統(tǒng)的效率會降低。1.3應(yīng)用平安防護系統(tǒng)由前面的描述可以看出，傳統(tǒng)平安設(shè)備僅僅工作在網(wǎng)絡(luò)層上，并不能精確理解應(yīng)用層數(shù)據(jù)，更無法結(jié)合 Web系統(tǒng)對請求進行深入分析，因而無法防止黑客針對Web應(yīng)用漏洞進行的攻擊。在大量而廣泛的 Web網(wǎng)站和 Web應(yīng)用中，需要采用專門的 Web平安防護系統(tǒng)來保護

10、Web應(yīng)用層面的平安，上海天存信息技術(shù)研制和生產(chǎn)的iWall應(yīng)用防火墻就是這樣一款Web應(yīng)用防護產(chǎn)品。第2章產(chǎn)品原理和功能2.1 iWall 概述iWall應(yīng)用防火墻是一款保護 Web站點和應(yīng)用免受來自于應(yīng)用層攻擊的Web防護系統(tǒng)。iWall應(yīng)用防火墻實現(xiàn)了對 Web站點特別是 Web應(yīng)用的保護。它內(nèi)置于 Web效勞器軟 件中，通過分析應(yīng)用層的用戶請求數(shù)據(jù)如URL、參數(shù)、鏈接、Cookie等，區(qū)分正常用戶訪問Web和攻擊者的惡意行為，對攻擊行為進行實時阻斷和報警。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法執(zhí)行程序或腳本的命令攻擊等，黑客通過這些攻擊手段可以到達篡改數(shù)據(jù)庫和網(wǎng)頁、繞

11、過身份認證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴重危害網(wǎng)站內(nèi)容平安的目的。應(yīng)用防火墻是現(xiàn)代網(wǎng)絡(luò)平安架構(gòu)的一個重要組成局部，它著重進行應(yīng)用層的內(nèi)容檢查和平安防御，與傳統(tǒng)平安設(shè)備共同構(gòu)成全面和有效的平安防護體系。2.2 iWall工作原理2.2.1 Web系統(tǒng)核心內(nèi)嵌技術(shù)iWall使用了 Web系統(tǒng)核心內(nèi)嵌技術(shù)來對所有用戶請求數(shù)據(jù)進行檢查，在請求數(shù)據(jù)尚未 被Web效勞器軟件處理之前更在應(yīng)用處理之前即進行檢查，確保所有攻擊行為被拒之 門外。一個標準的Web效勞器的體系結(jié)構(gòu)如圖示 2-1所示：Web系統(tǒng)(IIS/Apache/Weblogic/Websphere/Resin/Tomcat)操作系統(tǒng)(Win

12、dows/Linux/FreeBSD/Solaris/AIX/HP-UX)硬件平臺(X86/sparc/ltaniumll/PowerPC/PA-RISC)圖示2-1 Web效勞器的體系結(jié)構(gòu)Web系統(tǒng)核心內(nèi)嵌技術(shù)以下簡稱核心內(nèi)嵌技術(shù)是指將平安模塊內(nèi)嵌在Web系統(tǒng)軟TER&EL天詐息件IIS/Apache/Weblogic/Websphere/中，這個模塊針對不同的Web系統(tǒng)使用相應(yīng)的核心內(nèi)嵌技術(shù)實現(xiàn)，例如：ISAPI、Apache-module、NSAPI、JAVA-filter等，如圖示 2-2所示。Web系統(tǒng)核心內(nèi)嵌模塊(ISAPI/Apache-module/NSAPI/JAVA

13、-filter)操作系統(tǒng)(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX)硬件平臺(X86/sparc/ltaniumll/PowerPC/PA-RISC)圖示2-2 Web系統(tǒng)核心內(nèi)嵌模塊的位置平安模塊內(nèi)嵌于Web系統(tǒng)即與Web系統(tǒng)完全整合，其優(yōu)點在于：不存在獨立的平安模塊運行進程，入侵者無法找到和中止平安模塊的運行。 精準理解和分析Web效勞傳入和傳出的數(shù)據(jù)，進行充分可靠的平安檢查。完全與 Web效勞的運行進程融合，處理效率高，穩(wěn)定性和兼容性強。與操作系統(tǒng)及硬件無關(guān)，全面控制Web系統(tǒng)軟件和效勞。應(yīng)用防護模塊iWall應(yīng)用防護模塊即采用可上述的Web系統(tǒng)核心

14、內(nèi)嵌模塊技術(shù)，對來自于客戶的 Web檢查點為：用戶提交的 請求request到達 Web效勞器，尚未進行其他處理時。檢查對象為：原始請求數(shù)據(jù)GET/POST等各種方法及其數(shù)據(jù)2.3 iWall 功能請求特性限制iWall可以對 請求的特性進行以下過濾和限制：請求頭檢查：對 報文中請求頭的名字和長度進行檢查。請求方法過濾：限制對指定 請求方法的訪問。請求地址過濾：限制對指定 請求地址的訪問。請求開始路徑過濾：限制 請求中的對指定開始路徑地址的訪問。請求文件過濾：限制 請求中的對指定文件的訪問。請求文件類型過濾：限制 請求中的對指定文件類型的訪問。請求版本過濾：限制對指定 版本的訪問及完整性檢查。

15、請求客戶端過濾：限制對指定 客戶端的訪問及完整性檢查。請求鏈接過濾：限制鏈接字段中含有的字符及完整性檢查。鑒別類型過濾：限制對指定 鑒別類型的訪問。鑒別帳號過濾：限制對指定 鑒別帳號的訪問。內(nèi)容長度過濾：限制對指定 請求內(nèi)容長度的訪問。內(nèi)容類型過濾：限制對指疋 請求內(nèi)容類型的訪冋。這些規(guī)那么需要可以根據(jù) Web系統(tǒng)的實際情況進行配置和分站點應(yīng)用。請求內(nèi)容限制iWall可以對 請求的內(nèi)容進行以下過濾和限制：URL過濾：對提交的 URL請求中的字符進行限制。請求參數(shù)過濾：對 GET方法提交的參數(shù)進行檢查包括注入式攻擊和代碼攻擊請求數(shù)據(jù)過濾：對POST方法提交的數(shù)據(jù)進行檢查包括注入式攻擊和代碼攻擊C

16、ookie過濾：對Cookie內(nèi)容進行檢查。盜鏈檢查：對指定的文件類型進行指定域的檢查?？缯竟魴z查：對指定的文件類型進行開始路徑的檢查。這些規(guī)那么需要可以根據(jù) Web系統(tǒng)的實際情況進行配置和分站點應(yīng)用。指定站點規(guī)那么iWall可以分別為一臺效勞器上不同的站點制定不同的規(guī)那么，站點區(qū)分的方法包括:不同的端口。不同的IP地址。不同的主機頭名即域名?？煞婪兜墓鬷Wall組合以上限制特性，可針對以下應(yīng)用攻擊進行有效防御：SQL數(shù)據(jù)庫注入式攻擊。腳根源代碼泄露。非法執(zhí)行系統(tǒng)命令。非法執(zhí)行腳本。上傳假冒文件?？缯灸_本漏洞。不平安的本地存儲。網(wǎng)站資源盜鏈。應(yīng)用層拒絕效勞攻擊。對這些攻擊更詳細的描述見本文

17、檔第5章：常見應(yīng)用層攻擊簡介。攻擊日志iWall對于所有攻擊都有詳細日志，包括:攻擊時間。攻擊者IP地址。主機名。URL。攻擊部位。攻擊內(nèi)容。觸發(fā)規(guī)那么。特征庫升級iWall的特征庫包括危險的頭、危險的文件類型、注入式攻擊模式等8個類別。天存公司對攻擊特征庫持續(xù)升級，以對未來出現(xiàn)的攻擊模式或新的操作系統(tǒng)/Web效勞器系統(tǒng)進行防范。鑒于Web效勞器的特殊平安性，特征庫不采用自動在線升級方式。第3章產(chǎn)品特點3.1平安性iWall應(yīng)用防火墻的防護引擎內(nèi)嵌于Web效勞器軟件里，與Web效勞器協(xié)同工作，有效處理來自每一個瀏覽器的每次訪問請求。它的部署位置決定了它完全能理解應(yīng)用層數(shù)據(jù)，每個 請求在實際交給

18、 Web效勞器處理之前，防護引擎都能結(jié)合Web效勞器會話環(huán)境對其進行平安性分析，確保應(yīng)用層上的萬無一失。3.2高效性iWall應(yīng)用防火墻的防護引擎以Web效勞器軟件插件的形式工作即Web效勞器核心內(nèi)嵌，完全與 Web效勞器合為一體。因此它在做平安檢查和分析時，沒有任何的網(wǎng)絡(luò)通信、 進程切換、線程創(chuàng)立和文件讀寫等動作，防止了不同系統(tǒng)交換信息所帶來的資源消耗和延遲， 最大限度保證了 Web效勞的效率。3.3靈活性iWall應(yīng)用防火墻的各項參數(shù)和設(shè)置都可以靈活地加以配置，特別是可以給同一網(wǎng)站的 不同的 Web效勞器及一臺 Web效勞器上不同的虛擬主機站點應(yīng)用不同的規(guī)那么。例如： 可以給公眾瀏覽站點和

19、管理站點設(shè)置不同的規(guī)那么，給不同Web系統(tǒng)的應(yīng)用設(shè)置不同的規(guī)那么等，最大程度滿足平安性和靈活性的平衡。3.4穩(wěn)定性iWall應(yīng)用防火墻的防護引擎使用了天存公司可靠的Web效勞器內(nèi)嵌模塊。該模塊嚴格按照7*24小時運行標準設(shè)計，在內(nèi)存處理、多線程處理、文件I/O處理方面有著穩(wěn)健的實現(xiàn)。該模塊已有4年的穩(wěn)定使用歷史，目前在全國500多臺高訪問量網(wǎng)站上運行，處理的日累計訪問量到達 80,000,000次。3.5廣泛性Wall應(yīng)用防火墻支持所有的主流操作系統(tǒng)，包括：Windows、Linux、FreeBSD、Solaris、AIX、HP-UX ；支持所有的主流 Web 效勞器軟件，包括：IIS、Apa

20、che、Weblogic、Websphere、 ReSin、Tomcat 等；支持所有的主流硬件 /CPU 架構(gòu)，包括：x86、spare、PowerPC、Itanium II、PA-RISC。3.6低本錢iWall應(yīng)用防火墻的低本錢表達在兩方面：零硬件需求和零管理需求。iWall核心是 Web系統(tǒng)的一個插件直接運行在用戶原有的Web效勞器上，無須新增任何硬件設(shè)備，也無須對原有硬件進行升級。另外，iWall與網(wǎng)站的應(yīng)用以及發(fā)布和管理方式完全無關(guān)，無須改變?nèi)?何系統(tǒng)管理和業(yè)務(wù)流程，該系統(tǒng)的部署對網(wǎng)站相關(guān)的絕大局部人員都是透明的。3.7可擴充iWall應(yīng)用防火墻的防護引擎與攻擊特征庫是別離的，可以

21、獨立升級。防護引擎相對穩(wěn) 定保證了 Web應(yīng)用系統(tǒng)/網(wǎng)站的穩(wěn)定性；攻擊特征庫會依據(jù)最新的平安狀況作及時更新，包 括：發(fā)現(xiàn)新的黑客攻擊模式、發(fā)現(xiàn)新的Web效勞器或操作系統(tǒng)漏洞、發(fā)布新的Web效勞器軟件或新的操作系統(tǒng)。第4章產(chǎn)品組成和型號4.1產(chǎn)品組成和部署Wall由以下兩個模塊組成：應(yīng)用防護模塊。iWall的核心防護模塊，內(nèi)嵌于 Web系統(tǒng)Web效勞器軟件中, 與Web效勞器一起運行。配置管理模塊。iWall的配置生成程序，在獨立管理員機器上運行，僅在系統(tǒng)管理 員需要改變iWall配置時才使用。兩者之間沒有通信連接。僅通過一個配置文件交換數(shù)據(jù)，即:配置管理模塊生成一個配置文件，將它復(fù)制到 Web

22、效勞器上供給用防護模塊使用。它們的關(guān)系如圖示 4-1所示。IntranetDMZInternet圖示4-1部署示意圖采取這種配置方式的優(yōu)點在于：1防止直接在 Web效勞器上修改配置，不給黑客可乘之機。2防止在 Web上新開管理網(wǎng)絡(luò)端口，不增加新的平安隱患。3在多個Web效勞器鏡像時，可以快速生成統(tǒng)一配置。4.2平臺支持iWall支持以下操作系統(tǒng)：Microsoft/Wi ndows NT/2000/XP/2003LinuxFreeBSDSolarisHP-UXAIXiWall支持以下Web效勞器：IISApacheiPla netSunONEWeblogicWebSphereresi ntom

23、catHP-AS4.3產(chǎn)品型號iWall分為根底版、標準版和企業(yè)版，所有版本使用了完全相同的平安技術(shù)，版本差異 主要由Web效勞器的CPU類型及數(shù)量決定，另外根底版不支持Unix操作系統(tǒng)。表格4-1列出了它們的適用范圍和特性:型號名稱根底版標準版企業(yè)版Web效勞器操作系統(tǒng)Windows/LinuxWindows/Linux/UnixWindows/Linux/UnixWeb效勞器CPU類型及數(shù)量X86 * 1X86 * 2 或 RISC * 1X86 * 4 或 RISC * 2支持虛擬站點的多規(guī)那么不支持支持支持* X86 CPU 包括：Intel、AMD、Cyrix，RISC CPU 包括

24、：PowerPC、spare、ItaniumII 、PA-RISC表格4-1產(chǎn)品型號第5章常見應(yīng)用層攻擊簡介5.1 SQL數(shù)據(jù)庫注入式攻擊攻擊者在表單輸入或 URL參數(shù)中提交SQL語句的片斷，如果應(yīng)用程序未對輸入經(jīng)適當 驗證、正?；蜣D(zhuǎn)義，那么這些片斷會與程序腳本一起構(gòu)成一個程序設(shè)計者預(yù)料之外的SQL語句，這條語句被數(shù)據(jù)庫系統(tǒng)執(zhí)行后將到達攻擊者期望的各種目的，包括：繞過身份鑒別、 偷取用戶資料、查看和修改數(shù)據(jù)庫、生成非法文件等。5.2腳根源代碼泄露正常情形下，用戶向 Web效勞器請求一個腳本文件例如 .asp或.jsp程序時，Web服 務(wù)器先執(zhí)行這些腳本，然后將執(zhí)行的結(jié)果返回給用戶的瀏覽器。而

25、在某些有漏洞的Web服務(wù)器或解析引擎中，攻擊者在腳本請求中輸入特殊字符后，這些腳本不是在Web效勞器上執(zhí)行，而是原樣發(fā)送到攻擊者的瀏覽器上顯示出來， 這樣，攻擊者就對程序的功能了如指掌。5.3非法執(zhí)行系統(tǒng)命令攻擊者利用 Web效勞器的一些漏洞例如早期IIS著名的Uni code漏洞和數(shù)據(jù)庫系統(tǒng) 的一些漏洞例如 SQL Server不平安的內(nèi)置存儲過程，通過構(gòu)造一些復(fù)雜的請求，可以實 現(xiàn)執(zhí)行任何操作系統(tǒng)命令的目的，包括：列目錄、篡改文件、關(guān)閉正常進程甚至對整個硬盤 進行格式化等。5.4非法執(zhí)行腳本每個Web效勞器和動態(tài)引擎都帶有一些例如性質(zhì)的腳本例子程序，如果系統(tǒng)管理員未對這些腳本作適當?shù)奶幚砝?/p>

26、如刪除或限制權(quán)限等，攻擊者就能通過訪問這些腳本獲得一些系統(tǒng)信息。更有甚者，攻擊者還可能在純靜態(tài)站點上執(zhí)行動態(tài)的內(nèi)容，或者執(zhí)行本站點不用的腳本類型例如在 IIS/ASP上執(zhí)行jsp，從而造成更多的破壞。5.5上傳假冒文件對有文件上傳功能的站點例如BBS,攻擊者通過構(gòu)造請求，可以繞過文件類型限制例如只允許上傳圖片文件上傳生成任意文件后綴的文件。這樣不僅可能破壞頁面的顯示，更為嚴重的是，如果上傳了腳本文件并且管理員未對該目錄作有限權(quán)限控制，那么攻擊者可以直接執(zhí)行該腳本。5.6跨站腳本漏洞跨站腳本漏洞常常被稱為 XSS漏洞，它是指Web站點和應(yīng)用未經(jīng)適當過濾便將用戶提 交的信息原樣顯示在頁面上，它允許攻擊者指定的任意文字內(nèi)容顯示在被害者的瀏覽器中， 甚至可以在用戶瀏覽器上執(zhí)行一個JavaScript語句，而這個 JavaScript語句可以彈出窗口、獲得用戶信息等。通過社會工程，這種攻擊可以對網(wǎng)站所有者造成大規(guī)模形象破壞。5.7網(wǎng)站資源盜鏈一些小網(wǎng)站通過盜鏈的方法引用大型和正規(guī)網(wǎng)站的文字、圖片甚至視頻資源， 這些內(nèi)容不在自己效勞器上， 而通過