強訊科技CallThink呼叫中心系統在網(wǎng)絡(luò )安方面進(jìn)行升級,包括SQL注入、暴力破解、回話(huà)固定等等漏洞。
強訊公司從創(chuàng )始之初就以軟件開(kāi)發(fā)為主,從早期的CS產(chǎn)品,現在的BS產(chǎn)品,在不斷應用新技術(shù),開(kāi)發(fā)新功能的同時(shí),我們也遇到了很多網(wǎng)絡(luò )安全問(wèn)題。最初的處理方就是更新系統補丁,避免病毒通過(guò)系統漏洞感染計算機;設置強壯管理員登錄密碼;及時(shí)更新殺毒軟件,并定期的進(jìn)行全盤(pán)殺毒等方式提高系統的安全性。
隨著(zhù)互聯(lián)網(wǎng)的普及,隱私泄露、信息被盜、惡意代碼注入、數據庫被攻擊等各種網(wǎng)絡(luò )攻擊的方式日漸增多,目前的大環(huán)境是企業(yè)對自身的網(wǎng)絡(luò )安全的重視程度在不斷提高,市場(chǎng)上出現了很多網(wǎng)絡(luò )安全檢測軟件,如綠盟軟件等,輔助企業(yè)提高網(wǎng)絡(luò )安全性。
強訊的產(chǎn)品在經(jīng)受網(wǎng)絡(luò )安全檢測過(guò)程中,發(fā)現了很多問(wèn)題。目前的BS架構系統,被檢測出包括SQL注入、暴力破解、跨網(wǎng)站攻擊、回話(huà)固定等漏洞。同時(shí),我們的產(chǎn)品都是基于Windows操作系統的,那么Windows系統本身的漏洞也為我們的軟件產(chǎn)品安全帶來(lái)威脅。我們在解決這些問(wèn)題的過(guò)程中,也逐步積累了一些方法,下面我們簡(jiǎn)單描述一下網(wǎng)絡(luò )攻擊方式:
1、SQL注入
所謂SQL注入,就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請求的查詢(xún)字符串,最終達到欺騙服務(wù)器執行惡意的SQL命令。具體來(lái)說(shuō),它是利用現有應用程序,將(惡意)的SQL命令注入到后臺數據庫引擎執行的能力,它可以通過(guò)在Web表單中輸入(惡意)SQL語(yǔ)句得到一個(gè)存在安全漏洞的網(wǎng)站上的數據庫,而不是按照設計者意圖去執行SQL語(yǔ)句。
2、XSS跨站攻擊:
(Cross Site Script為了區別于CSS簡(jiǎn)稱(chēng)為XSS) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼,當用戶(hù)瀏覽該頁(yè)之時(shí),嵌入其中Web里面的html代碼會(huì )被執行,從而達到惡意用戶(hù)的特殊目的。
3、會(huì )話(huà)固定
Session fixation attack(會(huì )話(huà)固定攻擊)是利用服務(wù)器的session不變機制,借他人之手獲得認證和授權,然后冒充他人。這種攻擊方式的核心要點(diǎn)就是讓合法用戶(hù)使用攻擊者預先設定的session ID來(lái)訪(fǎng)問(wèn)被攻擊的應用程序,一旦用戶(hù)的會(huì )話(huà)ID被成功固定,攻擊者就可以通過(guò)此session id來(lái)冒充用戶(hù)訪(fǎng)問(wèn)應用程序(只要該session id還是有效的,也就是沒(méi)有被系統重新生成或者銷(xiāo)毀)。 通過(guò)這種方式,攻擊者就不需要捕獲用戶(hù)的Session id(該種方式難度相對稍大)。
4、暴力破解
暴力破解一般指窮舉法,窮舉法的基本思想是根據題目的部分條件確定答案的大致范圍,并在此范圍內對所有可能的情況逐一驗證,直到全部情況驗證完畢。若某個(gè)情況驗證符合題目的全部條件,則為本問(wèn)題的一個(gè)解;若全部情況驗證后都不符合題目的全部條件,則本題無(wú)解。窮舉法也稱(chēng)為枚舉法。
系統登錄時(shí)如果未采取圖形驗證碼等有效的安全措施,或者驗證碼不刷新,惡意攻擊者可以采用字典方式進(jìn)行多次登錄嘗試,從而威脅用戶(hù)的帳號安全。
5、TRACE Method Enabled漏洞
TRACE方法是HTTP(超文本傳輸)協(xié)議定義的一種協(xié)議調試方法,該方法使得服務(wù)器原樣返回任何客戶(hù)端請求的內容(可能會(huì )附加路由中間的代理服務(wù)器的信息),由于該方法原樣返回客戶(hù)端提交的任意數據,因此,可用來(lái)進(jìn)行跨站腳本(XSS)攻擊,這種攻擊方式又稱(chēng)為跨站跟蹤攻擊(XST)。
6、啟用TRACE方法存在如下風(fēng)險
A、 惡意攻擊者可以通過(guò)TRACE方法返回的信息了解到網(wǎng)站前端的某些信息,如緩存服務(wù)器等,從而為進(jìn)一步的攻擊提供便利;
B、 惡意攻擊者可以通過(guò)TRACE方法進(jìn)行XSS攻擊,盜取會(huì )話(huà)cookie、獲取賬戶(hù)、模擬其他用戶(hù)身份,甚至可以修改網(wǎng)頁(yè)呈現給其他用戶(hù)的內容,從而給用戶(hù)帶來(lái)?yè)p失;
C、 即使網(wǎng)站對關(guān)鍵頁(yè)面啟用了HttpOnly頭標記,禁止腳本讀取cookie信息時(shí),通過(guò)使用Trace方法,惡意攻擊者可以繞過(guò)這個(gè)限制,讀取cookie信息。
7、WEBSHELL
shell是web入侵的腳本攻擊工具。簡(jiǎn)單的說(shuō)來(lái),webshell就是一個(gè)asp或php木馬后門(mén),黑客在入侵了一個(gè)網(wǎng)站后,常常在將這些 asp或php木馬后門(mén)文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁(yè)文件混在一起。然后黑客就可以用web的方式,通過(guò)asp或php木馬后門(mén)控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數據庫、執行任意程序命令等。防范webshell的最有效方法就是:可寫(xiě)目錄不給執行權限,有執行權限的目錄不給寫(xiě)權限。
8、明文密碼傳輸漏洞
在HTTP下密碼是通過(guò)明文傳輸,在系統登錄時(shí),傳輸的密碼未進(jìn)行加密,可通過(guò)數據包攔截直接獲取。密碼類(lèi)的重要信息會(huì )很容易被嗅探到,極其不安全。有人提用 MD5 代替明文,但是解決這種傳輸中安全問(wèn)題的終極方案是使用HTTPS協(xié)議加密傳輸。只要在客戶(hù)端輸入時(shí)密碼不被竊取,且SSL協(xié)議的私鑰安全,這種協(xié)議就是安全的。
9、JS敏感信息泄露
JavaScript作為一種相當簡(jiǎn)單但功能強大的客戶(hù)端腳本語(yǔ)言,本質(zhì)是一種解釋型語(yǔ)言。所以,其執行原理是邊解釋邊運行。上述特性就決定了JavaScript與一些服務(wù)器腳本語(yǔ)言(如ASP、PHP)以及編譯型語(yǔ)言(如C、C++)不同,其源代碼可以輕松被任何人獲取到。一些粗心的開(kāi)發(fā)者將各式敏感信息存儲在JavaScript腳本中,由于JS的特性,攻擊者可以對這些信息一覽無(wú)余,從而導致對WEB服務(wù)和用戶(hù)隱私造成不同程度的威脅。此類(lèi)漏洞修復相對容易,在明白了JavaScript的特性以后,不把此類(lèi)敏感信息直接存儲進(jìn)頁(yè)面內的js和ajax請求響應內容中就可以解決這類(lèi)問(wèn)題。
10、IIS短文件名枚舉漏洞
Microsoft IIS在實(shí)現上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網(wǎng)絡(luò )服務(wù)器根目錄中的文件,即如果創(chuàng )建了一個(gè)長(cháng)文件,那么無(wú)需猜解長(cháng)文件,直接用短文件就可以下載了。攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名,或對IIS服務(wù)器中的。Net Framework進(jìn)行拒絕服務(wù)攻擊。漏洞造成原因:沒(méi)有禁止NTFS8.3格式文件名創(chuàng )建。
11、啟用APSP。NET調試模式
應用程序代碼可能會(huì )包含各種類(lèi)型的錯誤或BUG,通過(guò)調試將獲取大量網(wǎng)站敏感數據。同時(shí)啟用調試模式將極大地影響 ASP。NET 應用程序的性能。應在部署發(fā)布版本的應用程序或進(jìn)行性能度量之前要禁用調試模式。
12、系統漏洞
Windows操作系統會(huì )不斷暴露出漏洞并持續需要修復,系統中存在安全漏洞和質(zhì)量缺陷將會(huì )使系統遭到攻擊。
13、系統安全配置
A、配置管理缺省賬戶(hù)以及賬戶(hù)錯誤鎖定機制。
B、對密碼的負責度和生存周期、重復次數等進(jìn)行配置。
C、設置遠程認證授權,安裝殺毒軟件并及時(shí)更新。
D、關(guān)閉不必要的服務(wù)端口。
E、關(guān)閉硬盤(pán)的默認共享。
F、關(guān)閉WINDOWS自動(dòng)播放功能
G、取消不必要的啟動(dòng)項
14、IIS安全配置
A、設定IIS的IP訪(fǎng)問(wèn)范圍
B、檢查IIS是否已配置SSL身份訪(fǎng)問(wèn)驗證
C、更改IIS Web日志默認路徑
D、檢查是否已配置錯誤頁(yè)面重定向
E、禁止IIS列表顯示文件
