应用服务器安全防范技术

主讲人：昆明理工大学付湘琼版权所有第五章应用服务器安全防范技术信息网络安全培训主讲人：付湘琼邮件地址：web_admin@tom.com网站地址：://主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com本章学习目标学习完本章，您应该能够：WEB服务器入侵分析WEB服务器漏洞评估和分析WEB应用程序漏洞扫描和评估FTP服务器入侵分析安全电子邮件服务器配置主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com本章学习重点常规的WEB服务器入侵方法WEB应用程序漏洞扫描和评估FTP服务器入侵分析安全电子邮件服务器（垃圾邮件）主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com本章内容提要常规的WEB服务器入侵方法WEB应用程序漏洞扫描和评估FTP服务器入侵分析主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comWEB服务器常见漏洞介绍WEB服务器存在的主要漏洞包括物理路径泄露，CGI源代码泄露，目录遍历，执行任意命令，缓冲区溢出，拒绝服务，条件竞争和跨站脚本执行漏洞，和CGI漏洞有些相似的地方，但是更多的地方还是有着本质的不同。不过无论是什么漏洞，都体现着安全是一个整体的真理，考虑WEB服务器的安全性，必须要考虑到与之相配合的操作系统。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comWEB服务器常见漏洞介绍【物理路径泄露】物理路径泄露一般是由于WEB服务器处理用户请求出错导致的，如通过提交一个超长的请求，或者是某个精心构造的特殊请求，亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点，那就是被请求的文件肯定属于CGI脚本，而不是静态HTML页面。还有一种情况，就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径，这应该算是设计上的问题。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comWEB服务器常见漏洞介绍【CGI源代码泄露】CGI源代码泄露的原因比较多，例如大小写，编码解码，附加特殊字符或精心构造的特殊请求等都可能导致CGI源代码泄露。【目录遍历】目录遍历对于WEB服务器来说并不多见，通过对任意目录附加“../”，或者是在有特殊意义的目录附加“../”，或者是附加“../”的一些变形，如“..\”或“..//”甚至其编码，都可能导致目录遍历。前一种情况并不多见，但是后面的几种情况就常见得多，去年非常流行的IIS二次解码漏洞和UNICODE解码漏洞都可以看作是变形后的编码。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comWEB服务器常见漏洞介绍【执行任意命令】执行任意命令即执行任意操作系统命令，主要包括两种情况。一是通过遍历目录，如二次解码和UNICODE解码漏洞，来执行系统命令。另外一种就是WEB服务器把用户提交的请求作为SSI指令解析，因此导致执行任意命令。【缓冲区溢出】缓冲区溢出漏洞想必大家都很熟悉，无非是WEB服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTPHeader域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comWEB服务器常见漏洞介绍【拒绝服务】拒绝服务产生的原因多种多样，主要包括超长URL，特殊目录，超长HTTPHeader域，畸形HTTPHeader域或者是DOS设备文件等。由于WEB服务器在处理这些特殊请求时不知所措或者是处理方式不当，因此出错终止或挂起。正常的拒绝服务攻击。。。【条件竞争】这里的条件竞争主要针对一些管理服务器而言，这类服务器一般是以system或root身份运行的。当它们需要使用一些临时文件，而在对这些文件进行写操作之前，却没有对文件的属性进行检查，一般可能导致重要系统文件被重写，甚至获得系统控制权。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com常规的WEB服务器入侵实例缓冲器溢出CGI漏洞SQL注入CGI源代码泄漏（Inc文件泄露）暴力破解钓鱼攻击DNS欺骗…主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com缓冲区/堆栈溢出技术如果计算机程序的编码没有对缓冲区做适当的检查，看它们是否能完全装入新的数据内容，结果就可能造成缓冲区溢出的产生。入侵者用精心编写的入侵代码使缓冲区溢出，并将被调用的过程的返回地址覆盖为入侵者所希望运行的那段代码的地址，这样当该过程返回时，程序就开始执行入侵者设定的代码了。远程缓冲区溢出类别：Exploits主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com缓冲区溢出演示－WebDAVWebDAV（Web分布式创作和版本控制）是一种通过HTTP将内容发布到IIS服务器（IIS5或IIS6）或从IIS服务器发布内容的方法。由于WebDAV基于RFC并且是通过HTTP实现的，它不需要进行任何修改就可以通过大多数防火墙。这样，您不需要使用专门的协议（例如FTP）或专门的COM对象就可以发布到Web服务器和从Web服务器进行发布。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com缓冲区溢出演示－WebDAVIIS5.0默认提供了对WebDAV的支持，通过WebDAV可以通过HTTP向用户提供远程文件存储的服务。但是作为普通的HTTP服务器，这个功能不是必需的IIS5.0包含的WebDAV组件不充分检查传递给部分系统组件的数据，远程攻击者利用这个漏洞对WebDAV进行缓冲区溢出攻击，可能以WEB进程权限在系统上执行任意指令。IIS5.0的WebDAV使用了ntdll.dll中的一些函数，而这些函数存在一个缓冲区溢出漏洞。通过对WebDAV的畸形请求可以触发这个溢出。成功利用这个漏洞可以获得LocalSystem权限。这意味着，入侵者可以获得主机的完全控制能力。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comWEBDAV防范IIS没有内置的基于每个站点启用或禁用WebDAV的方法。在IIS5中，默认情况下会为所有网站启用WebDAV。要禁用它，请使用URLScan阻止传入的WebDAV请求（默认情况下阻止）。您也可以参考知识库文章如何对IIS5.0禁用WebDAV。对于IIS6，使用IIS管理器中的Web服务扩展节点即可启用或禁用WebDAV。默认情况下，IIS6中禁用WebDAV。主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com系统漏洞Unicode解码目录遍历漏洞IISUnicode解码目录遍历漏洞发布日期：2000/10/20影响的系统：MicrosoftIIS4.0/5.0对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”,它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件，Windows系统认为0xc10xhh可能是unicode编码，因此会首先将其解码，如果0x00=%hh0x40，采用的解码格式与下面的格式类似：%c1%hh-(0xc1-0xc0)*0x40+0xhh%c0%hh-(0xc0-0xc0)*0x40+0xhh%c1%1c-(0xc1-0xc0)*0x40+0x1c=0x5c='/'主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.com系统漏洞Unicode解码目录遍历漏洞攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。RainForestPuppy测试发现对于英文版的IIS4.0/5.0,此问题同样存在，只是编码格式略有不同，变成%c0%af或者%c1%9c.主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comCGI漏洞Unicode解码目录遍历漏洞显示目录::\cmd.exe?/c+”之后就是DOS命令增加一个目录：:\hacker删除网页:\主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comCGI漏洞Unicode解码目录遍历漏洞增加一个目录：:\hacker管道工具“”“”的功能“”“”是将命令产生的输出重新定向,比如写到某个文件或输出到打印机中。“”产生的内容将追加进文件中，“”则将原文件内容覆盖。修改主页：IIS加载程序检测到有cmd.exe或者command.com串就要检测特殊字符“&|(,;%”如果发现有这些字符就会返回500错误，所以不能直接使用cmd.exe加管道符等。所以要在CMD后面加上你被黑了,哈哈！++c:\主讲人：昆明理工大学付湘琼版权所有网站地址:电子邮件:webmaster@sureserv.comCGI漏洞Unicode解码目录遍历漏洞利用这样的方法我们可以建立.bat.txt.asp.htm.html等文件，这对于一个存在这漏洞的网站可以说是致命打击的开始。尤其是能写.bat文件，如果我们在autoexe.bat里面加入formatdel等命令时。结果会如何？？常用使用增加用户使用TFTP下载后