樊秀萍

引言：通過對職業(yè)學校Web服務(wù)器的了解，總結(jié)對服務(wù)器常用的五種攻擊模式：系統(tǒng)軟件漏洞攻擊，應(yīng)用軟件漏洞攻擊，跨站攻擊，上傳漏洞攻擊，SQL注入漏洞攻擊，并根據(jù)相應(yīng)的攻擊模式，進行安全防護，打造安全的職業(yè)學校服務(wù)器。

一、引言

時至21世紀信息技術(shù)高度發(fā)達的社會階段，通過互聯(lián)網(wǎng)的普及，網(wǎng)站安全成為眾多職業(yè)學校關(guān)心的話題，如何打造安全的校園網(wǎng)站是當前諸多職業(yè)學校面臨的難題，在此以我校網(wǎng)站服務(wù)器設(shè)計搭建模型，結(jié)合多年的網(wǎng)站攻防經(jīng)驗，探討如何打造安全的職業(yè)學校Web服務(wù)器。

二、網(wǎng)站漏洞分析

職業(yè)學校校園網(wǎng)站遭受的攻擊多種多樣，根據(jù)多年的網(wǎng)站攻防安全經(jīng)歷，經(jīng)筆者總結(jié)，現(xiàn)在的攻擊模式從總體上講分為兩個層次，而這兩個系統(tǒng)通常包含五種模式。兩個系統(tǒng)分別是指，軟件漏洞和源碼漏洞。

2.1軟件系統(tǒng)漏洞

所謂的軟件漏洞主要是指因為軟件存在的安全漏洞而給服務(wù)器帶來安全的隱患，軟件漏洞包括兩種模式，一種模式是系統(tǒng)安全漏洞。如：Windows csrss.exe棧溢出漏洞，另外一種模式是應(yīng)用軟件漏洞，如：聯(lián)眾游戲漏洞、超星閱讀器0-day漏洞、迅雷0-day漏洞、Pplive 0-day漏洞、暴風影音等。這兩種模式的漏洞黑客可以根據(jù)端口掃描，掃描存在漏洞的端口，然后發(fā)送指令，導致內(nèi)存溢出，從而實現(xiàn)服務(wù)器的攻擊，所以在打造服務(wù)器安全的時候要及時安裝系統(tǒng)安全補丁和使用最新版本軟件，及時關(guān)注系統(tǒng)漏洞及應(yīng)用軟件方面的漏洞公告，及時更新，從而確保網(wǎng)站的安全。要阻止這方面的漏洞，最有效的方法是采用端口限制，職業(yè)學校當中絕大部分職業(yè)學校都使用了硬件防火墻，通常情況下都會在硬件防火墻上劃出一個端口當作：DMZ區(qū)，DMZ是英文“Demilitarized Zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，通常情況下有數(shù)據(jù)安全要求的服務(wù)器都會接在這個接口下，我們可以在這個設(shè)備上進行網(wǎng)絡(luò)通信的端口控制，我們通常嚴格控制的DMZ區(qū)的端口通信，只開放服務(wù)器需要通信的端口。但是只要有通信就有漏洞，以一臺裝有Windows 2003操作系統(tǒng)的服務(wù)器為例，如果防火墻為服務(wù)器開放80端口，但是如果這臺服務(wù)器的iis存在安全漏洞，黑客通過攻擊iis的80端口，實現(xiàn)網(wǎng)站攻擊，防火墻也無法阻止這樣的網(wǎng)絡(luò)攻擊，所以作為網(wǎng)站的安全管理員要經(jīng)常更新服務(wù)器的補丁，合理規(guī)劃防火墻配置，從而確保網(wǎng)站的安全。

2.2 源碼漏洞

假設(shè)我們把系統(tǒng)的安全補丁更新到最新，防火墻也做了合理的安全配置，那么如果存在第二種系統(tǒng)形式的漏洞—源碼漏洞，那么前面所有的工作都是白費。所謂的源碼漏洞就是網(wǎng)站的源代碼存在安全漏洞，黑客通過源代碼漏洞從而實現(xiàn)對網(wǎng)站的攻擊，這種層次上的攻擊方式也是現(xiàn)在最常見的網(wǎng)站攻擊方式，在職業(yè)學校的網(wǎng)站開發(fā)過程中，由于網(wǎng)站開發(fā)人員水平參差不齊，甚至許多網(wǎng)站由學生開發(fā)，許多源代碼來自網(wǎng)絡(luò)，由于開發(fā)人員沒有安全方面的經(jīng)驗，沒有對源代碼做任何安全審核，也未做相應(yīng)的安全防護，從而存在這樣那樣的漏洞，而職業(yè)學校為了方便管理，有效的利用服務(wù)器資源，網(wǎng)站基本上都是存放在同一個服務(wù)器上，這就比如將雞蛋放在同一個籃子里，針對職業(yè)學校的網(wǎng)站服務(wù)器模型，黑客通常采用最常用的“旁注”的攻擊手段，所謂的旁站攻擊就是通過目標網(wǎng)站所在的主機上存放的其他網(wǎng)站進行注入攻擊的方法。黑客在攻擊某網(wǎng)站時，不一定能夠找得到這個網(wǎng)站的突破點，這主要是和網(wǎng)站程序的開始者及使用者的技術(shù)水平和安全意識相關(guān)。

三、網(wǎng)站攻擊模式分析

經(jīng)筆者測試，源碼漏洞在職業(yè)學校的網(wǎng)站中普遍的存在，而利用源碼漏洞攻擊的方式又多種多樣，筆者根據(jù)常見的網(wǎng)站攻防總結(jié)出最常用的三種攻擊模式。

3.1 跨站攻擊

跨站攻擊即cross site script execution（通常簡寫為xss）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶如網(wǎng)站管理員造成影響的html代碼，使得用戶認為該頁面是可信賴的，但是當瀏覽器下載該頁面，嵌入其中的腳本將被解釋執(zhí)行。典型的方式是入侵者利用html語言允許使用腳本進行簡單交互特性，通過技術(shù)手段在某個頁面里插入一個惡意html代碼。例如記錄登陸后臺保存的用戶信息（cookie），由于cookie保存了完整的用戶名和密碼資料，用戶就會遭受安全損失。

3.2 上傳漏洞

所謂的上傳漏洞就是上傳程序被入侵者利用，被利用者上傳木馬文件，然后入侵者訪問該木馬程序，從而實現(xiàn)了對網(wǎng)站的攻擊，現(xiàn)在的網(wǎng)站當中都使用現(xiàn)有的上傳組件進行文件上傳，而有的上傳組件在上傳過程中對文件上傳類型沒有過濾，如能夠上傳asp、asa等類型文件，或過濾代碼有漏洞，入侵者根據(jù)構(gòu)造上傳文件的后綴名，有效規(guī)避文件上傳類型的限制，實現(xiàn)木馬文件的上傳，或上傳文件沒有做足調(diào)用權(quán)限，被黑客利用，上傳木馬。

3.3 SQL注入

SQL注入是入侵者通過把精心構(gòu)造的SQL命令插入到web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令，從而得到數(shù)據(jù)庫的內(nèi)容（如管理員的賬戶、密碼），SQL注入是源碼漏洞種最常見的網(wǎng)站漏洞，因此SQL注入攻擊也是黑客最常用的攻擊手段，現(xiàn)在的網(wǎng)絡(luò)上可以找到各種各樣的SQL注入工具，也使得入侵者的門檻不斷的降低，隨便有電腦常識的人在網(wǎng)上搜索一個注入工具，就可以進行入侵，也是最有效的入侵方式，結(jié)合旁注攻擊，就可以起到事半功倍的效應(yīng)。

四、總結(jié)

網(wǎng)站安全是一個常見常新的話題，網(wǎng)站安全也是一個綜合性的課題，網(wǎng)站服務(wù)器安全是需要多個層次的綜合設(shè)置，才能構(gòu)建一個完善的網(wǎng)站安全系統(tǒng)，做足兩個層次五種模式的安全防護，可以防止常見的攻擊手段，攻擊模式不是一成不變的，攻擊的方式多種多樣，甚至包括社會工程學等內(nèi)容，因此絕對不存在一勞永逸的方法，沒有絕對安全的系統(tǒng)，只有尚未發(fā)現(xiàn)的漏洞，作為網(wǎng)站安全管理員，我們要時刻關(guān)心信息安全領(lǐng)域的動態(tài)，不斷的學習新的攻防手段，才能在這場網(wǎng)站安全攻防較量中占得先機。

參考文獻

[1]王達.網(wǎng)管員必讀—網(wǎng)絡(luò)安全[m].電子工業(yè)出版社：北京.出版時間2007年2月1日.

[2]褚城云.SQL攻擊注入和網(wǎng)頁掛馬[J].程序員，2008年7月第七期第80-125頁.

[3]燕麗艷，曹天杰.SQL注入攻擊的分析與防范[J].電腦知識與技術(shù)，2009年09期第315-420頁.

[4]黃景文.SQL注入攻擊的一個新的防范策略[J].微計算機信息，2008年06期第70-120頁.

[5]王海飛.淺談服務(wù)器的安全維護與管理[J].電腦知識與技術(shù)，2008年03期110-170頁.

（作者單位：內(nèi)蒙古赤峰市松山區(qū)職業(yè)技術(shù)教育培訓中心）