【51CTO.com 综合消息】随着各种各样的Web应用(电子商务、论坛、新闻、博客等)不断进入人们的生活,越来越多的动态元素被加入到网站建设中来。表单、登录、信息发布等动态内容允许访问者获得和提交动态的内容,如果这些Web应用存在不安全的隐患,那么整个数据库甚至是Web站点系统都会面临安全风险。据统计,目前75%的网络攻击行为都是通过Web来进行的。
对Web应用的安全性进行手工测试和审计是一项复杂且耗时的工作,不仅需要极大的耐心还需要专业的技术经验。对于Web管理人员来说,基于安全的管理将占用大量工作时间。自动化的漏洞扫描工具能够大幅简化对于未知安全隐患的检测工作,有助于Web管理人员将精力转向如何处理安全风险上。
针对系统平台安全性的自动化漏洞扫描、审计产品已经为人们所熟悉,这些产品能够很方便的检测操作系统、端口服务、Web服务平台、口令通信等方面存在的安全隐患。但是针对Web应用层的成熟的安全性检测系统目前还比较少,本文使用的是国舜科技的UnisWebScanner系统来进行的。
本次检测对象为某贸易公司网站,检测行为已获得该公司认可。检测项目为注入漏洞、跨站漏洞、挂马漏洞以及敏感信息泄漏等。
 |
| 图1 |
检测过程中发现有3个注入漏洞风险,其中两个为SQL盲注漏洞,一个为普通SQL注入漏洞。为了检测注入漏洞是否可以被恶意攻击者利用,可以对其进行注入漏洞状态验证。
 |
| 图2 |
对于两个盲注漏洞的状态验证,我们还原扫描系统的检测结果发现该网站对用户提交的访问没有进行合规性过滤。对于提交的特殊构造访问,依然返回了相关信息。
 |
| 图3 |
 |
| 图4 |
而对于普通SQL注入漏洞,我们发现了该网站使用的数据库类型,对数据库内的敏感信息进行了扫描,并获取了一定的敏感信息。碰巧的是,出现这个注入漏洞的不是别的页面,正是网站的后台管理登录页面,于是为了验证获得的敏感信息,我们使用了之前获取的帐号密码,发现果然可以进入。对于恶意的攻击者来说,这样的漏洞对于网站来说简直是灾难性的,攻击者甚至不需要去寻找后台登录页面,也不需要进行密码暴力破解,在3-5分钟内就可以完成对整个网站的控制。
 |
| 图5 |
对于3个跨站漏洞,系统使用了 >">
对于这个贸易公司网站来说主要存在的是两方面的安全威胁,第一是来源于注入漏洞,恶意攻击者可以利用这些漏洞获得数据库内的某些敏感信息,假如获得后台管理员的帐号密码,那么整个网站服务器就岌岌可危了。另外,跨站漏洞虽然对于网站服务器本身的威胁并不是很严重,但是作为一个交易平台,作为一个以服务客户为目的的网站系统,如果使得客户的隐私信息发生泄漏又或是客户访问主机被执行了恶意操作,那么对于这个贸易公司来说,商业信誉以及经济方面的损失将是不可估量的。
