阿姆瑞特安全網(wǎng)關(guān)抗攻擊技術(shù)--應(yīng)用層攻擊

阿姆瑞特安全網(wǎng)關(guān)是集成了防火墻、VPN、入侵防御、防病毒、內(nèi)容過濾、應(yīng)用控制等組件的下一代綜合安全網(wǎng)關(guān)。可以有效抵御網(wǎng)絡(luò)層、應(yīng)用層的多方面威脅。為用戶建立立體安全屏障，保障用戶網(wǎng)絡(luò)安全。
本文介紹常見的應(yīng)用層攻擊原理以及阿姆瑞特安全網(wǎng)關(guān)在應(yīng)用層對用戶網(wǎng)絡(luò)的保護(hù)的機(jī)理。

◆ 抵御對服務(wù)器的應(yīng)用層掃描
攻擊原理：大多數(shù)在入侵之前都是通過對攻擊對象進(jìn)行掃描，收集被攻擊對象開放什么端口、什么服務(wù)、有何漏洞、哪些用戶的口令弱等信息，然后再展開相應(yīng)的攻擊。
防護(hù)原理：通過安全網(wǎng)關(guān)上設(shè)置規(guī)則：如果發(fā)現(xiàn)外部有某臺計(jì)算機(jī)在單位時(shí)間內(nèi)與內(nèi)部某臺服務(wù)器或者主機(jī)建立多個連接，便認(rèn)為是掃描行為，斷定這個連接。從而防止入侵者的掃描行為，把入侵行為扼殺在最初階段。

◆ 防范XSS跨站腳本攻擊
攻擊原理：XSS 屬于被動式的攻擊。攻擊者先構(gòu)造一個跨站頁面，利用script、IMG、IFRAME等各種方式使得用戶瀏覽這個頁面時(shí)，觸發(fā)對被攻擊站點(diǎn)的http 請求。此時(shí)，如果被攻擊者如果已經(jīng)在被攻擊站點(diǎn)登錄，就會持有該站點(diǎn)cookie。這樣該站點(diǎn)會認(rèn)為被攻擊者發(fā)起了一個http 請求。而實(shí)際上這個請求是在被攻擊者不知情的情況下發(fā)起的，由此攻擊者在一定程度上達(dá)到了冒充被攻擊者的目的。精心的構(gòu)造這個攻擊請求，可以達(dá)到冒充發(fā)文，奪取權(quán)限等等多個攻擊目的。在常見的攻擊實(shí)例中，這個請求是通過script 來發(fā)起的，因此被稱為Cross Site Script。攻擊Yahoo Mail 的Yamanner 蠕蟲是一個的XSS 攻擊實(shí)例。Yahoo Mail 系統(tǒng)有一個漏洞，當(dāng)用戶在web 上察看信件時(shí)，有可能執(zhí)行到信件內(nèi)的javascript 代碼。病毒可以利用這個漏洞使被攻擊用戶運(yùn)行病毒的script。同時(shí)Yahoo Mail 系統(tǒng)使用了Ajax技術(shù)，這樣病毒的script可以很容易的向Yahoo Mail 系統(tǒng)發(fā)起ajax 請求，從而得到用戶的地址簿，并發(fā)送病毒給他人。
防護(hù)原理：通過安全網(wǎng)關(guān)上設(shè)置IDP規(guī)則，禁止跨站腳本執(zhí)行。在阿姆瑞特安全網(wǎng)關(guān)特征碼里面，包含了6918中XSS的特征碼（特征庫版本），包含了各類已知的XSS跨站攻擊，為用戶網(wǎng)絡(luò)報(bào)價(jià)護(hù)航。


◆ 防范SQL注入攻擊
攻擊原理：SQL注入是利用現(xiàn)有應(yīng)用程序，將(惡意)的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力。SQL注入利用的是正常的HTTP服務(wù)端口，表面上看來和正常的web訪問沒有區(qū)別，隱蔽性，不易被發(fā)現(xiàn)。
SQL注入攻擊過程分為五個步驟：
步：判斷Web環(huán)境是否可以SQL注入。如果URL僅是對網(wǎng)頁的訪問，不存在SQL注入問題，如：.cn/.shtml就是普通的網(wǎng)頁訪問。只有對數(shù)據(jù)庫進(jìn)行動態(tài)查詢的業(yè)務(wù)才可能存在SQL注入，如：/webhp?id＝39，其中?id＝39表示數(shù)據(jù)庫查詢變量，這種語句會在數(shù)據(jù)庫中執(zhí)行，因此可能會給數(shù)據(jù)庫帶來威脅。
第二步：尋找SQL注入點(diǎn)。完成上一步的片斷后，就要尋找可利用的注入漏洞，通過輸入一些特殊語句，可以根據(jù)瀏覽器返回信息，判斷數(shù)據(jù)庫類型，從而構(gòu)建數(shù)據(jù)庫查詢語句找到注入點(diǎn)。
第三步：猜解用戶名和密碼。數(shù)據(jù)庫中存放的表名、字段名都是有規(guī)律可言的。通過構(gòu)建特殊數(shù)據(jù)庫語句在數(shù)據(jù)庫中依次查找表名、字段名、用戶名和密碼的長度，以及內(nèi)容。這個猜測過程可以通過網(wǎng)上大量注入工具快速實(shí)現(xiàn)，并借助破解網(wǎng)站輕易破譯用戶密碼。
第四步：尋找WEB管理后臺入口。通常WEB后臺管理的界面不面向普通用戶開放，要尋找到后臺的登陸路徑，可以利用掃描工具快速搜索到可能的登陸地址，依次進(jìn)行嘗試，就可以試出管理臺的入口地址。
第五步：入侵和破壞。成功登陸后臺管理后，接下來就可以任意進(jìn)行破壞行為，如篡改網(wǎng)頁、上傳木馬、修改、泄漏用戶信息等，并進(jìn)一步入侵?jǐn)?shù)據(jù)庫服務(wù)器。
防護(hù)原理：通過安全網(wǎng)關(guān)上設(shè)置IDP規(guī)則，禁止SQL注入。在阿姆瑞特安全網(wǎng)關(guān)特征碼里面，包含了9611種SQL注入的特征碼（特征庫版本），包含了各類已知的SQL注入攻擊，為用戶網(wǎng)絡(luò)報(bào)價(jià)護(hù)航。


◆ 文件包含漏洞攻擊
攻擊原理：文件包含漏洞是由攻擊者向Web服務(wù)器發(fā)送請求時(shí)，在URL添加非法參數(shù)，Web服務(wù)器端程序變量過濾不嚴(yán)，把非法的文件名作為參數(shù)處理。這些非法的文件名可以是服務(wù)器本地的某個文件，也可以是遠(yuǎn)端的某個惡意文件。文件包含漏洞攻擊帶來的危害是泄露服務(wù)器上的其他文件，甚至執(zhí)行遠(yuǎn)程文件上的PHP木馬，進(jìn)行網(wǎng)頁篡改等。
防護(hù)原理：通過安全網(wǎng)關(guān)上設(shè)置IDP規(guī)則，禁止文件包含漏洞。在阿姆瑞特安全網(wǎng)關(guān)特征碼里面，包含了2819種文件包含漏洞的特征碼（特征庫版本），包含了各類已知的文件包含漏洞，為用戶網(wǎng)絡(luò)報(bào)價(jià)護(hù)航。


◆ 惡意代碼攻擊
攻擊原理：在網(wǎng)頁中嵌入各種惡意代碼，包括web木馬，惡意破壞程序，WSH代碼等。如果用戶瀏覽的網(wǎng)頁有惡意代碼，會導(dǎo)致用戶名&口令失竊，銀行密碼失竊，計(jì)算機(jī)中毒等問題。
WSH代碼是指網(wǎng)頁中使用了利用WSH漏洞來修改系統(tǒng)的一段代碼(但是由于它并不具備傳染性和自我復(fù)制這兩個病毒的基本特征，因此不能稱作病毒)。WSH是“Windows Scripting Host”的縮寫，是微軟提供的一種腳本解釋機(jī)制，它使得腳本文件(擴(kuò)展名為 .js、.vbs等)能夠直接在Windows桌面或命令提示符下運(yùn)行。
防護(hù)原理：通過安全網(wǎng)關(guān)上設(shè)置IDP規(guī)則，禁止惡意代碼攻擊。在阿姆瑞特安全網(wǎng)關(guān)特征碼里面，包含了2000多種惡意代碼攻擊的特征碼（特征庫版本），包含了各類已知的惡意代碼攻擊，為用戶網(wǎng)絡(luò)報(bào)價(jià)護(hù)航。


◆ ActiveX控件漏洞攻擊
攻擊原理：ActiveX是微軟公司提出，并在1996年被正式命名的組件技術(shù)。該技術(shù)提供了一種通用的開放程序接口，使用這種技術(shù)開發(fā)的ActiveX控件可以直接集成到IE瀏覽器或第三方應(yīng)用程序中，但由于第三方編程等問題，控件的漏洞越來越多，很容易被攻擊者利用進(jìn)行破壞及竊取信息等活動，給個人和企業(yè)帶來很大損失
防護(hù)原理：通過安全網(wǎng)關(guān)上設(shè)置IDP規(guī)則，禁止ActiveX控件漏洞攻擊。在阿姆瑞特安全網(wǎng)關(guān)特征碼里面，包含了900多種ActiveX控件漏洞攻擊的特征碼（特征庫版本），包含了各類已知的ActiveX控件漏洞攻擊，為用戶網(wǎng)絡(luò)報(bào)價(jià)護(hù)航。