發(fā)布時(shí)間:2019-05-15 瀏覽次數(shù):4052
主機(jī)安全“網(wǎng)站漏洞防護(hù)”功能通過漏洞防護(hù)(防SQL注入、XSS防護(hù)、漏洞攻擊防護(hù))、Web服務(wù)器溢出攻擊防護(hù)、Web服務(wù)器文件名解析漏洞防護(hù)、禁止瀏覽畸形文件、僅允許下列請(qǐng)求、禁止下載特定類型文件、網(wǎng)頁(yè)瀏覽實(shí)時(shí)防護(hù)等功能防止黑客利用Web服務(wù)器或Web應(yīng)用程序的漏洞入侵服務(wù)器。同時(shí)網(wǎng)站例外名單功能還可以對(duì)誤判而攔截的用戶請(qǐng)求進(jìn)行放行,并且允許自定義攔截頁(yè)面提示信息,充分考慮到了用戶體驗(yàn)和用戶需求。
通過“應(yīng)用防護(hù)”中的Web防護(hù)(IIS、Apache、Nginx等)進(jìn)入Web應(yīng)用設(shè)置,打開“網(wǎng)站漏洞防護(hù)”功能。
該功能通過匹配SQL注入、XSS攻擊等攻擊類型特征庫(kù)對(duì)用戶輸入進(jìn)行過濾,從而實(shí)現(xiàn)防止攻擊保護(hù)網(wǎng)站的目的。
我們主要通過SQL防注入的默認(rèn)防護(hù)規(guī)則為例通過相應(yīng)的攻擊實(shí)例來介紹該功能設(shè)置。
XSS防護(hù)和防漏洞攻擊設(shè)置與SQL防注入設(shè)置相同。
1) 開啟SQL防注入規(guī)則的“防止簡(jiǎn)單的and or方式注入”的“檢測(cè)URL”
在瀏覽器的地址欄輸入SQL注入的命令 and 1=1進(jìn)行注入,如下圖
輸入該條命令后,瀏覽器返回主機(jī)安全的攔截界面。每當(dāng)有SQL注入時(shí),主機(jī)安全都會(huì)返回該攔截提示界面及提示信息。
主機(jī)安全的防護(hù)日志下可以看到對(duì)應(yīng)的日志。
2) 開啟SQL防注入規(guī)則的“防止簡(jiǎn)單的and or方式注入”的“檢測(cè)Cookie”。
使用工具burp獲取Cookie,修改Cookie值后繼續(xù)訪問。
訪問后會(huì)返回與“檢測(cè)URL”一樣的攔截頁(yè)面。同時(shí)在防護(hù)日志會(huì)生成對(duì)應(yīng)的攔截日志。
3) 開啟SQL防注入規(guī)則的“防止簡(jiǎn)單的and or方式注入”的“檢測(cè)POST”。
在http協(xié)議中,搜索是Post方式提交請(qǐng)求;所以在搜索框中輸入注入語(yǔ)句“? and 1=1”并提交。
提交后部分網(wǎng)站會(huì)返回與“檢測(cè)URL”一樣的攔截頁(yè)面,部分網(wǎng)站會(huì)禁止提交請(qǐng)求,一直顯示提交中。同時(shí)在防護(hù)日志會(huì)生成對(duì)應(yīng)的攔截日志。
4) 開啟SQL防注入規(guī)則的“防止簡(jiǎn)單的and or方式注入”的“檢測(cè)UA”。
訪問網(wǎng)站時(shí),在http請(qǐng)求的User-Agent中加入“and 1=1”進(jìn)行訪問
訪問后網(wǎng)站會(huì)返回與“檢測(cè)URL”一樣的攔截頁(yè)面。同時(shí)在防護(hù)日志會(huì)生成對(duì)應(yīng)的攔截日志。
5) 除了默認(rèn)的規(guī)則,我們還設(shè)置了自定義添加規(guī)則的功能,方便用戶自己調(diào)整規(guī)則,充分加強(qiáng)了用戶的自由度。
提交自定義請(qǐng)求訪問頁(yè)面時(shí),同SQL注入防護(hù)一樣,會(huì)返回?cái)r截頁(yè)面及生成防護(hù)日志。
如果不需要實(shí)時(shí)防護(hù),可以在“設(shè)置中心”開啟“監(jiān)控模式”,此時(shí)所有對(duì)網(wǎng)站的攻擊行為只記錄不攔截。
當(dāng)配置的注入規(guī)則較為復(fù)雜而影響網(wǎng)站正常使用時(shí),可以通過“設(shè)置中心”恢復(fù)默認(rèn)配置,以使網(wǎng)站可以正常使用。
“Web服務(wù)器溢出攻擊”通常指緩沖區(qū)溢出攻擊,黑客通常利用向程序輸入緩沖區(qū)寫入使之溢出的內(nèi)容從而破壞程序運(yùn)行并取得程序乃至系統(tǒng)的控制權(quán)。用戶可以通過開啟主機(jī)安全的“Web服務(wù)器溢出攻擊防護(hù)”功能抵御類似的攻擊,從而防止黑客獲取系統(tǒng)的控制權(quán)。
開啟“Web服務(wù)器溢出攻擊防護(hù)”功能。
在瀏覽器地址欄輸入超長(zhǎng)URL,進(jìn)行溢出攻擊。
同時(shí),在云防護(hù)日志中可以看到對(duì)應(yīng)日志。
黑客可以上傳類似wooyun.asp;.jpg、wooyun.php.owf.rar的可執(zhí)行腳本文件,利用IIS和Apache的解析漏洞,使腳本文件執(zhí)行從而獲取系統(tǒng)權(quán)限,威脅網(wǎng)站的安全。用戶可以通過開啟主機(jī)安全的“Web服務(wù)器文件名解析漏洞防護(hù)”功能防止黑客利用這些漏洞對(duì)服務(wù)器進(jìn)行攻擊,對(duì)黑客類似攻擊行為進(jìn)行攔截。
開啟“Web服務(wù)器文件名解析漏洞防護(hù)”功能。
在瀏覽器地址欄輸入含有wooyun.asp;.jpg的URL進(jìn)行訪問。
同時(shí),在主機(jī)安全防護(hù)日志中可以看到對(duì)應(yīng)的日志。
黑客通過構(gòu)造類似com1.php;jpg之類的畸形文件的后綴名上傳到服務(wù)器上再結(jié)合IIS的解析特性即可成功執(zhí)行代碼,然后獲取必要的網(wǎng)站配置等信息威脅網(wǎng)站的安全。用戶可以通過開啟主機(jī)安全的“禁止瀏覽畸形文件”功能抵御類似的攻擊,保護(hù)網(wǎng)站服務(wù)器的安全。
開啟“禁止瀏覽畸形文件”功能。
在瀏覽器地址欄輸入含有com1.php;jpg的URL進(jìn)行訪問。
同時(shí),在主機(jī)安全安全防護(hù)日志中可以看到對(duì)應(yīng)的攔日志。
網(wǎng)絡(luò)傳輸中主要通過HTTP協(xié)議進(jìn)行傳輸。但是熟悉HTTP協(xié)議的黑客可以通過構(gòu)造或偽裝一些請(qǐng)求進(jìn)行攻擊,如使用PUT請(qǐng)求將危險(xiǎn)代碼傳送到網(wǎng)站上,從而威脅到網(wǎng)站的數(shù)據(jù)。用戶可以通過開啟主機(jī)安全的“僅允許下列請(qǐng)求”功能,一些不需要的請(qǐng)求進(jìn)行提交,來有效抵御類似的攻擊,保護(hù)網(wǎng)站服務(wù)器的安全。
開啟“僅允許下列請(qǐng)求”功能。
使用Fiddler Web Debugger工具發(fā)送不允許的OPTIONS請(qǐng)求
同時(shí),在主機(jī)安全防護(hù)日志中可以看到對(duì)應(yīng)的日志。
在互聯(lián)網(wǎng)中用戶的數(shù)據(jù)信息、軟件的運(yùn)行日志等信息都是黑客可以利用的信息,一旦存放這些文件的路徑被獲取,會(huì)給用戶和網(wǎng)站帶來難以想象的麻煩。用戶可以通過開啟主機(jī)安全的“禁止下載特定類型文件”的功能,保護(hù)這類文件不被下載,進(jìn)而保護(hù)用戶數(shù)據(jù)和運(yùn)行日志的安全。
開啟“禁止下載特定類型文件”的功能。
通過瀏覽器下載.sql文件。
同時(shí),在主機(jī)安全防護(hù)日志中可以看到對(duì)應(yīng)的日志。
服務(wù)器經(jīng)常會(huì)被黑客上傳網(wǎng)頁(yè)木馬,通過上傳的網(wǎng)頁(yè)木馬獲取和修改服務(wù)器上數(shù)據(jù)和文件,影響用戶的網(wǎng)站正常訪問,給用戶帶來?yè)p失。而“網(wǎng)頁(yè)瀏覽實(shí)時(shí)防護(hù)”主要是針對(duì)黑客利用其它途徑上傳了網(wǎng)頁(yè)木馬,通過瀏覽器訪問網(wǎng)頁(yè)木馬時(shí)進(jìn)行攔截從而保護(hù)用戶的網(wǎng)站不被修改。
假設(shè)網(wǎng)站下已被上傳網(wǎng)頁(yè)木馬,未開啟“網(wǎng)頁(yè)瀏覽實(shí)時(shí)防護(hù)”訪問該網(wǎng)頁(yè)木馬。
開啟“網(wǎng)頁(yè)瀏覽實(shí)時(shí)防防護(hù)”功能并訪問網(wǎng)頁(yè)木馬。
同時(shí),在主機(jī)安全防護(hù)日志中可以看到對(duì)應(yīng)的攔截日志。
部分網(wǎng)站因?yàn)榫W(wǎng)站自身編碼問題導(dǎo)致在URL輸入一些特殊字符時(shí),返回頁(yè)面的信息包含網(wǎng)站信息及數(shù)據(jù)庫(kù)信息?!癏TTP響應(yīng)內(nèi)容保護(hù)”功能則可對(duì)該類頁(yè)面進(jìn)行保護(hù),避免網(wǎng)站及數(shù)據(jù)庫(kù)信息被曝出,導(dǎo)致信息泄露。
當(dāng)訪問網(wǎng)站時(shí),有時(shí)在網(wǎng)站訪問失敗時(shí)會(huì)顯示一些如網(wǎng)站路徑、web容器版本等信息,易被惡意用戶利用進(jìn)行滲透。
開啟“HTTP響應(yīng)內(nèi)容保護(hù)”將502添加到列表中,再次對(duì)該頁(yè)面進(jìn)行訪問。返回頁(yè)面會(huì)變?yōu)橹鳈C(jī)安全攔截頁(yè)面,并隱藏了Nginx的版本信息。
HTTP(HyperTextTransferProtocol)是超文本傳輸協(xié)議的縮寫,它用于傳送WWW方式的數(shù)據(jù)。HTTP消息包括客戶機(jī)向服務(wù)器的請(qǐng)求消息和服務(wù)器向客戶機(jī)的響應(yīng)消息。這兩種類型的消息由一個(gè)起始行,一個(gè)或者多個(gè)頭域,一個(gè)只是頭域結(jié)束的空行和可選的消息體組成。HTTP的頭域包括通用頭,請(qǐng)求頭,響應(yīng)頭和實(shí)體頭四個(gè)部分。每個(gè)頭域由一個(gè)域名,冒號(hào)(:)和域值三部分組成。域名是大小寫無關(guān)的,域值前可以添加任何數(shù)量的空格符,頭域可以被擴(kuò)展為多行,在每行開始處,使用至少一個(gè)空格或制表符。
而請(qǐng)求頭域允許客戶端向服務(wù)器傳遞關(guān)于請(qǐng)求或者關(guān)于客戶機(jī)的附加信息。請(qǐng)求頭域可能包含下列字段Accept、Accept-Charset、Accept- Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If- Match、If-None-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、 Proxy-Authorization、Range、Referer、User-Agent。對(duì)請(qǐng)求頭域的擴(kuò)展要求通訊雙方都支持,如果存在不支持的請(qǐng)求頭域,一般將會(huì)作為實(shí)體頭域處理。具體講解詳見百度百科:《Http請(qǐng)求頭》。
"HTTP請(qǐng)求頭防護(hù)"功能通過對(duì)HTTP請(qǐng)求頭中的字段進(jìn)行自定義規(guī)則防護(hù)的方式保護(hù)網(wǎng)站,避免修改了HTTP請(qǐng)求頭對(duì)網(wǎng)站進(jìn)行攻擊,或者惡意引導(dǎo)流量等。
打開“HTTP請(qǐng)求頭防護(hù)”功能。模擬網(wǎng)站被利用HTTP Host攻擊。用Modify Hearders修改HTTP Host為www.zblog.com進(jìn)行訪問。
添加HTTP請(qǐng)求頭防護(hù)的規(guī)則,將無法利用Host為www.zblog.com對(duì)網(wǎng)站進(jìn)行的攻擊攔截,使無法訪問網(wǎng)站。注意:最大長(zhǎng)度和規(guī)則是并存關(guān)系,當(dāng)設(shè)置長(zhǎng)度時(shí)則優(yōu)先判斷請(qǐng)求頭的長(zhǎng)度,如不需要對(duì)長(zhǎng)度判定則設(shè)置為0。
防護(hù)規(guī)則支持正則表達(dá)式。如有多個(gè)host可以用“|”隔開,其它請(qǐng)求頭配置規(guī)則方式相同。
同時(shí)可以在主機(jī)安全防護(hù)日志中看到攔截日志。
攻擊者通常先使用掃描工具或掃描器探測(cè)網(wǎng)站服務(wù)器是否有可被利用的漏洞,然后利用漏洞進(jìn)行攻擊。
開啟“自動(dòng)屏蔽掃描器”功能,當(dāng)發(fā)現(xiàn)有這類行為時(shí)則直接阻斷攻擊者對(duì)網(wǎng)站服務(wù)器的掃描;同時(shí)會(huì)產(chǎn)生日志。
攻擊者通常會(huì)獲取網(wǎng)站W(wǎng)eb Server的版本信息,利用對(duì)應(yīng)版本的漏洞對(duì)網(wǎng)站進(jìn)行惡意攻擊、滲透等。
主機(jī)安全的“隱藏WebServer版本信息”功能則通過自定義WebServer內(nèi)容將其版本信息進(jìn)行隱藏,使攻擊者無法通過Web Server的版本利用相應(yīng)的漏洞進(jìn)行攻擊。
開啟“隱藏WebServer版本信息”功能,并設(shè)置Web環(huán)境信息別名:test;設(shè)置后需要重啟WebServer。
設(shè)置后通過調(diào)試器可以看到自己的Web Server版本信息被改為設(shè)置的別名。
該功能主要是防護(hù)網(wǎng)站被惡意用戶構(gòu)造異常的“X-Forwarded-For”字段進(jìn)行訪問,從而對(duì)網(wǎng)站造成威脅。
開啟“X-Forwarded-For防護(hù)”功能,構(gòu)造異?!癤-Forwarded-For”對(duì)網(wǎng)站進(jìn)行訪問。
當(dāng)攻擊者構(gòu)造異常的“X-Forwarded-For”字段訪問網(wǎng)站時(shí),則會(huì)被攔截。
考慮到用戶使用漏洞防護(hù)的靈活性,主機(jī)安全還提供了“網(wǎng)站例外名單”功能,可以對(duì)不需要攔截的網(wǎng)站進(jìn)行放行;除此還可設(shè)置報(bào)警提示和自定義攔截頁(yè)面提示,滿足用戶的各方面需求。
當(dāng)用戶對(duì)網(wǎng)站進(jìn)行管理或構(gòu)造一些代碼對(duì)網(wǎng)站進(jìn)行監(jiān)控時(shí),會(huì)被主機(jī)安全攔截導(dǎo)致這類行為無法進(jìn)行;這就需要用戶將需要進(jìn)行操作的網(wǎng)站或?qū)?yīng)的文件設(shè)置為“網(wǎng)站例外名單”。點(diǎn)擊“設(shè)置”進(jìn)入“設(shè)置中心”,在“網(wǎng)站漏洞防護(hù)”添加需要例外的網(wǎng)站或文件路徑。
除“網(wǎng)站例外名單”功能外,還可以“自定義攔截信息提示”,讓攔截頁(yè)面更加的人性化。