Web应用程序的威胁与对策
更新日期: 2004年04月12日
本页内容
本模块内容
目标
适用范围
如何使用本模块
准备工作
对攻击的剖析
了解威胁类别
网络威胁和对策
主机威胁和对策
应用程序威胁和对策
输入验证
目标
适用范围
如何使用本模块
准备工作
对攻击的剖析
了解威胁类别
网络威胁和对策
主机威胁和对策
应用程序威胁和对策
输入验证
身份验证
授权
配置
敏感数据
会话管理
加密
参数操纵
异常管理
审核和记录
小结
其他资源 感恩节祝福短信
授权
配置
敏感数据
会话管理
加密
参数操纵
异常管理
审核和记录
小结
其他资源 感恩节祝福短信
本模块内容
本模块从威胁、对策、漏洞和攻击的角度分析了 Web 应用程序的安全。如果您在应用程序设计、实现和部署过程中考虑安全功能,将有助于更好地理解攻击者的思想。通过从攻击
聊天记录怎么迁移者的角度思考问题并了解他们可能采取的策略,您在应用对策时将会更加有效。本模块介绍了典型的攻击者方法,并简要描述了对典型攻击的剖析。
本模块以展示攻击者用来危及 Web 应用程序安全的常见方法开始,并建议使用 STRIDE 方法将这些威胁分类。然后介绍了可能危及您的网络、主机基础结构和应用程序安全的最大威胁。有关这些威胁的知识和相应的对策为威胁建模过程提供了必要信息。
本模块使您可以识别对您的特定方案而言存在的威胁,并可以根据它们给您的系统造成的危险程度对其区分优先次序。
返回页首
目标
使用本模块可以实现:
∙ 开始从攻击者的角度考虑问题。
∙ 了解在威胁范畴广泛使用的 STRIDE 方法。
∙ 识别并应对在网络、主机和应用程序级别存在的威胁。
返回页首
适用范围
Web 应用程序
返回页首
如何使用本模块
本模块介绍了一组普遍的网络、主机和应用程序级别的威胁,还介绍了为解决每种威胁所推荐的对策。
本模块并不包含各种威胁的冗长列表,但它强调了许多最危险的威胁。根据此信息以及有关攻击者工作原理的知识,您可以识别其他威胁。
您需要了解最可能危害系统的威胁,以便建立有效的威胁模型。这些威胁模型是模块 3 威胁建模的主题。
为了充分理解本模块内容,请:
∙ 熟悉对您的网络、主机和应用程序造成影响的特定威胁。尽管攻击者的目标是相同的,但对系统各个部分的威胁是不同的。
∙ 使用威胁来识别危险并创建用以应对威胁的计划。
∙ 应用对策来消除漏洞。本模块中总结了各种对策。有关对策实现的详细信息,请使用本指南中的第 III 部分“构建安全的 Web 应用程序”和第 IV 部分“确保您的网络、主机和应用程序的安全”。
当您设计、构建新系统并确保其安全时,请将本模块所介绍的威胁考虑进去。无论使用何种平台或技术,都存在这些威胁。
返回页首
准备工作s级忍者
开始威胁建模过程之前,理解以下基本术语是至关重要的。
∙ 资产。具有价值的资源,如数据库中或文件系统上的数据,或者是系统资源
∙ 威胁。可能危害资产的潜在发生(恶意或非恶意)
∙ 漏洞。使威胁成为可能的弱点
∙ 攻击(或利用)。所执行的危害资产的操作
∙ 对策。用以解除威胁并减轻危险的安全措施
返回页首
对攻击的剖析
通过了解攻击者攻击您的 Web 应用程序所采用的基本方法,您可以确定您面对的对象,从而采取更有效的防御措施。攻击者方法的基本步骤总结如下,并进行了图解,见图 2.1:
∙ 调查和评估
∙ 利用和渗透
∙ 提升特权
∙ 保留访问权
∙ 拒绝服务
图 2.1
攻击方法的基本步骤
攻击方法的基本步骤
调查和评估
先后对潜在目标进行调查和评估。攻击者通常采取的第一步是调查潜在目标,以识别和评估其特征。这些特征可能包括它所支持的服务和协议,以及潜在漏洞和入口点。攻击者使用在调查和评估阶段所收集的信息来规划最初的攻击。
例如,攻击者可以通过测试检测跨站点脚本 (XSS) 的漏洞,以查看网页中的控件是否会返回输出。
峨眉山景点利用和渗透
对潜在目标进行调查后,下一步是利用和渗透。如果网络和主机是完全安全的,则您的应用程序(前门)将成为攻击的下一渠道。
对于攻击者而言,进入应用程序最简便的方法是通过合法用户使用的同一入口例如,通过应用程序的登录页面或不需要身份验证的页面。外卖单
提升特权
攻击者在通过向应用程序插入代码或创建与 Microsoft® Windows® 2000 操作系统进行的
已验证身份的会话来设法危及应用程序或网络的安全后,他们立即尝试提升特权。特别是,他们想得到 Administrators 组成员帐户提供的管理特权。他们也寻求本地系统帐户所提供的高级别特权。
在整个应用程序中使用特权最低的服务帐户是针对特权提升攻击的主要防御措施。而且,许多网络级别的特权提升攻击要求交互式的登录会话。
保留访问权
获得系统的访问权后,攻击者采取措施使以后的访问更加容易,并且掩盖其踪迹。用来使以后的访问更加容易的常用方法包括插入后门程序,或使用现有的缺少强大保护的帐户。掩盖踪迹通常包括清除日志和隐藏工具。因此,审核日志是攻击者的主要目标。
应该确保日志文件的安全,而且应该对其进行定期分析。日志文件分析通常会揭露尝试的入侵在进行破坏之前的早期迹象。
拒绝服务
无法获得访问权的攻击者通常装入拒绝服务的攻击,以防止其他攻击者使用此应用程序。对于其他攻击者而言,拒绝服务选项是他们最初的目标。例如 SYN 大量攻击,其中攻击者使用程序发送大量 TCP SYN 请求,来填充服务器上的挂起连接队列。这样便阻止了其他用户建立网络连接。
返回页首
了解威胁类别
因为存在许多不同的攻击和攻击技术,所以从攻击者要达到的目标的角度来考虑威胁是很有用的。这使您的注意力从识别每个特定攻击(它实际上只是达到目标的一种方法)转移到可能的攻击的最终结果。
STRIDE
应用程序所面临的威胁可根据攻击的目标和目的进行分类。熟知这些威胁的类别有助于您组织安全策略,从而对威胁作出规划的响应。STRIDE 是 Microsoft 对不同威胁类型进行分类所使用的首字母缩略语。STRIDE 表示:
∙ 哄骗。哄骗是指尝试使用假身份获取系统的访问权。可以使用偷取的用户凭证或假的 IP 地址来实现。攻击者作为合法用户或主机成功获取访问权后,则可以开始特权提升或滥用授权。
∙ 篡改。篡改是指未经授权修改数据,例如当数据通过网络在两台计算机之间传递时。
∙ 抵赖。抵赖是指用户(合法或非合法)否认他们已执行了特定操作或事务的能力。没有足够的审核,抵赖攻击很难证明。
∙ 信息泄漏。信息泄漏是指保密数据的不期望的泄漏。例如,用户查看无权打开的表或文件的内容,或者监视网络上以存文本形式传输的数据。有关信息泄漏的漏洞的示例包括使用隐藏表格字段、网页中嵌入的注释(其中包括数据库连接字符串和连接详细信息)以及脆弱的异常处理(它可能导致内部系统级别的详细信息暴露给客户端)。这些信息中的任何内容对攻击者都非常有用。
∙ 拒绝服务。拒绝服务是使系统或应用程序不可用的过程。例如,拒绝服务攻击可能通过以下途径实现,使用请求轰击服务器以耗费所有可用的系统资源,或者向其传输可使应用程序进程崩溃的破坏性的输入数据。
教师节感恩老师的话∙ 特权提升。当具有有限特权的用户冒充具有高级特权的用户来获得应用程序的特权访问权时,会发生特权提升。例如,具有有限特权的攻击者可能提升其特权级别以危害并控制具有高级别特权且受信任的进程或帐户。
STRIDE 威胁和对策
STRIDE 所描述的每种威胁类别都有相应的一套用以降低危险的对策技术。表 2.1 汇总了这些技术。相应的对策取决于特定的攻击。适用于网络、主机和应用程序级别的更多威胁、攻击和对策将在本模块的后面部分介绍。
表 2.1:STRIDE 危险和对策
威胁 | 对策 |
哄骗用户身份 | 使用增强的身份验证。 不要以纯文本形式存储机密(例如,密码)。 不用通过网络传递纯文本形式的凭证。 使用安全套接字层 (SSL) 保护身份验证 Cookie。 |
篡改数据 | 使用数据哈希和签名。 使用数字签名。 使用增强的身份验证。 在通讯链接中使用反篡改协议。 使用提供消息完整性的协议来确保通讯链接的安全。 |
抵赖 | 创建安全的审核记录。 使用数字签名。 |
信息泄漏 | 使用增强的身份验证。 使用增强的加密。 使用可提供消息保密性的协议来确保通讯链接的安全。 不要以纯文本形式存储机密(如密码)。 |
拒绝服务 | 使用资源和带宽调节技术。 验证并筛选输入。 |
特权提升 | 遵循最低特权的原则,使用最低特权服务帐户来运行进程和访问资源。 |
返回页首
网络威胁和对策
组成网络基础结构的主要组件是路由器、防火墙和交换机。它们就像看门人一样保护服务器和应用程序免受攻击和入侵。攻击者可能会利用未正确配置的网络设备。通常的漏洞包括默认安装设置很脆弱、访问控制广泛开放以及设备缺少最新的安全修补程序。最危险的网络级别威胁包括:
∙ 信息搜集
∙ 侦听
∙ 哄骗
∙ 会话劫持
∙ 拒绝服务
信息收集
网络设备和其他类型的系统一样可以被发现和分析。攻击者通常从端口扫描开始。他们在识别开放端口后,使用标志攫取和枚举来检测设备类型和确定操作系统及应用程序版本。具备了这些信息后,攻击者可以攻击那些可能未使用安全修补程序更新的已知漏洞。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论