- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0
我的地盘我做主
该用户从未签到
|
6、跨站点脚本攻击的例子 " C, f( q; Y- m2 A* _$ m/ O
8 z1 o) {: N. U- u1 K/ |修改的报头:
+ I3 \: p0 E0 W* V# {以下是你的日志文件中可能出现的内容。 / b& n ?+ U9 S& Q
$ [( _' k* |* n3 p0 k- t2 bx.x.x.x - - [10/Dec/2001:09:03:39 -0500] "GET / HTTP/1.1" 200 10453 "http://www.cgisecurity.com" "Mozilla/4.0 0 @0 n" i% ]( W7 {
(compatible; MSIE 5.5; Windows NT 5.0; T312461)" - Y+ @# a' I5 t9 G! h& x
. T. R7 y# c1 O# K# C6 e; t4 S让我们来看看该日志的第11和12域。 # g1 H/ l" k& q! x
We are going to look at the 11th and 12th field in this log. 8 Z- W) {0 t P/ D
4 n. I- E; i. R
11th "http://www.cgisecurity.com" 引用域 ( u. x3 ~7 o0 f% T
12th "Mozilla/4.0" 用户代理域 & C" @7 t; j9 Z: i- N
8 K: j6 O, w0 T( ^& a6 i# }5 E
这些域都是由你的浏览器自动填写的。如果我在www.hosta.com有一个指向我的站点的连接并点击它的话我的浏览器会保存该信息并将其转到我的站点来。该信息被称为引用域。引用域是由你的浏览器自动填写,也就是说该信息是由客户机,而表示服务器提供的。也就是说该信息是“用户输入”的。由于该信息是用户输入,所以我们可以将其修改为任何我们想要的内容。
4 F6 `" E" |% ]/ Q1 W危险在于某些软件会从你的日志中读取值并显示出来。(例如显示网络服务器状态的软件)某些软件并不会很好的过滤掉元字符所以有可能出现代码插入的情况。 d1 ~ e% u! j- G4 f
) P# U* C- y! \
例: . N3 e0 r6 P" x0 G6 r, r$ v- w$ K f
+ {5 v( j w6 p$ a0 F3 I2 |su-2.05# telnet localhost 80
3 R; P% x7 g2 y$ ZTrying 127.0.0.1...
! }; m3 w2 {6 v# c& _6 O% RConnected to localhost.
+ a4 m l- Y: s2 CEscape character is '^]'. 1 e+ a9 [8 n, {1 H
GET / HTTP/1.0
" ?; w+ s4 d2 `% vReferer: < javascript-that-is-evil-so-there's-no-need-for-examples> : l; H/ l" D4 U3 ^9 K& }$ X
User-Agent:
) i$ L' p& E s& K' R5 @1 R- r7 E, [) @ l
如果用户访问该页面并且引用部分被输出的话那么那么攻击者就有可能盗取用户的cookies。如果你觉得你所运行的软件存在这种风险的话你就应当定期对你的apache日志中的这个域进行检查。
8 G: f4 M4 }2 l0 g3 y
' u# o4 K: C: i6 l有一种用于修改http报头的工具叫做"Websleuth"值得一试。
9 h( j+ A2 Z' E# r
. W+ P+ j1 n& {8 d& G更多的编码方式: # G6 b/ N) j+ k* Q7 w* L' I
9 B |% H6 a+ D+ J; W5 ` c8 l
这一章包括了攻击者或者是蠕虫用来逃避检查的编码手段。包括十六进制, Unicode,还有windows %u编码。这并不是一个什么"how to"的介绍,而是告诉你你应当在你的日志中检查哪些内容。
( j& Y, E, y/ f, K8 F) d
) ^1 _9 Z% @0 q: DA.十六进制编码: - j: l9 s7 z1 `7 |2 H- k
6 a" G0 @4 m$ ^: {$ |
例如: %xx ( x0 t* ]5 w7 b$ i9 x M4 R
; `$ l% ~$ z4 s8 E; r: d上一篇文章中提到的字符的十六进制的值。如果你在任何日志文件中发现了这些字符的话那么很大的可能性是一个攻击者正在掩盖他的请求,甚至是正尝试饶过IDS。 : F; M& R) w2 D
' Y' r# l7 {2 H4 [
这两篇文章中提到的字符的十六进制值。 8 m, {* L: [* p( |* p
+ X+ x5 L5 ]0 P/ v& J$ c( R%2e = . (例如: .. 请求) + [/ O+ r$ _# K- t
%3e = > (例如: Html/javascript/SSI 插入。在上一篇文章中做了描述) 2 H% a& E$ p6 d
%3c = < (例如: Html/javascript/SSI 插入。在上一篇文章中做了描述) 6 Y" x ?: l& Z) |1 E6 d
%2a = * (在这篇文章的第二章有举例介绍)
+ x4 [6 i9 V" U9 ]. f3 b%2b = + (例如: _cmd_.exe 后门请求。同样作为空格使用) 6 ^9 f5 u3 r) T$ V, u
%60 = ` (在上一篇文章中有命令执行的例子) 1 |' n k" c$ [; `$ C. }
%21 = ! (例如: SSI 插入。在上一篇文章中做了描述)
8 F, p v. M' p1 D6 A& I" ]' O) @%7c = | (例如: 命令执行。在上一篇文章中做了描述)
: O* e; A0 b9 z! Z7 ]%3b = ; (例如: 命令执行。在上一篇文章中做了描述)
/ N5 q7 a$ j- H%7e = ~ (在这篇文章的第二章有举例介绍) $ q2 |4 u2 \# y) p2 v! M9 x, ?1 n
%3f = ? (例如: Php/在上一篇文章中做了描述)
* J4 f7 P! V' e; \%5c = \ (例如: 可能是编码的对Windows的目录遍历尝试)
/ O" O* u$ l! M; `%2f = / (例如: 可能是编码的对Windows的目录遍历尝试) 4 b. ~7 s+ P/ b$ x% H+ M
%7b = { (例如: 可能是后门/目录上传尝试,也可能是命令的变元) * V3 Q; Y$ }; n$ { x& w4 n; Z2 F
%7d = } (例如: 可能是后门/目录上传尝试,也可能是命令的变元) ' v& B7 |' P5 V% ^
%28 = ( (例如: 可能是跨站点脚本攻击尝试)
0 d- T! b. V J! N/ [3 P$ U. a%29 = ) (例如: 可能是跨站点脚本攻击尝试) 2 G$ y6 j9 s5 b7 X$ L9 ^% S
%5b = [ (例如: 可能是后门/目录上传尝试,也可能是命令的变元) K* W6 B& e" u4 t. J# p
%5d = ] (例如: 可能是后门/目录上传尝试,也可能是命令的变元) # m& }# v* X& p/ F% F" |1 e5 c) n9 w- N
%5e = ^ (例如: 可能是后门/目录上传尝试,也可能是命令的变元) " s2 U" j6 K) b" I
# ]0 l$ d2 c. Y y4 u+ Z* p
要获得这些字符的完整列表在Unix环境中键入"man ascii"。 4 C1 A0 M, N+ `& u
下面是尝试获得服务器密码文件的目录遍历请求。 4 e) s4 u/ g& K# }2 |. I, `$ }3 f
& D, O7 h$ Q" K! Q例子1: : X2 i- M7 `7 d' }
1 Q" h/ G6 ?/ c
http://host/script.ext?template=%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64 1 n% d' o. i% G" R8 V; P" m9 z
; i& B! P* _% P0 V g4 Q: h+ z; B
该请求是由以下部分组成的: # k. w) s) I+ }$ k5 z' r; [% ^: f
3 r+ |6 R6 P/ s. N' P Q1. %2e%2e%2f%2e%2e%2f%2e%2e%2f = ../../../
7 x3 ~! e& x9 Q: l4 _+ x, ]3 f( x6 R6 q* Y; J0 T
2. %65%74%63 = etc : O5 L/ q0 n: ?! h
2 h4 k6 P2 J; J6 ]
3. %2f = /
! I& g' L$ A/ |. y! r: b) z' [1 L$ r
4. %70%61%73%73%77%64 = passwd
& f7 n6 k/ ?9 m, a$ c5 ?5 ] Y$ i6 ~3 f1 i
将这些连起来就可以欺骗IDS产品。 ( I7 Q; m+ `" J2 T" C" ^
类似rain.forrest.puppies "Whisker"就是使用这种技术来避开检查的。
1 v& S: m( N! }; F- u2 Z9 a% ^4 ]+ j
5 H$ H4 N8 N" S! W) F0 v4 d
B.Unicode编码: A$ M) }6 K; n7 ^# h
" x- n& |7 v& C9 J2 h
例如: %xx%xx 5 V5 E/ O- w0 s- }
5 S1 ^7 O' K; @* C, x, V/ M
目前所有与安全有关的人员都对这种编码方式有所耳闻。著名使用这种编码方式的IIS的利用就提供了严格很好的例子。 9 a8 h; A' |5 n$ `6 e
) i, K. \0 T9 F Z
* http://127.0.0.1/scripts/..%c0%af../winnt/system32/_cmd_.exe?+/c+dir+c:
7 g0 k( x0 W( E7 v4 L7 S* X因为相关的文档已经大量的存在了,所以我不会对这种编码技术做进一步的讨论。想获得有关unicode的信息请访问以下连接
2 E& T6 M! N, o0 _- P3 Mhttp://www.ietf.org/rfc/rfc2279.txt
8 y3 l0 ]( |% P1 x! _5 N& H2 G d- j/ m, [
C. "%u"编码请求: 1 C; p1 m$ @1 n; t3 ~* P3 J
, M3 b& L+ Z- x( Y' I$ o例如: %uxxxx
, m+ r/ P8 e+ m/ S0 d: e- U" ^2 n/ j2 J7 J
这种编码方式是被微软的IIS网络服务器所使用的。通过使用这种微软特有的编码方式攻击者就有可能入侵IDS产品。以下就是蠕虫或者是攻击者使用或不使用%u编码来对存在漏洞的系统进行攻击的例子。 + u- W7 i! _1 f! X( D: D" D
) G; z/ ^; F8 l4 W: l* F) uhttp://host/lame.asp?asp=a.txt 5 G1 R) |7 a, _1 x0 V
" G, s( e( S* M) ~; D9 _
这个请求是企图使用lame.asp读"a.txt"文件.
' @* N, S; a7 A8 z* ~+ q
. }* t* H3 ~" B0 G& s5 A, e( S/ dhttp://host/lame.asp?asp=%u0061.txt
$ Q* ^: |- W5 r2 q$ P6 {6 f# C
y: F7 W7 V9 ~6 P; K这种请求通过使用"%u"微软编码请求来达到同样的目的。尽管你在手工浏览日志的情况下可能会发现这种情况,但是你的IDS有可能会漏掉这种情况并让攻击者可以继续进行侵害。这种编码方式同样可以与普通的ASCII字符一同使用,这样一些IDS产品就不会检测到这种请求。
. W9 o% y" i; [9 O1 O1 t) ?
. N1 A C' ^5 G" a你可以访问以下地址来获得编码手段的进一步信息。 / o+ A, J2 X8 S f" L1 j
http://www.eeye.com/html/Research/Advisories/AD20010705.html
) m; y9 ^7 d, _" z x) o9 h+ l% r" C8 C. L3 M, U
403拒绝访问错误
% d8 m4 C" `! {7 b. c9 C6 N0 Y0 h4 b% t( w: S
该错误会在有人访问你标记为非完全可读属性文件的时候产生。一些情况下是网络管理员可能忘记将一个文件的属性定为可读的。更多的情况是当一个文件被标记为非完全可读(例如密码文件),而某些人却对其进行请求的时候就会出现警报,你应当删除或者转移该文件并对日志进行进一步的检查。
1 X# G4 J: Z* n
3 Q# y G' D9 S' H7 j* E: }/ a) R- `2 A
! Y2 [/ a% s! s* p7 w, C. i[Wed Feb 20 10:23:33 2002] [error] [client 192.168.1.1] (13)Permission denied: file permissions deny server . B" {& r+ E9 P: N& ?$ `; B9 |5 g" n; a
access: /some/path/htdocs/secret/apache-unreleased-overflow.c 3 @/ D( r- m( f, O- M, d0 p# R
(你的error_log中可能会出现的消息)
$ K" x" E- ]& T
9 ]6 H p/ _9 m1 ] _|-- 403 Code
( z, s, [4 g# h: ]- v# o192.168.1.1 - - [20/Feb/2002:10:23:33 -0500] "GET /secret/apache-unreleased-overflow.c HTTP/1.0" 403 206
2 x v7 p5 F1 P(你的error_log中可能会出现的消息) $ ~/ ], L7 E& e9 m. Y8 }/ C
/ T+ H5 U, J3 G* X/ U404 该页没有找到错误 ( M% A2 ?% w/ C' f2 x4 W
, \4 @5 O& y7 D+ j/ M
如果你运行一个大或者只是中等规模的网站的话其他人可能会从其他的站点直接与你站点上的某些内容进行连接。一定的时间过去以后可能许多文件有了一些变化所以那些老的对文件的引用已经失效了。你可以在access_log或者error_log文件中对这些信息进行查询。某些时候对无效的或者是过期文件的请求可以让你发现那些你对文件的命名错误或者有人正在进行的刺探行为。IDS并不会对大多数的404错误进行记录,因为这类的错误信息并不是并不表示直接威胁的出现。如果对所有的404代码都进行检验的话那将是一场噩梦,因为404是站点所遇到的最普遍的错误并且在百分之99.99的情况下都并不是攻击或者刺探。而IDS软件会对这些错误请求中出现的文件名进行检查,我在下面会列举出一些这类的文件名。
) H/ E; T& f6 [; Z9 ~- V# `" l
N( d' o# {+ m. i以下是的日志是由于某人对我的网站进行扫描寻找FORMail cgi脚本而产生的。FORMail存在许多安全问题,并且目前发现被广泛的利用来发送垃圾邮件。
- n% Z C. t7 d; t. v' j# i$ @, D0 l
[Wed Feb 20 10:30:42 2002] [error] [client 192.168.2.2] script not found or unable to stat: /usr/local/apache/
. Q* R- p; Q0 j; |( S: @cgi-bin/FORMail.pl
8 B% v+ k/ \. ?# a(你的error_log中可能出现类似的信息) 6 k" t3 `- H4 j2 k
* J! X) n/ h' o0 E- Z4 r
|-- 404 Code , A* b8 S8 s9 C5 R1 n; s
192.168.2.2 - - [20/Feb/2002:10:30:42 -0500] "GET /cgi-bin/FORMail.pl HTTP/1.0" 404 3683 "-" "Mozilla/4.78 [en
0 @! U- Z. F2 o( a] (Win98; U)"
0 }. e2 b- B9 {3 H. L! T6 o) j& ~"Mozilla/4.78 [en] (Win98; U)" % I+ t. J+ H- I7 ^- c
(你的access_log中可能出现类似的信息) # P4 ~+ m* c$ e
9 u9 c W i. K% m7 c0 q
' J- `% ~5 c1 l) l' K, W% @
这是某人正在对你的机器或者子网进行扫描来寻找安全漏洞而产生的警告。但是很显然如果在你的日志中出现了404代码的话并不意味着你正在被攻击。仔细的查看你的日志找出那些连接错误的文件,同时也查找那些有异常情况的文件请求。
, B' I3 L7 m% @( B! J4 A0 X1 w& |# }$ T5 J7 w3 D2 ]" o
以下是另一个查看目标主机是否存在Nimda以及著名的红色代码留下的后门的请求。
" M8 {; i3 ?/ c5 u- S; b' P
: s6 F% W- F' h9 @% P. ^[Tue Dec 18 05:11:04 2001] [error] [client 192.168.3.3] File does not exist: /usr/local/apache/htdocs/MSADC/ro
2 w, x& e. S5 c' `% aot.exe + x5 {8 ~7 s* ?. I& Z- U" s
(你的error_log中可能出现类似的信息) ' k8 j E; O1 ~; X& ]
8 a) \# ]2 o( R; P1 B; m; ~: M|--- 404 code 7 d* ]3 y! }9 E- i' @2 o
) T0 x. C& K2 ^: N, H& `
192.168.3.3 - - [18/Dec/2001:05:11:04 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 3147 $ G% E. ` q0 ^( ?
(你的access_log中可能出现类似的信息)
, X, d8 l. ^% F& y
^( ^3 q; r, f' _1 R一般情况下人们都想对这些文件进行扫描以轻易的获得一台存在后门的机器。由此他们就可以完全的控制你运行IIS的主机。
9 u3 R# i" u1 z% b" V: A$ Y) j9 M. {2 |
500 服务器错误
5 [# ^2 {" r6 x& x$ J2 [/ |; K' N/ @3 O: p; f
某些时候攻击者想对可以执行命令或者有远程文件读取功能的软件进行测试的时候他们会插入一些字符(正如以上所说的那样)来达到目的。而有些时候脚本不能够处理这些额外信息而非正常退出了。这就会在你的日志中留下服务器错误(500代码)。但并不是所有的500代码都表示攻击者正在对你进行扫描。一般来讲用户上传了脚本但是并没有针对特定的系统进行配置的话就会产生该错误。
; Q- R7 N' \& e- G3 |; ]% a! t2 J- P
以下是一个例子 7 c" x! |6 _1 w1 q }
4 m% Y* N- r0 i7 j* o" v* k4 }|--- 500 Code 3 q) G0 R9 q; _3 t+ w
192.168.4.4 - - [18/Dec/2001:05:11:04 +0000] "GET /cgi-bin/port80.cgi HTTP/1.0" 500 529 "-"
/ L8 x t1 {% @: }2 w"Mozilla/4.78 [en] (Win98; U)" . v+ S5 G3 \4 U4 g* Y0 J3 W. T
(access_log)
2 z2 R+ N* Q% b4 T& h* ` [, a
1 j: O9 O2 A" P5 ^0 V[Thu Dec 13 15:30:23 2001] [error] [client 192.168.4.4] Premature end of script headers:
8 n* i. S6 X" u& c- A' J/usr/local/apache/cgi-bin/port80.cgi # S3 ?% F4 {0 u1 m0 `2 H
(error_log)
n( P0 T$ n2 W7 v8 O# _
8 l5 S% F8 T Y$ l/ q0 z T# HDepending on what exactly the attacker is attempting to do, will determine exactly what
% y: Q6 }* p9 Z, p4 C4 ?* jthe reason will be in your error_log.
4 O3 M8 V3 V! {- V. Y
9 @' \1 b1 I% m. d! \5 {Htaccess error codes 1 [- Y! |( a' w; Y& {+ S% i( `5 }
' ^/ j/ S4 f# U/ e [
并不是所有的错误消息都是由于有人正在对你的系统进行攻击所产生的。更多的情况只是例如用户使用了错误的用户名或者密码这种简单的情况所产生的饿。从另一方面来说也有可能是攻击者运行例如“WWWhack”这样的程序来暴力破解密码以获得须授权区域的访问路径。以下是一个例子:
9 Y% i+ H( g `# G% F, g
( \0 D$ P" A- w3 M8 L192.168.5.5 - miked [30/Jan/2002:13:37:26 -0500] "GET /secret HTTP/1.0" 401 397 "-" "Mozilla/4.78 [en]C-CCK-MCD sn
% G5 P: N/ L8 Y; M$ ]4 }- ^apN45b1 (Win98; U)"
" L0 b5 {- q! Q i& }8 e(你的access_log中可能出现类似的信息)
- J3 c7 X" S! K$ t0 Q7 W9 @% s5 g$ T. t3 d6 M+ H6 c8 m7 O# k. }
[Wed Jan 30 13:37:26 2002] [error] [client 192.168.5.5] user miked: authentication failure for "/secret": password mismatch
" V& A; n2 k! `" M+ [5 Y(你的error_log中可能出现类似的信息)
* K& K1 Q. A a ~! e, W7 \5 j# h6 G( e" I7 V, ?/ d2 l
这显示了来自192.158.5.5的以miked作为用户名的登录尝试失败。如果你发现了来自同一个IP地址的大量失败请求的话,那么有很大的可能有人正在对你的密码进行暴力破解。尝试的次数在1-40的范围内可能是有人忘记了自己的密码。还有一种情况是如果一个IP地址正尝试用不存在的帐户或者多个用户名登录的话那么也是某人正在进行破解。
2 O1 i% g6 H5 z. M) F8 [8 {$ ?- E! e
为 了防止攻击者通过80端口入侵你的系统,你需要一套能够防御住80端口攻击的安全攻击。现阶段世界上唯一优秀的预防通过80端口攻击系统的安全软件就是四川安盟科技有限公司的S-web 2.0入侵防御系统。它在WEB端口上加载了一个应用级防火墙,结合基于主机的入侵检测系统,能强有力的保护WEB端口,还能抵御住未知攻击手段对系统的攻击。 |
|
IP卡
狗仔卡
发表于 2004-10-6 11:36
UBLIC" 
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
