文/諸葛建偉

高校網(wǎng)站安全的“矛”與“盾”(二)

文/諸葛建偉

COST論壇由CCERT、《中國教育網(wǎng)絡(luò)》雜志于2008年共同發(fā)起，采取會員制，面向個人，完全免費，以開放、平等、自由的互聯(lián)網(wǎng)精神運作。如需獲取COST技術(shù)論壇視頻、錄音等資料，請登錄：http://www.cost.edu.cn/。

Web應(yīng)用安全威脅和設(shè)防措施

在網(wǎng)站系統(tǒng)的各個軟件層次上，目前最薄弱的安全環(huán)節(jié)在于Web應(yīng)用程序。相比較于底層操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和常用應(yīng)用軟件，Web應(yīng)用程序可能是開發(fā)過程最快、編碼質(zhì)量和測試水平最低的，這也造成了Web應(yīng)用程序安全性最為薄弱的現(xiàn)狀。同時，Web應(yīng)用程序的復雜性和靈活性又進一步惡化了它們的安全性。

國際上著名的信息安全研究組織OWASP在2007年首次公布之后，2010年又發(fā)布了Web應(yīng)用程序所面臨的最新十大安全威脅（如表1所示）。從中我們可以看到，代碼注入攻擊和XSS跨站腳本一直以來占據(jù)著前兩位的位置，也是目前高校網(wǎng)站所面臨的最普遍的Web應(yīng)用攻擊方式。

代碼注入攻擊有多種類型，但SQL注入攻擊是其中最為常見和簡單易懂的技術(shù)類型，我們以它為例，來介紹高校網(wǎng)站W(wǎng)eb應(yīng)用程序的主要安全威脅狀況。

SQL注入是利用Web應(yīng)用程序數(shù)據(jù)層存在的輸入驗證不完善型安全漏洞實施的一類代碼注入攻擊技術(shù)，能夠通過惡意讀取、修改與操縱數(shù)據(jù)庫，來竊取網(wǎng)站敏感信息，進而攻陷網(wǎng)站獲得控制權(quán)。目前在網(wǎng)絡(luò)駭客社群中流傳著各種自動化的SQL注入攻擊工具，如CSC、NBSI、HDSI、阿D注入工具、WED、Domain等。

而高校網(wǎng)站中，大量涉及數(shù)據(jù)庫查詢操作的Web應(yīng)用程序在開發(fā)時并沒有考慮到對SQL注入攻擊的預(yù)防、檢測和防御，例如某高?？蒲泄芾頇C構(gòu)維護的科研經(jīng)費來款查詢系統(tǒng)，是一個非常簡單的ASP動態(tài)頁面程序，設(shè)計目的是為高校科研人員查詢所承擔的各類科研項目經(jīng)費是否到款、到款數(shù)額及撥付情況，在檢索表單中需用戶輸入一個對來款單位進行查詢的關(guān)鍵字，并只返回包含給定關(guān)鍵字的來款記錄，ASP程序中使用的SQL語句猜想應(yīng)該是類似于“SELECT * FROM some_tbl where some_rec like ' %INPUT%'”。然而這個程序好像沒有對用戶輸入做任何的安全驗證和過濾，因此當具有好奇心的一些用戶，比如說作者本人，希望了解到其他科研人員承擔各類科研項目的情況，就會在輸入框內(nèi)填寫“a% ' or ' a ' like ' %a”，點擊檢索之后就可以得到數(shù)據(jù)表全部記錄信息，這是因為程序在注入的輸入后，使用的SQL語句將會變成“SELECT * FROM some_tbl where some_rec like ' % a% ' or ' a ' like ' %a '”，而' a ' like ' %a '是一個永真式，使得WHERE子句永真，因此該SQL語句等價于“SELECT * FROM some_tbl”，從而在返回結(jié)果中給出全部記錄信息。當然，由于該ASP程序存在著SQL注入漏洞，對它的攻擊可以不限于此，還包括猜解管理員用戶口令、上傳ASP后門和本地提權(quán)攻擊等。

該漏洞可能在該網(wǎng)站上存在了數(shù)年之久，筆者曾向網(wǎng)站留下的管理員郵件地址發(fā)送多封漏洞提示郵件，但均未有回復，想是該網(wǎng)站已無技術(shù)人員維護，或是管理員郵件地址已淪為垃圾郵件充斥的郵箱而無人問津。

為了應(yīng)對高校網(wǎng)站W(wǎng)eb應(yīng)用程序所普遍面臨的代碼注入、XSS等安全攻擊威脅，網(wǎng)站運營者和管理部門在機制方面需要建立起恰當?shù)墓芾砗拓熑沃贫?，從技術(shù)角度則建議采用如下安全設(shè)防措施：

表1 OWASP組織公布的Top 10 Web應(yīng)用程序安全威脅類型

1) 對于信息發(fā)布類網(wǎng)站盡量采用靜態(tài)網(wǎng)站設(shè)計

采用動態(tài)內(nèi)容、支持用戶輸入的Web應(yīng)用程序較靜態(tài)HTML具有更高的安全風險，因此技術(shù)人員在設(shè)計與開發(fā)Web應(yīng)用時，應(yīng)謹慎考慮是否采用動態(tài)頁面技術(shù)、是否支持客戶端執(zhí)行代碼、是否允許接受用戶輸入，信息發(fā)布類網(wǎng)站往往無需引入動態(tài)頁面和用戶交互，而且可以通過后臺系統(tǒng)來產(chǎn)生信息發(fā)布靜態(tài)頁面的方式(這種Web站點構(gòu)建方式也被新浪、搜狐等門戶網(wǎng)站所采納)來兼顧安全性、訪問性能與便捷性。蘭州大學的李仲賢老師曾在COST論壇分享了采用這種設(shè)計思路構(gòu)建校園信息門戶網(wǎng)站的經(jīng)驗。

2) 選擇安全性高、可靠的Web應(yīng)用軟件包和解決方案

對于必須提供用戶交互、采用動態(tài)頁面的Web站點，盡量使用具有良好安全聲譽及穩(wěn)定技術(shù)支持力量的Web應(yīng)用軟件包，如活躍的開源和共享軟件，規(guī)范運作、注重安全的商業(yè)軟件公司解決方案等，并定期進行Web應(yīng)用程序的安全評估與漏洞掃描檢測，對Web應(yīng)用程序應(yīng)跟進版本更新和安全補丁發(fā)布情況，進行升級與安全漏洞修補。

只在必要時候自主或外包開發(fā)Web應(yīng)用程序，在開發(fā)和部署過程中需重視安全編程、持續(xù)性的安全測試與維護，安全編程與測試的檢查點有：獨立、完整且集中的輸入驗證、校驗全部的程序輸入、校驗輸入長度與類型、不使用任何方式驗證失敗的數(shù)據(jù)、對HTTP所有內(nèi)容進行校驗、校驗向用戶輸出的數(shù)據(jù)、使用安全的S Q L查詢方式、禁止使用JavaScript進行任何校驗、使用安全統(tǒng)一的編碼或轉(zhuǎn)義方式、設(shè)定安全的權(quán)限邊界、校驗被調(diào)用的后臺命令、校驗被調(diào)用的文本或配置文件、確保程序所記錄的日志可控。

3) 充分有效利用Web服務(wù)器的日志功能

對Web應(yīng)用程序的所有訪問請求進行日志記錄與安全審計，如Apache的access_logs/error_logs、IIS的日志文件等等，這些Web訪問日志往往以W3C的日志標準格式——Extended Common Log Format來進行記錄，關(guān)鍵的信息包括訪問用戶名、請求URL、referer來源鏈接等。通過一些輔助的Web日志分析與檢測工具，如AWStats等，可以從中發(fā)現(xiàn)出針對Web應(yīng)用程序的漏洞探測、滲透攻擊等入侵行為。

4) 定期進行網(wǎng)站W(wǎng)eb應(yīng)用程序漏洞掃描

使用IBM AppScan、HP WebInspect、Acunetix Web Vulnerability Scanner等Web漏洞掃描軟件定期對重點網(wǎng)站進行Web應(yīng)用程序漏洞掃描，并根據(jù)掃描結(jié)果推動程序開發(fā)和測試團隊修補所發(fā)現(xiàn)的安全漏洞，提高網(wǎng)站應(yīng)用的安全性。除了Web應(yīng)用程序漏洞掃描器產(chǎn)品之外，國內(nèi)的一些安全公司，如綠盟、知道創(chuàng)宇等，也提供了遠程的網(wǎng)站W(wǎng)eb漏洞安全掃描服務(wù)，這種遠程在線服務(wù)提供了投入資金和技術(shù)成本更低的高效安全解決方案。

5) 部署Web應(yīng)用防火墻產(chǎn)品或服務(wù)

對于高校安全敏感的網(wǎng)站系統(tǒng)，如主頁站點和校園信息門戶等，應(yīng)進行重點安全防護，建議部署商業(yè)或開源的Web應(yīng)用防火墻設(shè)備，來檢測和抵御針對這些網(wǎng)站系統(tǒng)的Web應(yīng)用攻擊，但這種方式對投入成本和技術(shù)水平要求較高，較難大規(guī)模推廣。筆者所在單位在多年研究基礎(chǔ)上，實現(xiàn)了Web應(yīng)用防火墻服務(wù)云的技術(shù)解決方案，可以無需在防護網(wǎng)站端部署任何硬件設(shè)備，也無需改變網(wǎng)絡(luò)拓撲，通過簡單的網(wǎng)絡(luò)參數(shù)配置，即可以通過在云環(huán)境中集中部署的Web應(yīng)用防火墻，為遠程的客戶網(wǎng)站提供安全防護托管服務(wù)，這種技術(shù)方案能夠為規(guī)模較小、缺乏安全技術(shù)水平的高校網(wǎng)站提供了非常便捷和低成本的安全保護措施。對于規(guī)模較大的高校網(wǎng)站群，也可以采用私有云方式來部署Web應(yīng)用防火墻服務(wù)，同樣無需改變網(wǎng)絡(luò)拓撲，即可完成對網(wǎng)站群的高效安全防護。如需了解更多詳細信息，可通過本文作者向該服務(wù)具體負責老師進行詳細咨詢。

Web數(shù)據(jù)安全威脅和設(shè)防措施

Web數(shù)據(jù)構(gòu)成了高校網(wǎng)站的重要組成內(nèi)容，也隨之面臨攻擊者竊取敏感與隱私信息，惡意篡改頁面和注入不良信息內(nèi)容等安全威脅。

雖然大部分高校網(wǎng)站并不涉及敏感與隱私信息，但由于一些網(wǎng)站用戶缺失保密和安全意識，少部分網(wǎng)站上仍可能存在泄露科研敏感信息和師生個人隱私信息的情況，而攻擊者可以采用強大的Google Hacking技術(shù)，借助搜索引擎的力量，非常便捷地發(fā)現(xiàn)和攫取這些被意外或無意間泄露的敏感內(nèi)容。在某高校網(wǎng)站的上傳目錄中無意泄露出的一份教師職稱評估業(yè)績表中，可以發(fā)現(xiàn)該教師承擔了一些來自國家敏感部門的科研項目，并完成了數(shù)篇關(guān)于武器技術(shù)的國防科技報告，筆者雖然無法確認這些泄露信息是否屬于保密范圍，但個人認為在互聯(lián)網(wǎng)上暴露如此詳細的涉及武器技術(shù)研發(fā)的項目與成果情況，應(yīng)屬不該發(fā)生的事情。

在高校網(wǎng)站上泄露師生個人隱私信息則更為常見，利用Google Hacking的一些基本技巧，如搜索“filetype:xls site:edu.cn 課題 身份證號”，可以發(fā)現(xiàn)內(nèi)部包含有“課題”和“身份證號”關(guān)鍵字的XLS電子文件，通常會找出一些包含有申請人身份證敏感信息的科研課題申請資料，在一個實驗室網(wǎng)站的incoming目錄上可以挖掘出一份課題申報信息表，其中包含了所有課題主要參與人員的身份證號敏感信息。搜索“filetype:xls 身份證號 site:edu.cn”、“filetype:xls 信用卡 site:edu.cn”還會發(fā)現(xiàn)大量高校網(wǎng)站隨意泄露學生個人敏感信息的情況，常見的如國家活動安排、獎助學金評選、新生報到等活動公開資料中經(jīng)常給出完整的學生身份證號碼和信用卡號等，如在某高校網(wǎng)站上公開的殘奧會志愿者活動安排材料中隨意包含了學生身份證號。此類情況往往是由于高校中的一些行政人員缺乏保護個人隱私信息的觀念和意識，未經(jīng)屏蔽處理，即把完全沒有必要公開的身份證號、信用卡號等隱私信息直接發(fā)布在網(wǎng)絡(luò)上，這往往會對學生的網(wǎng)絡(luò)信息安全造成一定的風險，如身份信息可能被濫用、常作為口令使用的生日日期被搜索獲得等。

通過一些觀察和分析，筆者認為目前高校網(wǎng)站通常的敏感信息泄露途徑和方式包括：

1) 由于不安全配置，未關(guān)閉Web服務(wù)器的文件列表枚舉和目錄遍歷，在不經(jīng)意間泄露服務(wù)器中保存的敏感信息；

2) 利用Web服務(wù)器（往往同時配置FTP服務(wù)）的Upload、Incoming等上傳目錄中轉(zhuǎn)文件時，被搜索引擎爬蟲檢索而不經(jīng)意泄露；

3) 由于網(wǎng)站用戶缺乏安全意識，在公開文檔中隨意包含他人，特別是學生的隱私信息；

4) 在公開的個人簡歷、職稱晉升材料和課題申請書中包含科研敏感信息。

除了敏感信息泄露之外，高校網(wǎng)站還比較容易遭受網(wǎng)頁篡改攻擊。2008年9月份清華和北大網(wǎng)站曾被“黑客”攻擊，并假冒校長名義發(fā)表抨擊大學教育的文章。在如圖2所示的中國被黑站點統(tǒng)計網(wǎng)站（www.zone-h.com.cn）和圖3所示的世界被黑站點統(tǒng)計網(wǎng)站（www.zone-h.org）上都可以查詢到大量被攻擊和篡改網(wǎng)頁的高校網(wǎng)站。筆者曾發(fā)表一篇論文《基于元搜索引擎實現(xiàn)被篡改網(wǎng)站發(fā)現(xiàn)與攻擊者調(diào)查剖析》，高校網(wǎng)站管理部門可以借鑒這種方法，通過綜合利用Google、百度、Yahoo等搜索引擎對網(wǎng)站的監(jiān)控能力，利用常見的網(wǎng)頁篡改特征和對站點范圍的限定，自動地發(fā)現(xiàn)關(guān)注站點范圍內(nèi)被惡意篡改的網(wǎng)頁。圖4示例了利用在網(wǎng)頁標題中匹配“hacked by”特征來發(fā)現(xiàn)edu.cn域名范圍內(nèi)的被黑網(wǎng)站。

不良信息內(nèi)容也對高校網(wǎng)站的正常運營帶來了安全風險，高校網(wǎng)站被攻陷后可能成為色情淫穢等不良信息的存儲和中轉(zhuǎn)倉庫，而提供用戶交互的BBS、論壇和博客等網(wǎng)站則可能遭遇網(wǎng)站用戶發(fā)布不良信息內(nèi)容的情況，如果論壇管理者、博主沒有有效管理他們的網(wǎng)站，那么很多涉及出售非法物品的廣告會被經(jīng)常光顧并被長期保留在這些網(wǎng)站上。

為了應(yīng)對高校網(wǎng)站所面臨的Web數(shù)據(jù)安全威脅，高校網(wǎng)絡(luò)管理部門應(yīng)通過各種有效途徑，來提高網(wǎng)站維護人員和用戶的數(shù)據(jù)安全意識，包括：

1）保密信息絕對不能聯(lián)網(wǎng)，此外也不應(yīng)在網(wǎng)上公開團隊和個人承擔涉密項目的信息，以免引來針對性的社會工程攻擊；

2）應(yīng)教育行政人員和師生注重個人隱私信息，網(wǎng)上公布的文檔資料中應(yīng)盡量避免包含個人隱私信息，如必要時，也應(yīng)進行部分的屏蔽處理；

3）注意對論壇、博客、BBS、留言本等允許用戶提交數(shù)據(jù)的審查，清除明確包含違法信息的數(shù)據(jù)內(nèi)容。

另外網(wǎng)絡(luò)管理部門應(yīng)幫助網(wǎng)站運營者加強網(wǎng)站數(shù)據(jù)安全性監(jiān)測和防護措施，包括：

1）提升網(wǎng)站系統(tǒng)及Web應(yīng)用程序的安全性，避免網(wǎng)站遭遇網(wǎng)頁篡改；

2）善用Google、百度等搜索引擎，定期進行關(guān)注域名范圍內(nèi)的被黑網(wǎng)站發(fā)現(xiàn)和敏感數(shù)據(jù)檢查；

3）對網(wǎng)站的安全配置進行核查，盡量消除文件列表枚舉、目錄遍歷、隨意上傳等容易泄露信息的渠道；

4）對接受用戶交互的網(wǎng)站列出清單，協(xié)助網(wǎng)站運營者進行定期的數(shù)據(jù)安全性檢查；

5）建立規(guī)范便捷的網(wǎng)站安全響應(yīng)機制和流程。

網(wǎng)站系統(tǒng)的安全威脅存在于傳輸網(wǎng)絡(luò)、操作系統(tǒng)與網(wǎng)絡(luò)服務(wù)、Web應(yīng)用程序和數(shù)據(jù)內(nèi)容等各個層次上，類型也非常多樣化，并且廣泛普遍存在。而高校網(wǎng)站由于資金和人力投入少，安全性尤為薄弱，各種安全問題頻頻出現(xiàn)。高校網(wǎng)絡(luò)管理部門應(yīng)擔負起改善網(wǎng)站安全性的責任，爭取學校經(jīng)費投入，建立安全管理和責任機制，并通過采納開源和商業(yè)的技術(shù)方案，建立起網(wǎng)站安全建設(shè)、監(jiān)控和響應(yīng)技術(shù)流程，來切實提升高校網(wǎng)站的安全性。同時,高校網(wǎng)站安全也需要多方協(xié)作，高校網(wǎng)站管理部門和網(wǎng)站管理者應(yīng)成為安全責任主體，來推動相關(guān)安全機制的建立，而運營商、科研機構(gòu)和安全公司也應(yīng)對高校提供技術(shù)支持與幫助，網(wǎng)站用戶也應(yīng)建立起良好的安全意識，只有如此，高校網(wǎng)站才能夠不再是網(wǎng)絡(luò)駭客們所青睞的“軟柿子”，而真正成為服務(wù)于廣大師生、支撐數(shù)字校園的堅強后盾。

（作者單位為清華大學網(wǎng)絡(luò)工程研究中心）