Web应用程序的威胁与对策

Web应用程序的威胁与对策

更新日期： 2004年04月12日

本页内容

本模块内容

目标

适用范围

如何使用本模块

准备工作

对攻击的剖析

了解威胁类别

网络威胁和对策

主机威胁和对策

应用程序威胁和对策

输入验证

身份验证

授权

配置

敏感数据

会话管理

加密

参数操纵

异常管理

审核和记录

小结

其他资源

本模块内容

本模块从威胁、对策、漏洞和攻击的角度分析了 Web 应用程序的安全。如果您在应用程序设计、实现和部署过程中考虑安全功能，将有助于更好地理解攻击者的思想。通过从攻击者的角度思考问题并了解他们可能采取的策略，您在应用对策时将会更加有效。本模块介绍了典型的攻击者方法，并简要描述了对典型攻击的剖析。

本模块以展示攻击者用来危及 Web 应用程序安全的常见方法开始，并建议使用 STRIDE 方法将这些威胁分类。然后介绍了可能危及您的网络、主机基础结构和应用程序安全的最大威胁。有关这些威胁的知识和相应的对策为威胁建模过程提供了必要信息。 本模块使您可以识别对您的特定方案而言存在的威胁，并可以根据它们给您的系统造成的危险程度对其区分优先次序。

返回页首

目标

使用本模块可以实现：

开始从攻击者的角度考虑问题。 了解在威胁范畴广泛使用的 STRIDE 方法。 识别并应对在网络、主机和应用程序级别存在的威胁。

返回页首

适用范围

Web 应用程序

返回页首

如何使用本模块

本模块介绍了一组普遍的网络、主机和应用程序级别的威胁，还介绍了为解决每种威胁所推荐的对策。

本模块并不包含各种威胁的冗长列表，但它强调了许多最危险的威胁。根据此信息以及有关攻击者工作原理的知识，您可以识别其他威胁。

您需要了解最可能危害系统的威胁，以便建立有效的威胁模型。这些威胁模型是模块 3 威胁建模的主题。

为了充分理解本模块内容，请：

熟悉对您的网络、主机和应用程序造成影响的特定威胁。尽管攻击者的目标是相同的，但对系统各个部分的威胁是不同

的。

使用威胁来识别危险并创建用以应对威胁的计划。 应用对策来消除漏洞。本模块中总结了各种对策。有关对策实现的详细信息，请使用本指南中的第 III 部分“构建安全

的 Web 应用程序”和第 IV 部分“确保您的网络、主机和应用程序的安全”。

当您设计、构建新系统并确保其安全时，请将本模块所介绍的威胁考虑进去。无论使用何种平台或技术，都存在这些威胁。

返回页首

准备工作

开始威胁建模过程之前，理解以下基本术语是至关重要的。

资产。具有价值的资源，如数据库中或文件系统上的数据，或者是系统资源

威胁。可能危害资产的潜在发生（恶意或非恶意） 漏洞。使威胁成为可能的弱点 攻击（或利用）。所执行的危害资产的操作 对策。用以解除威胁并减轻危险的安全措施

返回页首

对攻击的剖析

通过了解攻击者攻击您的 Web 应用程序所采用的基本方法，您可以确定您面对的对象，从而采取更有效的防御措施。攻击者方法的基本步骤总结如下，并进行了图解，见图 2.1：

调查和评估 利用和渗透 提升特权 保留访问权 拒绝服务

图 2.1

攻击方法的基本步骤

调查和评估

先后对潜在目标进行调查和评估。攻击者通常采取的第一步是调查潜在目标，以识别和评估其特征。这些特征可能包括它所支持的服务和协议，以及潜在漏洞和入口点。攻击者使用在调查和评估阶段所收集的信息来规划最初的攻击。

例如，攻击者可以通过测试检测跨站点脚本 (XSS) 的漏洞，以查看网页中的控件是否会返回输出。

利用和渗透

对潜在目标进行调查后，下一步是利用和渗透。如果网络和主机是完全安全的，则您的应用程序（前门）将成为攻击的下一渠道。

对于攻击者而言，进入应用程序最简便的方法是通过合法用户使用的同一入口—例如，通过应用程序的登录页面或不需要身份验证的页面。

提升特权

攻击者在通过向应用程序插入代码或创建与 Microsoft® Windows® 2000 操作系统进行的已验证身份的会话来设法危及应用程序或网络的安全后，他们立即尝试提升特权。特别是，他们想得到 Administrators 组成员帐户提供的管理特权。他们也寻求本地系统帐户所提供的高级别特权。

在整个应用程序中使用特权最低的服务帐户是针对特权提升攻击的主要防御措施。而且，许多网络级别的特权提升攻击要求交互式的登录会话。

保留访问权

获得系统的访问权后，攻击者采取措施使以后的访问更加容易，并且掩盖其踪迹。用来使以后的访问更加容易的常用方法包括插入后门程序，或使用现有的缺少强大保护的帐户。掩盖踪迹通常包括清除日志和隐藏工具。因此，审核日志是攻击者的主要目标。 应该确保日志文件的安全，而且应该对其进行定期分析。日志文件分析通常会揭露尝试的入侵在进行破坏之前的早期迹象。 拒绝服务

无法获得访问权的攻击者通常装入拒绝服务的攻击，以防止其他攻击者使用此应用程序。对于其他攻击者而言，拒绝服务选项是他们最初的目标。例如 SYN 大量攻击，其中攻击者使用程序发送大量 TCP SYN 请求，来填充服务器上的挂起连接队列。这样便阻止了其他用户建立网络连接。

返回页首

了解威胁类别

因为存在许多不同的攻击和攻击技术，所以从攻击者要达到的目标的角度来考虑威胁是很有用的。这使您的注意力从识别每个特定攻击（它实际上只是达到目标的一种方法）转移到可能的攻击的最终结果。

STRIDE

应用程序所面临的威胁可根据攻击的目标和目的进行分类。熟知这些威胁的类别有助于您组织安全策略，从而对威胁作出规划的响应。STRIDE 是 Microsoft 对不同威胁类型进行分类所使用的首字母缩略语。STRIDE 表示：

哄骗。哄骗是指尝试使用假身份获取系统的访问权。可以使用偷取的用户凭证或假的 IP 地址来实现。攻击者作为合法

用户或主机成功获取访问权后，则可以开始特权提升或滥用授权。

篡改。篡改是指未经授权修改数据，例如当数据通过网络在两台计算机之间传递时。 抵赖。抵赖是指用户（合法或非合法）否认他们已执行了特定操作或事务的能力。没有足够的审核，抵赖攻击很难证明。 信息泄漏。信息泄漏是指保密数据的不期望的泄漏。例如，用户查看无权打开的表或文件的内容，或者监视网络上以存

文本形式传输的数据。有关信息泄漏的漏洞的示例包括使用隐藏表格字段、网页中嵌入的注释（其中包括数据库连接字

符串和连接详细信息）以及脆弱的异常处理（它可能导致内部系统级别的详细信息暴露给客户端）。这些信息中的任何

内容对攻击者都非常有用。

拒绝服务。拒绝服务是使系统或应用程序不可用的过程。例如，拒绝服务攻击可能通过以下途径实现，使用请求轰击服

务器以耗费所有可用的系统资源，或者向其传输可使应用程序进程崩溃的破坏性的输入数据。

特权提升。当具有有限特 …… 此处隐藏：11927字，全部文档内容请下载后查看。喜欢就下载吧 ……