在用JSP制作的電子商務(wù)網(wǎng)站多如牛毛。但是對(duì)于JSP網(wǎng)站而言，安全性真的能夠讓人放心嗎？面對(duì)層出不窮的黑客攻擊和病毒襲擊，JSP網(wǎng)站的服務(wù)器能夠比其他網(wǎng)站的服務(wù)器器更加安全嗎？前段時(shí)間，應(yīng)朋友之邀，我對(duì)他們托管的三臺(tái)服務(wù)器的主機(jī)進(jìn)行了測(cè)試，發(fā)現(xiàn)了JSP網(wǎng)站存在的幾個(gè)問(wèn)題。
　　入侵測(cè)試第一步：掃描
　　掃描是入侵的第一步，它可以讓你對(duì)即將入侵的目標(biāo)有一個(gè)全面的了解。同時(shí)掃描還有可能發(fā)現(xiàn)掃描對(duì)象的漏洞，為入侵提供一個(gè)指導(dǎo)方向。
　　朋友的兩臺(tái)服務(wù)器為L(zhǎng)inux，一臺(tái)為Windows系統(tǒng)，在路由器后面還有一臺(tái)Cisco PIX 525對(duì)三臺(tái)主機(jī)進(jìn)行保護(hù)，只允許外部用戶連接不同主機(jī)的部分端口，例如80,25,110。
　　根據(jù)檢測(cè)，Cisco PIX防火墻過(guò)濾規(guī)則設(shè)置比較嚴(yán)密，基本上沒(méi)有多余端口允許外部用戶訪問(wèn)。細(xì)致分析后，我發(fā)現(xiàn)，目標(biāo)網(wǎng)絡(luò)的主機(jī)通過(guò)地址轉(zhuǎn)換來(lái)提供對(duì)外訪問(wèn)，內(nèi)部使用192.168.*.*地址段。
　　先不考慮那么多，找個(gè)掃描軟件來(lái)看看主機(jī)的安全情況。我找來(lái)了X-Scan，在外部對(duì)這幾臺(tái)主機(jī)進(jìn)行了端口掃描之后，生成了一份關(guān)于端口的報(bào)表，發(fā)現(xiàn)其中有一個(gè)Tomcat服務(wù)器，解釋的自然就是JSP文件了。
　　小知識(shí)：
　　Tomcat Web服務(wù)器是一款開(kāi)源的適合于各種平臺(tái)的免費(fèi)網(wǎng)絡(luò)服務(wù)器。eBay.com與Dell 計(jì)算機(jī)等知名網(wǎng)站都采用或者曾經(jīng)采用Tomcat的container容器執(zhí)行Servlet 與JSP。
　　看來(lái)，只能通過(guò)Web服務(wù)進(jìn)行間接攻擊。首先檢查TCP 80端口的服務(wù)。我發(fā)現(xiàn)，新聞搜索的功能是由端口8080提供的，輸入http:// 202.103.*.168:8080/之后，得到了一個(gè)系統(tǒng)管理登錄頁(yè)面，簡(jiǎn)單地測(cè)試了一下，輸入“test/test”作為“用戶名/口令”，似乎認(rèn)證成功，但實(shí)際上并不能進(jìn)入下一個(gè)頁(yè)面。
　　專家支招：對(duì)于掃描來(lái)說(shuō)，它很容易暴露我們網(wǎng)站的弱勢(shì)方面。應(yīng)對(duì)掃描，我們可以架設(shè)一個(gè)蜜罐來(lái)誤導(dǎo)掃描者，蜜罐可以讓系統(tǒng)偽裝成到處是漏洞，從而遮蔽真正存在的漏洞，也可以偽裝成沒(méi)有任何漏洞，讓入侵者不知道從何入手。
　　入侵測(cè)試第二步：漏洞嘗試

　　嘗試JSP各種已知漏洞，這個(gè)是在掃描結(jié)果中無(wú)法獲得任何有效信息指導(dǎo)入侵的情況下，被迫使用的方法。這種方法雖然效果不一定好，但是往往能夠起到意想不到的效果，從而讓入侵繼續(xù)下去。
　　我進(jìn)行了JSP大小寫的測(cè)試，因?yàn)镴SP對(duì)大小寫是敏感的，Tomcat只會(huì)將小寫的jsp后綴的文件當(dāng)作是正常的JSP文件來(lái)執(zhí)行，如果大寫了就會(huì)引起Tomcat將index.JSP當(dāng)作是一個(gè)可以下載的文件讓客戶下載，若干測(cè)試后，我發(fā)現(xiàn)這個(gè)方法并不奏效，可能管理員已經(jīng)在服務(wù)器軟件的網(wǎng)站上下載了最新的補(bǔ)丁。
　　我發(fā)現(xiàn)大部分的JSP應(yīng)用程序在當(dāng)前目錄下都會(huì)有一個(gè)WEB-INF目錄，這個(gè)目錄通常存放的是JavaBeans編譯后的class 文件，如果不給這個(gè)目錄設(shè)置正常的權(quán)限，所有的class就會(huì)曝光。
　　而采用JAD軟件對(duì)下載的class文件反編譯后，原始的Java文件甚至變量名都不會(huì)改變。如果網(wǎng)頁(yè)制作者開(kāi)始把數(shù)據(jù)庫(kù)的用戶名密碼都寫在了Java代碼中，反編譯后，說(shuō)不定還能看到數(shù)據(jù)庫(kù)的重要信息。那么，怎么得到這些文件呢？
　　Tomcat版本的缺省“/admin”目錄是很容易訪問(wèn)的。輸入：http://202.103.*.168/admin/，管理員目錄赫然在列。默認(rèn)情況下，“User Name”應(yīng)該是admin，“Password”應(yīng)該是空，輸入用戶和密碼后，并點(diǎn)擊“Login”按鈕，不能進(jìn)入，陸續(xù)使用了幾個(gè)比較常見(jiàn)的密碼，也無(wú)濟(jì)于事。
　　默認(rèn)情況下，Tomcat打開(kāi)了目錄瀏覽功能，而一般的管理員又很容易忽視這個(gè)問(wèn)題。也就是說(shuō)，當(dāng)要求的資源直接映射到服務(wù)器上的一個(gè)目錄時(shí)，由于在目錄中缺少缺省的index.jsp等文件，Tomcat將不返回找不到資源的404錯(cuò)誤，而是返回HTML格式的目錄列表。
　　想到了這點(diǎn)后，我打開(kāi)剛才用X-Scan掃描后生成的報(bào)表文件，找到“安全漏洞及解決方案”欄目，看到了幾個(gè)可能會(huì)有CGI漏洞的目錄。在地址欄輸入其中之一，返回結(jié)果如圖1所示。

一些很典型的JSP文件和JS文件都列出來(lái)了。大喜之下，隨便選擇一個(gè)文件，點(diǎn)擊右鍵，然后，選擇“用FlashGet下載全部鏈接”選項(xiàng)，于是，這個(gè)目錄下的所有文件都被我下載到了本地。
　　其中最有價(jià)值的是一個(gè)名字為dbconn.js的文件，看來(lái)程序設(shè)計(jì)者是為了方便省事，把一些數(shù)據(jù)庫(kù)連接的密碼和連接地址都寫在里面了（這是很多開(kāi)發(fā)者可能會(huì)忽略的問(wèn)題）。不過(guò)，我現(xiàn)在最關(guān)心的還是Tomcat的管理員密碼。
　　簡(jiǎn)單破解后，發(fā)現(xiàn)Tomcat系統(tǒng)中的admin用戶使用了非常簡(jiǎn)單的口令：web123456。利用這個(gè)漏洞，有了這個(gè)密碼，下面的工作就相對(duì)簡(jiǎn)單了。
　　專家支招：對(duì)于網(wǎng)站中的漏洞，我們要即時(shí)打上各種補(bǔ)丁，然后對(duì)幾個(gè)已知的安全弱勢(shì)方面進(jìn)行加強(qiáng)，比如我們可以將“/admin”目錄進(jìn)行修改，讓入侵者不容易找到管理路徑。然后關(guān)閉Tomcat的目錄瀏覽功能，讓入侵者的漏洞嘗試徹底失敗。
　　入侵測(cè)試第三步：注入攻擊
　　很多網(wǎng)站對(duì)于注入防范做得都很不到位，注入攻擊可以讓網(wǎng)站暴露出自己的數(shù)據(jù)庫(kù)信息以至于暴露數(shù)據(jù)庫(kù)表中的管理員賬號(hào)和密碼。
　　重新登錄Tomcat的管理界面，點(diǎn)擊“Context （Admin）”這個(gè)鏈接，列出了WEB目錄下的一些文件和目錄的名稱，現(xiàn)在就可以對(duì)Tomcat的Context進(jìn)行管理，例如查看、增加、刪除Context。
　　回到Tomcat的管理界，我發(fā)現(xiàn)了一個(gè)上傳文件的組件，并且網(wǎng)站還有一個(gè)論壇。于是，我編寫了一個(gè)input.jsp文件，并將它當(dāng)作一般的Web 應(yīng)用程序，通過(guò)上傳的組件上傳到對(duì)方的WEB目錄里。打開(kāi)input.jsp這個(gè)頁(yè)面（圖2）。

　　網(wǎng)頁(yè)對(duì)查詢窗體不會(huì)做任何輸入驗(yàn)證，但是對(duì)用戶名稱的窗體則會(huì)。將數(shù)據(jù)填入窗體，來(lái)測(cè)試一下網(wǎng)頁(yè)的漏洞，例子如下：
　　（1）將alert(document.cookie)填入搜索字段，以便用XSS 來(lái)顯示進(jìn)程的cookie。
　?。?）將填入搜索字段來(lái)示范HTML 注入攻擊。
　　通過(guò)這些方法，我得到了一些論壇的用戶信息，當(dāng)然，這些都是針對(duì)JSP做的一些測(cè)試，以驗(yàn)證Web應(yīng)用程序中的所有輸入字段。有了用戶信息，卻沒(méi)有密碼，怎么辦？在登錄時(shí)，我發(fā)現(xiàn)了一個(gè)8888端口，這會(huì)是個(gè)什么服務(wù)呢？
　　專家支招：在網(wǎng)頁(yè)連接數(shù)據(jù)庫(kù)的設(shè)計(jì)中，網(wǎng)頁(yè)設(shè)計(jì)人員要加入對(duì)一些敏感符號(hào)的審核機(jī)制，屏蔽一些在數(shù)據(jù)庫(kù)中有作用的符號(hào)，這可以在很大程度上成功防御注入攻擊。
　　入侵第四步：攻其“軟肋”
　　根據(jù)入侵的逐漸深入，系統(tǒng)存在的安全問(wèn)題也漸漸清楚，下面就是針對(duì)網(wǎng)站的安全“軟肋”進(jìn)行攻擊。一般針對(duì)安全“軟肋”的攻擊會(huì)使入侵成功。
　　打開(kāi)地址后，我發(fā)現(xiàn)這個(gè)端口運(yùn)行的是Apache PHP。也就是說(shuō)，這臺(tái)主機(jī)還可以編譯PHP。從經(jīng)驗(yàn)分析來(lái)看，管理員在JSP主機(jī)上同時(shí)安裝PHP的主要目的可能是為了管理MySQL數(shù)據(jù)庫(kù)。因此，這個(gè)端口很可能有phpMyadmin這款MySQL數(shù)據(jù)庫(kù)管理軟件。這個(gè)端口上會(huì)不會(huì)有數(shù)據(jù)庫(kù)管理目錄呢？
　　果然不出我所料，在輸入這個(gè)目錄之后我發(fā)現(xiàn)，我進(jìn)入了一個(gè)phpMyadmin的管理界面，可以對(duì)MySQL數(shù)據(jù)庫(kù)進(jìn)行任意操作。它支持從本地操作系統(tǒng)讀入或者寫入數(shù)據(jù)。更不可理解的是，管理員居然用root賬戶寫在了數(shù)據(jù)庫(kù)鏈接里面，想不控制這個(gè)數(shù)據(jù)庫(kù)都不行了。
　　打開(kāi)其中的一個(gè)數(shù)據(jù)庫(kù)，在“SQL”中輸入“SELECT * FROM `administer`”，administer表中的數(shù)據(jù)全部顯示出來(lái)了。和我前面用JSP探測(cè)的用戶類型大致一致。至于他們的表和數(shù)據(jù)的刪改權(quán)限，現(xiàn)在則完全在我的掌握之中了。
　　專家支招：使用了一些軟件的時(shí)候，我們盡量修改它的默認(rèn)目錄，將它改為一個(gè)不容易被猜解到的名字。同時(shí)在訪問(wèn)該目錄的時(shí)候加入密碼審核機(jī)制，就算入侵者找到了這個(gè)管理目錄也無(wú)法獲得進(jìn)入目錄的密碼。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。