強訊科技CallThink呼叫中心系統在網絡安方面進行升級,包括SQL注入、暴力破解、回話固定等等漏洞。
強訊公司從創始之初就以軟件開發為主,從早期的CS產品,現在的BS產品,在不斷應用新技術,開發新功能的同時,我們也遇到了很多網絡安全問題。最初的處理方就是更新系統補丁,避免病毒通過系統漏洞感染計算機;設置強壯管理員登錄密碼;及時更新殺毒軟件,并定期的進行全盤殺毒等方式提高系統的安全性。
隨著互聯網的普及,隱私泄露、信息被盜、惡意代碼注入、數據庫被攻擊等各種網絡攻擊的方式日漸增多,目前的大環境是企業對自身的網絡安全的重視程度在不斷提高,市場上出現了很多網絡安全檢測軟件,如綠盟軟件等,輔助企業提高網絡安全性。
強訊的產品在經受網絡安全檢測過程中,發現了很多問題。目前的BS架構系統,被檢測出包括SQL注入、暴力破解、跨網站攻擊、回話固定等漏洞。同時,我們的產品都是基于Windows操作系統的,那么Windows系統本身的漏洞也為我們的軟件產品安全帶來威脅。我們在解決這些問題的過程中,也逐步積累了一些方法,下面我們簡單描述一下網絡攻擊方式:
1、SQL注入
所謂SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。具體來說,它是利用現有應用程序,將(惡意)的SQL命令注入到后臺數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖去執行SQL語句。
2、XSS跨站攻擊:
(Cross Site Script為了區別于CSS簡稱為XSS) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意用戶的特殊目的。
3、會話固定
Session fixation attack(會話固定攻擊)是利用服務器的session不變機制,借他人之手獲得認證和授權,然后冒充他人。這種攻擊方式的核心要點就是讓合法用戶使用攻擊者預先設定的session ID來訪問被攻擊的應用程序,一旦用戶的會話ID被成功固定,攻擊者就可以通過此session id來冒充用戶訪問應用程序(只要該session id還是有效的,也就是沒有被系統重新生成或者銷毀)。 通過這種方式,攻擊者就不需要捕獲用戶的Session id(該種方式難度相對稍大)。
4、暴力破解
暴力破解一般指窮舉法,窮舉法的基本思想是根據題目的部分條件確定答案的大致范圍,并在此范圍內對所有可能的情況逐一驗證,直到全部情況驗證完畢。若某個情況驗證符合題目的全部條件,則為本問題的一個解;若全部情況驗證后都不符合題目的全部條件,則本題無解。窮舉法也稱為枚舉法。
系統登錄時如果未采取圖形驗證碼等有效的安全措施,或者驗證碼不刷新,惡意攻擊者可以采用字典方式進行多次登錄嘗試,從而威脅用戶的帳號安全。
5、TRACE Method Enabled漏洞
TRACE方法是HTTP(超文本傳輸)協議定義的一種協議調試方法,該方法使得服務器原樣返回任何客戶端請求的內容(可能會附加路由中間的代理服務器的信息),由于該方法原樣返回客戶端提交的任意數據,因此,可用來進行跨站腳本(XSS)攻擊,這種攻擊方式又稱為跨站跟蹤攻擊(XST)。
6、啟用TRACE方法存在如下風險
A、 惡意攻擊者可以通過TRACE方法返回的信息了解到網站前端的某些信息,如緩存服務器等,從而為進一步的攻擊提供便利;
B、 惡意攻擊者可以通過TRACE方法進行XSS攻擊,盜取會話cookie、獲取賬戶、模擬其他用戶身份,甚至可以修改網頁呈現給其他用戶的內容,從而給用戶帶來損失;
C、 即使網站對關鍵頁面啟用了HttpOnly頭標記,禁止腳本讀取cookie信息時,通過使用Trace方法,惡意攻擊者可以繞過這個限制,讀取cookie信息。
7、WEBSHELL
shell是web入侵的腳本攻擊工具。簡單的說來,webshell就是一個asp或php木馬后門,黑客在入侵了一個網站后,常常在將這些 asp或php木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后黑客就可以用web的方式,通過asp或php木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。防范webshell的最有效方法就是:可寫目錄不給執行權限,有執行權限的目錄不給寫權限。
8、明文密碼傳輸漏洞
在HTTP下密碼是通過明文傳輸,在系統登錄時,傳輸的密碼未進行加密,可通過數據包攔截直接獲取。密碼類的重要信息會很容易被嗅探到,極其不安全。有人提用 MD5 代替明文,但是解決這種傳輸中安全問題的終極方案是使用HTTPS協議加密傳輸。只要在客戶端輸入時密碼不被竊取,且SSL協議的私鑰安全,這種協議就是安全的。
9、JS敏感信息泄露
JavaScript作為一種相當簡單但功能強大的客戶端腳本語言,本質是一種解釋型語言。所以,其執行原理是邊解釋邊運行。上述特性就決定了JavaScript與一些服務器腳本語言(如ASP、PHP)以及編譯型語言(如C、C++)不同,其源代碼可以輕松被任何人獲取到。一些粗心的開發者將各式敏感信息存儲在JavaScript腳本中,由于JS的特性,攻擊者可以對這些信息一覽無余,從而導致對WEB服務和用戶隱私造成不同程度的威脅。此類漏洞修復相對容易,在明白了JavaScript的特性以后,不把此類敏感信息直接存儲進頁面內的js和ajax請求響應內容中就可以解決這類問題。
10、IIS短文件名枚舉漏洞
Microsoft IIS在實現上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網絡服務器根目錄中的文件,即如果創建了一個長文件,那么無需猜解長文件,直接用短文件就可以下載了。攻擊者可以利用“~”字符猜解或遍歷服務器中的文件名,或對IIS服務器中的。Net Framework進行拒絕服務攻擊。漏洞造成原因:沒有禁止NTFS8.3格式文件名創建。
11、啟用APSP。NET調試模式
應用程序代碼可能會包含各種類型的錯誤或BUG,通過調試將獲取大量網站敏感數據。同時啟用調試模式將極大地影響 ASP。NET 應用程序的性能。應在部署發布版本的應用程序或進行性能度量之前要禁用調試模式。
12、系統漏洞
Windows操作系統會不斷暴露出漏洞并持續需要修復,系統中存在安全漏洞和質量缺陷將會使系統遭到攻擊。
13、系統安全配置
A、配置管理缺省賬戶以及賬戶錯誤鎖定機制。
B、對密碼的負責度和生存周期、重復次數等進行配置。
C、設置遠程認證授權,安裝殺毒軟件并及時更新。
D、關閉不必要的服務端口。
E、關閉硬盤的默認共享。
F、關閉WINDOWS自動播放功能
G、取消不必要的啟動項
14、IIS安全配置
A、設定IIS的IP訪問范圍
B、檢查IIS是否已配置SSL身份訪問驗證
C、更改IIS Web日志默認路徑
D、檢查是否已配置錯誤頁面重定向
E、禁止IIS列表顯示文件
