Day 23 - 网站与网路应用程序攻击

出於书本 Chapter 14. Web sites and Applications

前言

网站与网路应用程序因很容易透过网路存取，每个人都可以透过网路对网站进行探测。一般网站可能包含有公司行号的行销资讯 (Marketing)、联络资讯与档案下载等等，容易成为攻击的对象（特别是要炫技的小屁孩 kiddie ）。对於犯罪型的骇客来说，网站提供了一个存取像有价值的资讯的前端 (front-end)。

网路应用程序测试工具

如前面几个章节作者都会列一些测试工具，这里也有列了一些网路应用程序的相关测试工具，其中

• Firefox Web Develop
  • 可以用来做手工分析以及操作的 Firefox 外挂
  • 安装之後的样子

• HTTrack Website Copier
  • 原本的用途是拿来砍站用的
  • 书上介绍的使用方式，是整个站台爬 (craw) 下来做离线检测

一般的弱点扫描工具也能拿来替网站做安全性检测。

有哪些攻击方式？

大部分的攻击，就算是使用 HTTPS 也一样能够实现，因为传输媒介 (communications medium) 根本无法防范攻击，漏洞实际上发生的位置会是在网站或是网路应用程序本身，或是这些程序所架设的服务器上。

目录遍历攻击法

目录遍历 (Directory traversal) 是一种很经典的网站攻击方式，攻击者透过浏览网站的结构来找出一些蛛丝马迹，像是服务器的资料结构与敏感的档案，很有可能有意无意地就被找出来。书上介绍使用下面的测试确认网站的目录结构：

• 爬虫 (Crawlers)
  • 像是上面提的 HTTrack Website Coper ，能够爬出所有能被公开存取的档案。
  • 复杂一点的网站能够揭露更多像是脚本 (script) 与程序码
  • 这是书上给的 HTTrack Website Coper 范例，如果扫描出来的只有一般网站在使用的 HTML 与 PDF 档案，没有夹带什麽不想公诸於世的敏感资讯，就不会有太大问题。

• Google

  • 搜寻引擎也能拿来做目录遍历，使用的方式就是在 google 的搜寻列里下进阶的 Google Queries 语法，像是

    // 可以打任意像是 信用卡、 机密 等等用关键字组成的 list
    site:hostname keywords

    // 可以搜寻站台中任意种类的档案，比如 .zip 或是 .pdf 等等
    filetype:file-extension hostname

  其他进阶的 Google operators 像是

  • allintitle # 搜寻在网页标题上的关键字，原本是 SEO 用途
  • inurl # 搜寻在网页 URL 标题上的关键字
  • related # 搜寻相似的网页
  • link # 显示其他有连到该站台的连结

因应对策

• 千万不要在网站服务器上储存任何老旧、敏感或是其他不需要公开的档案
• 透过设定 robots.txt 档案来防范来自搜寻引擎爬虫程序
• 确认网站服务器只允许 必要的档案或资料夹能透过网际网路存取
• 尽量为服务器更新到最新版本，来维持安全性

最後，可以考虑使用搜寻引擎的 诱捕系统 (a.k.a Honey Pot) ，例如 Google Hack Honeypot 来看看坏人都是如何透过搜寻引擎操作网站并且防范他们。

明天来看看 Input filter 相关的攻击～晚安啦～