渗透测试web安全综述(2)——Web安全概述

中国黑客的发展

随着Web2.0、社交网络、微博等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注。接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

互联网刚刚开始是安全的，但是伴随着黑客(Hacker)的诞生，互联网变得越来越不安全。

黑客一词来源于“Hacker”，通常指对于计算机系统有深入的理解，能够发现其中的问题。“Hacker”在中国按照音译，被称为“黑客”。在计算机安全领域，黑客是一群破坏规则、不喜欢被约束的人，因此总想着能够找到系统的洞，以获得一些规则之外的权力。

“黑客”这个词并非源于计算机，而是源于1961年(60年代)麻省理工学院(MIT)的技术模型铁路俱乐部，当时俱乐部成员们为修改功能而黑了他们的高科技列车组。从玩具列车推进到了计算机领域，这些MIT学生以及其他早期黑客，仅仅对探索、改进和测试现有程序的极限感兴趣。某些情况下，这些黑客甚至产生了比先前程序好的多的程序，比如丹尼斯·里奇和基斯·汤普森的UNIX操作系统。

计算机黑客持续繁荣演进到70年代，催生了新一类的黑客:玩弄电话系统的黑客，也称“飞客”。比如约翰·德拉浦，利用的是电话交换网络的操作特性，可以愚弄电话交换网络，免费享用长途通话。如今的电话交换网络已经完全电子化了。

80年代时黑客历史的分水岭，因为此时完备的个人计算机被引入了公众视野。个人电脑的广泛普及，引爆了黑客的快速增长。虽然仍有大量黑客专注于改进操作系统，但更关注个人所得的新一类黑客也渐渐浮出水面，他们将自己的技术用于犯罪活动，包括盗版软件、创建病毒和侵入系统盗取敏感信息等。

在黑客的世界里，有的黑客精通计算机技术，能自己挖掘漏洞，并编写exploit;有的黑客只对攻击本身感兴趣，对计算机原理和各种编程技术的了解比较粗浅，只懂得利用别人的代码，自己并没有动手能力，这种黑客被称为“Script Kids”，即脚本小子。

在现实世界里，真正造成破坏的，往往并非那些挖掘并研究漏洞的“黑客”们而是脚本小子。在目前已经形成产业的计算机犯罪、网络犯罪中，造成主要破坏的也是这些脚本小子。

中国黑客发展史一共经历了三个时代

• 启蒙时代
• 黄金时代
• 黑暗时代

启蒙时代

20世纪90年代，此时中国得互联网刚刚起步，是中国互联网开始发展的萌芽时期一些热爱新兴技术的青年受到国外黑客技术的影响，开始研究安全漏洞，大多都是个人爱好。

这个时期，各地电脑发烧友最大的乐趣就是复制一些小游戏和DOS等软件产品这一类被称为“窃客”。

随着中国大中城市互联网的信息港已经初具规模，在这样的环境条件下，产生了众多的黑客，他们掌握的技术主要是邮箱炸弹，后来诞生了特洛伊木马，也就是网络间谍NetSpy，随后少量的国产工具开始小范围流行于中国黑客之间。

这些黑客起初都是对计算机领域的爱好、好奇心和强烈的求知欲，他们崇尚自由喜欢分享，经验和资源都是免费提供，技术在他们看上去是最有价值的。

黄金时代

以2001年4月4日开始的“中美黑客大战”作为标志，在这个背景下，黑客这个特殊的群体一下子几乎引起了社会的所有眼球。此次黑客大战主要在各自的互联网上植入一些出气的文章和页面。

以上是一些真实的场景，比如美国的某个网名，打开他们的电商网站，就会弹出类似窗口。

此时黑客圈子所宣扬的文化以及黑客技术的独特魅力，吸引了无数青少年走上这条道路。此后，各种黑客组织雨后春笋般的冒出。

此阶段的中国黑客，由于新人较多，虽然有活力和激情，但是技术上还不够成熟。所谓林子大了，什么鸟都有，此时期在黑客圈子里贩卖漏洞，恶意软件的现象就开始升温，群体良莠不齐，也就开始出现了以营利为目的的攻击行为，黑色产业链逐渐成型。

黑暗时代

在这个时期，黑客也循着社会的发展规律，优胜劣汰，大多是黑客组织并没有坚持下来。 在上个时期的黑客技术论坛越来越缺少人气，最终走向没落。所有门户型的漏洞披露站点，也不再公布任何漏洞相关的技术细节。

随着安全行业发展，黑客的功利性越来越强。黑色产业链开始成熟。这个地下产业每年会给互联网造成数十亿甚至百亿的损失。

在上一个时期技术还不成熟的黑客们，凡是坚持下来的，都已经成长为安全领域的高级人才，有的在安全公司贡献着自己的专业技能，有的则带着非常强的技术进入了黑色产业。此时期的黑客群体，因为互相之间不再具有开发和分享的精神，最为纯粹的黑客精神实质上已经死亡。

如今的黑客队伍，会分为三种颜色的帽子。

黑帽子:利用黑客技术造成破坏，转为黑色产业，提供资源，贩卖漏洞，给商业带来损失，甚至进行网络犯罪;

灰帽子:白天良好公民，正常上班，半夜干坏事；

白帽子:从事网络安全行业，针对攻击手段制作防护工具和解决方案工作在反黑客领域。

Web安全发展

在早期互联网中，Web并非互联网的主流应用。一方面是因为Web技术还没发展起来，不够成熟;另一方面通过系统软件漏洞往往能获得很高的权限。相对来说，基于SMTP、POP3、FTP、IRC等协议的服务拥有着绝大多数的用户，因此主要的攻击目标是网络、操作系统以及软件等领域，Web安全领域的攻击与防御技术处于非常原始的阶段。

相对于那些攻击系统软件的exploit而言，基于Web的攻击，一般只能让黑客获得-个较低权限的账户，对黑客的吸引力远远不如直接攻击系统软件。

但是时代在发展，防火墙技术的兴起改变了互联网安全的格局。尤其是以思科、华为、深信服等代表的网络设备厂商，开始在网络产品中更加重视网络安全，最终改变了互联网安全的走向。防火墙、ACL技术的兴起，使得直接暴露在互联网上的系统得到了保护。

2003年的冲击波蠕虫是一个里程碑式的事件，该漏洞针对Windows操作系统RPC服务(运行在445端口)的蠕虫，处理通过TCP/IP的消息交换的部分，攻击者通过TCP135端口，向远程计算机发送特殊形式的请求，允许攻击者在目标机器上获得完全的权限并以执行任意代码。在很短的时间内席卷了全球，造成了数百万机器被感染损失难以估量。在此次事件后，网络运营商很坚决地在骨干网络上屏蔽了135、445等端口的连接请求。此次事件之后，整个互联网对于安全的重视达到了一个空前的高度。

运营商、防火墙对于网络的封锁，使得暴露在互联网上的非Web服务越来越少且Web技术的成熟使得Web应用的功能越来越强大，最终成为了互联网的主流。黑客们的目光，也渐渐转移到了Web上。

Web攻击技术的发展也可以分为几个阶段。

Web1.0

在Web1.0时代，人们更多的是关注服务器端动态脚本的安全问题，比如将一个可执行脚本(俗称WebShel)上传到服务器上，从而获得权限。

动态脚本语言的普及，以及Web技术的发展初期，对安全问题认知的不足导致很多“血案”的发展，同时也遗留下很多历史问题。比如PHP语言至今仍然只能靠较好的代码规范来保证没有文件包含漏洞，而无法从语言本身杜绝此类安全问题的发生。

SQL注入的出现是Web安全史上的一个里程碑，它最早出现大概是1999年，并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样，程序员们不得不日以继夜地去修改程序中存在的漏洞。黑客们发现通过SQL注入攻击，可以获取很多重要的、敏感的数据，甚至能够通过数据库获取系统访问权限，这种效果不比直接攻击系统软件差，Web攻击瞬间流行起来。SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。

XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。实际上，XSS的出现时间和SQL注入差不多，但是真正引起人们重视则是在大概2003年以后，在经历了MySPace的XSS蠕虫事件后(它在20小时内感染了100万个账户)，安全界对XSS的重视程度提高了很多，OWASPTop10(2007)甚至把XSS放在榜首。

Web2.0

伴随着Web 2.0的兴起，XSS、CSRF等攻击已经变的更为强大。Web攻击的思路也从服务端转向客户端，转向了浏览器和用户。黑客们天马行空的思路，覆盖了Web的每一个环节，变得更加的多样化，这些安全问题在后面课程中会深入的探讨。

Web技术发展到今天，构建了丰富多彩的互联网。互联网业务的蓬勃发展，也生了许多新兴的脚本语言，比如Python、Ruby、Node Js等敏捷开发成为互联网的主旋律。而手机技术、移动互联网的兴起，也给HTML5带来了新的机遇和挑战。

同时，Web安全技术，也将紧跟着互联网发展的脚步，不断地演化出新的变化。

Web安全事件分析

新浪微博遭受攻击事件

2011年6月28日晚新浪微博遭受攻击，新浪微博突然出现大范围“中毒”，大量用户自动发送带链接的微博与私信，并自动关注一位名为helosamy的用户。

首先，黑客通过对新浪微博的分析测试，发现新浪名人堂部分由于代码过滤不严导致 XSS漏洞的存在，并可以通过构造脚本的方式植入恶意代码。通过分析发现，在新浪名人堂部分中，当提交http://weibo.com/pub /star/g/xyyyd">?type=update时，时，新浪会对该字符串进行处理，变成类似 http://weibo.com/pub/star.php?g=xyyyd">?type=update，而由于应用程序没有对参数g做充足的过滤且将参数值直接显示在页面中，相当于 weibo.com 在页面中嵌入了一个来自于 2kt.cn的JS脚本。该JS脚本是黑客可以控制的文件，使得黑客可以构造任意JS脚本嵌入到weibo.com的页面中，且通过Ajax技术完全实现异步提交数据的功能，进而黑客通过构造特定的JS代码实现了受此XSS蠕虫攻击的客户自动发微博、添加关注和发私信等操作。

然后，黑客为了使该XSS蠕虫代码可以大范围的感染传播，会通过发私信或发微博的方式诱惑用户去点击存在跨站代码的链接，尤其是针对V标认证的用户，因为此类用户拥有大量的关注者，所以如果此类用户中毒，这些用户就会通过发微博和发私信的方式将该XSS蠕虫向其他用户进行传播，必然可以实现该XSS蠕虫的大范围、快速的传播与感染。

此次攻击利用了新浪微博存在的XSS漏洞;使用有道提供的短域名服务;当新浪登陆用户不小心访问到相关网页时，由于处于登陆状态，会运行JS脚本做几件事:

• 发微博(让更多的人看到这些消息，扩大受害群体)
• 加关注，加uid为2201270010的用户关注(这应该就是helosamy)
• 发私信，给好友发私信传播这些链接

12306泄密事件

2014年12月25日，大量12306用户数据在网络上疯狂传播。本次泄露事件被泄露的数据达131653条，包括用户账号、明文密码、身份证和邮箱等多种信息，共约14M数据。这不是12306网站第一次发生用户信息泄露事件，但是是最大的一次。

此次攻击事件为“撞库攻击”就是黑客通过收集互联网已泄露的用户账号及密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登陆的用户。

撞库也是黑客与大数据方式进行结合的一种产物，黑客们将泄漏的用户数据整合分析，然后集中归档后形成的一种攻击方式。而这种攻击，却是互联网安全维护人员最为无奈的攻击形式之一，信息泄漏、账户安全、网络安全无疑成为大众最关心的问题。

本文档所提供的信息仅用于教育目的及在获得明确授权的情况下进行渗透测试。任何未经授权使用本文档中技术信息的行为都是严格禁止的，并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识，不得用于非法入侵、破坏信息系统等恶意活动。我们强烈建议所有读者遵守当地法律与道德规范，在合法范围内探索信息技术。

我正在参与2024腾讯21天技术创作挑战赛｜年中回顾特别季，年中技术沉淀，拯救你的flag，快来和我瓜分大奖！