jsp服务器空间存在哪些问题?入侵jsp服务器的方法是什么?
在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。
入侵测试第一步:扫描
扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,为入侵提供一个指导方向。
朋友的两台服务器为Linux,一台为Windows系统,在路由器后面还有一台Cisco PIX 525对三台主机进行保护,只允许外部用户连接不同主机的部分端口,例如80,25,110。
根据检测,Cisco PIX防火墙过滤规则设置比较严密,基本上没有多余端口允许外部用户访问。细致分析后,我发现,目标网络的主机通过地址转换来提供对外访问,内部使用192.168.*.*地址段。
先不考虑那么多,找个扫描软件来看看主机的安全情况。我找来了X-Scan,在外部对这几台主机进行了端口扫描之后,生成了一份关于端口的报表,发现其中有一个Tomcat服务器,解释的自然就是JSP文件了。
小知识:
Tomcat Web服务器是一款开源的适合于各种平台的免费网络服务器。eBay.com与Dell 计算机等知名网站都采用或者曾经采用Tomcat的container容器执行Servlet 与JSP。
看来,只能通过Web服务进行间接攻击。首先检查TCP 80端口的服务。我发现,新闻搜索的功能是由端口8080提供的,输入http:// 202.103.*.168:8080/之后,得到了一个系统管理登录页面,简单地测试了一下,输入“test/test”作为“用户名/口令”,似乎认证成功,但实际上并不能进入下一个页面。
专家支招:对于扫描来说,它很容易暴露我们网站的弱势方面。应对扫描,我们可以架设一个蜜罐来误导扫描者,蜜罐可以让系统伪装成到处是漏洞,从而遮蔽真正存在的漏洞,也可以伪装成没有任何漏洞,让入侵者不知道从何入手。
入侵测试第二步:漏洞尝试
尝试JSP各种已知漏洞,这个是在扫描结果中无法获得任何有效信息指导入侵的情况下,被迫使用的方法。这种方法虽然效果不一定好,但是往往能够起到意想不到的效果,从而让入侵继续下去。
我进行了JSP大小写的测试,因为JSP对大小写是敏感的,Tomcat只会将小写的jsp后缀的文件当作是正常的JSP文件来执行,如果大写了就会引起Tomcat将index.JSP当作是一个可以下载的文件让客户下载,若干测试后,我发现这个方法并不奏效,可能管理员已经在服务器软件的网站上下载了最新的补丁。
我发现大部分的JSP应用程序在当前目录下都会有一个WEB-INF目录,这个目录通常存放的是JavaBeans编译后的class 文件,如果不给这个目录设置正常的权限,所有的class就会曝光。
而采用JAD软件对下载的class文件反编译后,原始的Java文件甚至变量名都不会改变。如果网页制作者开始把数据库的用户名密码都写在了Java代码中,反编译后,说不定还能看到数据库的重要信息。那么,怎么得到这些文件呢?
Tomcat版本的缺省“/admin”目录是很容易访问的。输入:http://202.103.*.168/admin/,管理员目录赫然在列。默认情况下,“User Name”应该是admin,“Password”应该是空,输入用户和密码后,并点击“Login”按钮,不能进入,陆续使用了几个比较常见的密码,也无济于事。
默认情况下,Tomcat打开了目录浏览功能,而一般的管理员又很容易忽视这个问题。也就是说,当要求的资源直接映射到服务器上的一个目录时,由于在目录中缺少缺省的index.jsp等文件,Tomcat将不返回找不到资源的404错误,而是返回HTML格式的目录列表。
想到了这点后,我打开刚才用X-Scan扫描后生成的报表文件,找到“安全漏洞及解决方案”栏目,看到了几个可能会有CGI漏洞的目录。在地址栏输入其中之一,返回结果如图1所示。
一些很典型的JSP文件和JS文件都列出来了。大喜之下,随便选择一个文件,点击右键,然后,选择“用FlashGet下载全部链接”选项,于是,这个目录下的所有文件都被我下载到了本地。
其中最有价值的是一个名字为dbconn.js的文件,看来程序设计者是为了方便省事,把一些数据库连接的密码和连接地址都写在里面了(这是很多开发者可能会忽略的问题)。不过,我现在最关心的还是Tomcat的管理员密码。
简单破解后,发现Tomcat系统中的admin用户使用了非常简单的口令:web123456。利用这个漏洞,有了这个密码,下面的工作就相对简单了。
专家支招:对于网站中的漏洞,我们要即时打上各种补丁,然后对几个已知的安全弱势方面进行加强,比如我们可以将“/admin”目录进行修改,让入侵者不容易找到管理路径。然后关闭Tomcat的目录浏览功能,让入侵者的漏洞尝试彻底失败。
入侵测试第三步:注入攻击
很多网站对于注入防范做得都很不到位,注入攻击可以让网站暴露出自己的数据库信息以至于暴露数据库表中的管理员账号和密码。
重新登录Tomcat的管理界面,点击“Context (Admin)”这个链接,列出了WEB目录下的一些文件和目录的名称,现在就可以对Tomcat的Context进行管理,例如查看、增加、删除Context。
回到Tomcat的管理界,我发现了一个上传文件的组件,并且网站还有一个论坛。于是,我编写了一个input.jsp文件,并将它当作一般的Web 应用程序,通过上传的组件上传到对方的WEB目录里。打开input.jsp这个页面(图2)。
网页对查询窗体不会做任何输入验证,但是对用户名称的窗体则会。将数据填入窗体,来测试一下网页的漏洞,例子如下:
(1)将alert(document.cookie)填入搜索字段,以便用XSS 来显示进程的cookie。
(2)将填入搜索字段来示范HTML 注入攻击。
通过这些方法,我得到了一些论坛的用户信息,当然,这些都是针对JSP做的一些测试,以验证Web应用程序中的所有输入字段。有了用户信息,却没有密码,怎么办?在登录时,我发现了一个8888端口,这会是个什么服务呢?
专家支招:在网页连接数据库的设计中,网页设计人员要加入对一些敏感符号的审核机制,屏蔽一些在数据库中有作用的符号,这可以在很大程度上成功防御注入攻击。
入侵第四步:攻其“软肋”
根据入侵的逐渐深入,系统存在的安全问题也渐渐清楚,下面就是针对网站的安全“软肋”进行攻击。一般针对安全“软肋”的攻击会使入侵成功。
打开地址后,我发现这个端口运行的是Apache PHP。也就是说,这台主机还可以编译PHP。从经验分析来看,管理员在JSP主机上同时安装PHP的主要目的可能是为了管理MySQL数据库。因此,这个端口很可能有phpMyadmin这款MySQL数据库管理软件。这个端口上会不会有数据库管理目录呢?
果然不出我所料,在输入这个目录之后我发现,我进入了一个phpMyadmin的管理界面,可以对MySQL数据库进行任意操作。它支持从本地操作系统读入或者写入数据。更不可理解的是,管理员居然用root账户写在了数据库链接里面,想不控制这个数据库都不行了。
打开其中的一个数据库,在“SQL”中输入“SELECT * FROM `administer`”,administer表中的数据全部显示出来了。和我前面用JSP探测的用户类型大致一致。至于他们的表和数据的删改权限,现在则完全在我的掌握之中了。
专家支招:使用了一些软件的时候,我们尽量修改它的默认目录,将它改为一个不容易被猜解到的名字。同时在访问该目录的时候加入密码审核机制,就算入侵者找到了这个管理目录也无法获得进入目录的密码。
破解管理员密码的一种方法:用U盘破解
有许多朋友还在为忘记XP登陆密码不能进入系统而烦恼,笔者现在将给用户介绍一个小方法,解决忘记密码给你带来的烦恼……有许多朋友还在为忘记XP登陆密码不能进入系统而烦恼,笔者现在将给用户介绍一个小方法,解
详情2018-01-21 10:04:29责编:llp 来源:驱动管家adobe flash cs3软件的作用 adobe flash cs3有什么漏洞?
Adobe Flash CS3 Professional软件是用于为数码、Web和移动平台创建丰富的交互式内容的最高级创作环境。 Adobe Flash CS3 Professional处理畸形格式的 FLA文件时存在漏洞,攻击者可能利用此漏洞提升权限。
详情2018-01-27 18:06:20责编:llp 来源:驱动管家什么是加密?加密与数字签名有何区别?
什么是加密?用非常基本的词汇说,加密是一种以密码方式发送信息的方法。只有拥有正确密钥的人才能解开这个信息的密码。对于其他人来说,这个信息看起来就像是一系列随机的字母、数字和符号。如果你要发送不应该让
详情2018-01-22 14:56:19责编:llp 来源:驱动管家dns被劫持怎么看?路由器dns被劫持怎么判断?
怎么看dns是否被劫持?一般来说,DNS被劫持有2种情况,一种是路由器DNS被劫持,另外一种是电脑DNS被劫持。针对这2种DNS劫持,下面分别介绍下如何查看。一、怎么看电脑DNS是否被劫持1、在电脑桌面右下角的网络图标
详情2018-01-08 11:20:40责编:llp 来源:驱动管家什么是手机病毒?手机病毒怎么传播?
手机病毒是病毒的一个分支,虽然其存在只有短短数年,但在将来很可能会随着3G的推广而大量涌现。病毒类型:手机病毒病毒目的:破坏手机系统,狂发短信等手机病毒的始作俑者我用手机的时间很长了,大概在上世纪90
详情2018-01-07 10:13:29责编:llp 来源:驱动管家linux系统怎么破解wifi密码?使用reaver工具是一种方法
需要工具:reaver原理:穷举PIN码以攻破无线路由器的安全防护安装:下载源码从这个网址下载reaver源代码http: code google com p reaver-wpswget http: reaver-wps googlecode com files reaver-1 4 tar gz解
详情2018-01-17 11:04:37责编:llp 来源:驱动管家网络受到arp攻击怎么办?下面七种简单方法可以帮你快速解决
在局域网内,ARP攻击依然占有很高比例。众所周知,ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太
详情2018-01-23 18:20:29责编:llp 来源:驱动管家短信验证码真的安全吗?短信验证码诈骗威胁着我们
现在想换个手机越来越麻烦,很多APP要重新下,手机里保存的宝贝也要转移,有时候这些事情甚至让我放弃了换个更好的手机的想发,更不用说换手机号了。各种网站、邮箱、账号的绑定要重新解绑,各种银行要跑去柜台重
详情2018-01-18 11:25:43责编:llp 来源:驱动管家网站服务器防御php木马的方法
1、防止跳出web目录首先修改httpd conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd conf文件限制php的操作路径。比如你的web目录是 usr local apache htdocs,那么在httpd conf里加上这么几
详情2018-01-06 12:49:31责编:llp 来源:驱动管家有哪些措施可以防范网络攻击打造网络防火墙?
我们遇到的入侵方式大概包括了以下几种:(1) 被他人盗取密码;(2) 系统被木马攻击;(3) 浏览网页时被恶意的java scrpit程序攻击;(4) QQ被攻击或泄漏信息;(5) 病毒感染;(6) 系统存在漏洞使他人攻击自己
详情2018-01-21 11:48:14责编:llp 来源:驱动管家
- pdf文件不能打印怎么解决?pdf文件不能打印经验总结
- 不是会员怎么用迅雷高速通道?迅雷高速通道破解方法是什么?
- 东芝l312系列笔记本的结果贵不贵?东芝l312笔记本评测
- 不知道ipad4怎么越狱?最具体的方法都在这了
- 怎么在电脑上连接网络打印机使用
- 电脑硬盘里面的空文件夹删不掉的原因是什么?如何解决
- 电脑运行后噪音很大怎么办?有没有解决的办法
- 小米2s电信版怎么设置网络共享,将流量共享给伙伴?
- 担心买到iphone二手机?学会查询iphone电池的循环次数不用怕
- 删除文件提示已在Windows打开是什么意思?文件删除不了怎么办?
- 迅雷快鸟好用吗?迅雷快鸟怎么使用?
- qq空间如何挂马?qq空间挂马的原理是什么?
- WinPE能不能安装SATA驱动?怎么安装
- mp3剪切合并大师怎么用?mp3剪切合并大师使用方法
- 唱吧电脑版怎么用?唱吧电脑版安装使用的方法是什么?
- 东芝181复印机有粉盒为什么还一直显示缺粉?怎么解决
- 这几款实用必备的ios7越狱插件你一定要知道
- linux修改文件名你肯定不知道可以这样操作
- ubuntu 12.04系统关闭恢复模式的方法介绍
- 苹果手机定位追踪的步骤 苹果手机定位追踪怎么用?