黑客安全与JAVA WEB

其实自己也一直上论坛，不过也没怎么发过贴。今天写些东西，献丑一下，和大家交流一下，不正确的地方还望高手指点。
从去年七月份，自己开始从事J2EE方面的开发。在此之前自己在做黑客方面的研究，所以接触到JAVA WEB方面的东西后，对WEB方面的项目开发的安全方面有点心得体会。本来这篇文章，最初是准备分成几篇来写的，免得麻烦，所以下面以小标题列出简单介绍一下。
言归正传，黑客在互联网中无处不在。所涉及到的面也非常广，今天我们就把范围缩小到“黑客与WEB”。虽然现在一些小型网站都是用asp做的，但入侵原理还是一样的。首先我们要搞清楚的是，黑客在是怎样入侵的，怎样才算入侵了一个站点、才算入侵了WEB项目？

1、木马——永恒的魅力
首先我们要明白的是，WEB项目只是我们入侵的一个跳板。我们要通过这个WEB项目设计的时候存在的bug，拿到最终运行这个WEB项目的服务器的最高权限。这才是黑客最终要达到的效果。而通过什么来达到这个效果呢，那就是木马。（其实也可以通过系统安全漏洞来达到攻击的效果，由于自己对那方面不是很在行，在这里只是介绍一下自己比较熟悉的）。木马就是我们在别人电脑或者服务器上打开的一个后门，通过这个后门可以使我们达到控制别人的效果。
为了让大家理解，这里简单介绍一下，木马在WEB中的分类。木马的控制原理很简单，就是利用工具，大家比较常听说的灰鸽子，生成一个EXE文件，只要别人运行这个文件，就可以达到控制的效果。但是由于杀毒软件的存在，我们的马儿就无处藏身，躲不过悲惨的命运。这涉及到另外一方面的东西，那就是木马的免杀，这儿就不再介绍。灰鸽子之类的木马都是exe文件，但木马到了WEB方面就有了分支。我总结出了WEB三木马——“网马、小马、大马”，供大家参考。

网马：通常所说的挂马，就是挂的网马，实质还是运行的exe文件。当进入一个页面的时候，通过该页面自动下载并运行exe文件，从而达到批量的控制。比如上次瑞星的卡卡网被挂马，进入页面自动下载并运行一种“机器狗”的木马，也就属于这种方式。再比如让我们男性比较郁闷的是，“妹妹五月天”被封。这个站点每天有十万次的点击率，就是通过大量的访问率，在上面放这儿所说的网马来达到赚钱的效果。

小马、大马：上面所说的网马只是运用的一方面，另外一方面小马和大马在WEB攻击方面运用的也非常广泛，大多数黑客攻击也都是这种方式，通常小马和大马是结合起来使用的。虽然网马、小马、大马最终的目的都是达到控制的效果，但大小马和上面的网马本质有所区别。网马实际上最终还是运行的exe文件，但大小马并不是exe文件。实际上他们是一个asp、或者jsp文件。比如我们在我们的Eclipse中的web项目中，加入一个jsp文件（jsp木马），运行tomcat，在地址栏中输入这个jsp的路径。我们可以惊奇的发现，通过这个jsp文件，我们可以操作本地磁盘上所有的文件，进程、注册表也可以操作。这就是我们最终要到达的目的与效果。那个jsp文件也是非常人能写出来的，大多数只会用就行了。最终我们的大马实现控制功能，也就是这个了不起的jsp文件。而大马由于文件较大，在实战中，不容易上传。我们的小马容易隐藏，不容易被发现，唯一的功能就是通过小马上传大马。最终达到控制作用的还是我们的大马，小马只是起个辅助作用，这里也是我为什么说小马和大马要结合起来使用了。

我们知道黑客在WEB攻击中通常用木马，明白这个后，其他的就好理解了。如果有上传漏洞的话，我们可以直接上传图片木马或者通过先传小马再传大马，最终达到控制的效果。“只要有上传，就可以拿webshell”这是以前流行的一句话，不过现在还存在上传漏洞的站点的话，相信也是老掉牙的站点了。
另外，我们可以通过破解一个项目的后台管理员账号和密码，最终达到控制的效果。怎样破解密码，我也不再介绍。sql注入曾经火爆了一段时间，不过知道的人多了，防范的人也就多了。个人比较喜欢用暴力破解，这里就不在过多繁琐的介绍。下面在“post提交密码存在暴力破解的风险”这一标题中简单的为大家介绍一下。
做过后台的人我相信都知道，在后台一般都可以上传图片，以及备份数据库等这些基本重要功能。这也为我们上传jsp木马提供了条件。如果能改上传文件的类型的话，我们改成支持jsp文件的类型。如果不行的话，我们上传一个图片木马（jpg或者其他图片格式），然后差异备份成jsp文件，这样也可以达到最终的效果。当然如果最终控制的权限不够的话，我们可以再利用工具来提权。这里就不再繁琐的介绍。

2、只要存在JavaScript验证，就可能入侵
在这里我们简单的举个例子，就明白我说的意思了。曾经在实战中，我遇到这么个有趣的事情。一个站点有个上传，也加了限制，只准上传图片格式的文件。于是我看了一下那个jsp页面的源码，让我意外的是，这个上传限制竟然是在jsp页面中做的。这让我不自主的想，服务端是不是没加验证呀。我很快验证了自己这个想法，我通过sniffer抓包工具截取了提交地址。然后自己手动构造了一个提交表单，结果能随意上传其他文件。所以这样的设计存在着很大的安全风险。因为我们可以得到提交页面，如果一些重要的限制放在客户端的话，我们可以直接绕过这些限制，直接向提交地址提交自己的数据，到达入侵的效果。
再比如自己在做项目的时候，遇到这么个问题。通常我们修改密码的时候，通常是不能修改用户名的。有些人就在页面input中加入了个readonly来限制用户不能修改文本框中的用户名，看似这样的就可以实习需求了。但大家仔细想想，这种情况不是和我前面举的上传文件的那个例子是同一样的性质吗？如果这样设计的话，我们可以直接向我们的服务器提交数据，这样不是还有可能修改其他用户的密码信息吗？虽然我们在开发中为了减少服务端的负担，可能会把有些验证放在客户端。但在用到客户端验证的时候，我们要掂量好了。

3、post提交密码存在暴力破解的风险
接触过JAVAWEB方面的人，相信大家对get和post提交数据方式都有所了解。post提交数据安全些，相信大家都会这么说。现在一些项目中，大多都是用的post提交密码以及其他一些信息。但相信大多数人都没考虑一个问题，那就是数据的加密。我们打开WEB QQ或者登录QQ邮箱的时候，我们输入密码，然后通过抓包工具，发现这些密码都是加密了的。但现在绝大多数项目以及一些大型的网站中，我都发现了post提交的密码并没有加密。所以这样就为我们破解提供了条件。向大家推荐一款工具，小榕的嗍雪。这款工具可以达到破解的效果，有兴趣的大家可以尝试一下。这里就不再过多的繁琐的介绍。我们知道在实际的项目中，客户就是我们的上帝。而实际的项目中，客户的资料以及一些信息也是整个项目中的核心部分。所以信息的安全也是非常重要，账号和密码就是这个项目让用户管理这些信息的一座桥梁。所以在项目设计中，我们有必要进一步考虑这些安全方面的需求。
简单的写了这些与大家分享一下。一口气写完的，所以存在错别字之类的，大家别见怪。
作者——乔锐杰