Web腳本攻擊的一個(gè)突出特點(diǎn)，就是攻擊手段方式多種多樣，攻擊者在進(jìn)行Web腳本攻擊入侵時(shí)，通常會(huì)采取哪些步驟呢？

    1．踩點(diǎn)所謂“踩點(diǎn)”，與普通入侵方式中的系統(tǒng)掃描類(lèi)似，就是通過(guò)各種手段來(lái)對(duì)要入侵的網(wǎng)站服務(wù)器進(jìn)行分析和判斷，從而尋找到服務(wù)器可能存在的漏洞，并決定采取何種入侵方式才能最快、最隱蔽地成功入侵網(wǎng)站服務(wù)器。踩點(diǎn)所要獲取的信息包括以下內(nèi)容。

    1）操作系統(tǒng)與服務(wù)器版本不同的網(wǎng)站服務(wù)器采用的操作系統(tǒng)不同，主要有Windows系統(tǒng)、UNIX系統(tǒng)、Linux系統(tǒng)及Tomcat系統(tǒng)等。在Windows操作系統(tǒng)中常見(jiàn)的網(wǎng)站服務(wù)程序?yàn)镮IS，版本也不盡相同，比如Windows 2000系統(tǒng)使用的是IIS 5.0，而Windows XP系統(tǒng)使用的則是IIS 6.0版本。在UNIX系統(tǒng)、Linux系統(tǒng)中常見(jiàn)的網(wǎng)站服務(wù)程序是Apache，版本也不相同。而許多JSP網(wǎng)站程序服務(wù)器則使用了比較少見(jiàn)的Tomcat系統(tǒng)。

    不同的操作系統(tǒng)入侵方式也不同，如在Tomcat 3.0版本中就存在一個(gè)目錄路徑泄露漏洞，而在IIS服務(wù)器中則有可能存在暴庫(kù)、腳本備份后門(mén)等漏洞，因此攻擊者在實(shí)施Web入侵攻擊前，首先會(huì)獲得網(wǎng)站服務(wù)器的操作系統(tǒng)及網(wǎng)頁(yè)服務(wù)器版本信息，并制訂出合適的入侵方案來(lái)。

    2）Web程序結(jié)構(gòu)由于每個(gè)網(wǎng)站使用的Web程序不同，有可能是公開(kāi)的源代碼，也有可能是網(wǎng)站自己撰寫(xiě)的程序。攻擊者首先要了解到Web程序的各種信息，如首頁(yè)等使用什么，是否采用整站系統(tǒng)，如常用的動(dòng)力文章系統(tǒng)、喬客等；網(wǎng)站是否有論壇，論壇又是采用什么程序架設(shè)的，它的版本號(hào)，如常見(jiàn)的動(dòng)網(wǎng)論壇、PHPwind論壇等。如果網(wǎng)站是使用公開(kāi)源代碼的Web程序，攻擊者可能直接判斷該版本程序是否有漏洞，并進(jìn)行攻擊；如果使用的是自寫(xiě)的代碼，攻擊者就會(huì)進(jìn)行各種檢測(cè)，尋找出是否存在各種漏洞。

    2.Web腳本攻擊常見(jiàn)方式Web腳本攻擊的方式多種多樣，但最常見(jiàn)的Web腳本攻擊主要分為以下幾種。

    1）SQL腳本注入攻擊從2004年開(kāi)始，SQL注入攻擊技術(shù)逐步發(fā)展并迅速流行起來(lái)。由于技術(shù)的成熟加上各種利用工具的出現(xiàn)，使得SQL注入攻擊成為腳本黑客必會(huì)的一項(xiàng)入侵技術(shù)。SQL注入學(xué)習(xí)起來(lái)非常簡(jiǎn)單，利用一個(gè)SQL注入工具，剛接觸入侵技術(shù)的“腳本小子”們，都可能在幾分鐘之內(nèi)攻陷一個(gè)網(wǎng)站服務(wù)器。

    出現(xiàn)SQL腳本注入攻擊漏洞的原因，主要是由于許多網(wǎng)頁(yè)程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶(hù)輸入數(shù)據(jù)的合法性進(jìn)行判斷，從而使網(wǎng)頁(yè)應(yīng)用程序存在安全隱患。用戶(hù)可以提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL腳本注入。SQL注入是從正常的WWW端口訪(fǎng)問(wèn)，而且表面看起來(lái)跟一般的Web頁(yè)面訪(fǎng)問(wèn)沒(méi)什么區(qū)別，所以目前市場(chǎng)的防火墻都不會(huì)對(duì)SQL注入發(fā)出警報(bào)，如果管理員沒(méi)查看IIS日志的習(xí)慣，可能被入侵很長(zhǎng)時(shí)間都不會(huì)發(fā)覺(jué)，因此SQL注入攻擊手法非常隱蔽。

    2）文件上傳漏洞攻擊網(wǎng)站的上傳漏洞是由于網(wǎng)頁(yè)代碼中的文件上傳路徑變量過(guò)濾不嚴(yán)造成的，利用這個(gè)上傳漏洞就可以任意上傳如．ASP的網(wǎng)頁(yè)木馬，然后連接上傳的網(wǎng)頁(yè)即可控制該網(wǎng)站系統(tǒng)。網(wǎng)頁(yè)編寫(xiě)者未對(duì)文件上傳路徑變量或文件名變量進(jìn)行任何過(guò)濾，因此用戶(hù)可以任意修改變量值，將具有攻擊性的網(wǎng)頁(yè)后門(mén)程序上傳到網(wǎng)站服務(wù)器上，并控制整個(gè)網(wǎng)站服務(wù)器。上傳漏洞最初出現(xiàn)于大名鼎鼎的動(dòng)網(wǎng)論壇，危害性極大，曾經(jīng)致使整個(gè)網(wǎng)絡(luò)中的諸多網(wǎng)站遭受攻擊。

    3）數(shù)據(jù)庫(kù)入侵?jǐn)?shù)據(jù)庫(kù)入侵包括利用默認(rèn)數(shù)據(jù)庫(kù)下載和暴庫(kù)下載，在數(shù)據(jù)庫(kù)里面插入代碼等通過(guò)網(wǎng)站程序數(shù)據(jù)庫(kù)進(jìn)行的攻擊。默認(rèn)數(shù)據(jù)庫(kù)漏洞，是指許多網(wǎng)站在使用一些公開(kāi)源代碼的網(wǎng)站程序時(shí)，由于未對(duì)數(shù)據(jù)庫(kù)路徑及數(shù)據(jù)庫(kù)文件名進(jìn)行修改，導(dǎo)致攻擊者可以直接下載或操作默認(rèn)的數(shù)據(jù)庫(kù)文件進(jìn)行攻擊。暴庫(kù)是指利用%5c之類(lèi)的編碼轉(zhuǎn)換，讓網(wǎng)站顯示出數(shù)據(jù)庫(kù)文件名。數(shù)據(jù)庫(kù)如果是．mdb格式的則直接下載，利用數(shù)據(jù)庫(kù)查看的工具進(jìn)行查找賬號(hào)和密碼；如果對(duì)方數(shù)據(jù)庫(kù)為．a(chǎn)sp后綴的，可以直接在數(shù)據(jù)庫(kù)中寫(xiě)入可執(zhí)行的ASP代碼，將數(shù)據(jù)庫(kù)變?yōu)楹箝T(mén)使用。

    4）跨站腳本攻擊與木馬網(wǎng)頁(yè)跨站腳本攻擊是指，攻擊者在遠(yuǎn)程Web頁(yè)面的HTML代碼中插入有危害性的代碼語(yǔ)句。用戶(hù)認(rèn)為該頁(yè)面是可信賴(lài)的，但是當(dāng)瀏覽器下載該頁(yè)面，嵌入其中的腳本將被解釋執(zhí)行?？缯灸_本漏洞攻擊方式最常見(jiàn)的是，通過(guò)盜取cookie或欺騙打開(kāi)木馬網(wǎng)頁(yè)等取得重要資料；也可以直接在存在跨站漏洞的網(wǎng)站中寫(xiě)入腳本代碼，在網(wǎng)站掛上木馬網(wǎng)頁(yè)等。

    5）其他腳本攻擊網(wǎng)站服務(wù)器的漏洞主要集中在各種網(wǎng)頁(yè)上面，由于網(wǎng)頁(yè)程序的編寫(xiě)不嚴(yán)謹(jǐn)，因而出現(xiàn)了各種腳本漏洞，比如前面提到的暴庫(kù)漏洞、動(dòng)網(wǎng)文件上傳漏洞、Cookie欺騙漏洞等，都是屬于腳本漏洞攻擊中的某一種類(lèi)型。但是除了這幾類(lèi)常見(jiàn)的腳本漏洞外，還有一些專(zhuān)門(mén)針對(duì)某些網(wǎng)站程序出現(xiàn)的腳本程序漏洞，最常見(jiàn)的有用戶(hù)輸入數(shù)據(jù)過(guò)濾不嚴(yán)、網(wǎng)站源代碼暴露等。

    總之，Web腳本攻擊技術(shù)種類(lèi)很多，而且各種新的腳本技術(shù)又不斷地被發(fā)掘出來(lái)，因此作為網(wǎng)站安全人員，及時(shí)地了解各種Web腳本攻擊技術(shù)與漏洞防范是必需的。