Web服務(wù)器在CWA中外部接口的七個安全風(fēng)險
原創(chuàng)【51CTO獨家特稿】在微軟OCS系統(tǒng)中,對于所有通過Web瀏覽器方式發(fā)起的會話請求,都將通過CWA作為入口點,從而發(fā)送到Front End Server進(jìn)行后續(xù)的信令和媒體路由,并最終完成會話。而所有非Web瀏覽器方式發(fā)起的會話請求將以Front End Server作為入口點。那么,CWA服務(wù)器具有外部接口,將成為一個安全風(fēng)險點。其安全威脅主要包括如下幾個方面:
1、會話固定
在會話固定攻擊中,攻擊者會在用戶和 Web服務(wù)器之間建立會話之前設(shè)置用戶的會話令牌。這樣一來,攻擊者就擁有了會話 ID,而無需在會話建立之后確定會話 ID。Communicator Web Access 在設(shè)計上可最大程度地減小此類威脅。
2、會話劫持
在會話劫持攻擊中,攻擊者會通過探查網(wǎng)絡(luò)上未經(jīng)加密的通信來訪問用戶的會話。Communicator Web Access 通過將 SSL 用作客戶端與 Communicator Web Access 服務(wù)器之間的默認(rèn)通信協(xié)議來最大程度地減小此類威脅。
3、跨站請求偽造
跨站請求偽造是指攻擊者偽裝成用戶并嘗試使用在用戶與基于 Web 的應(yīng)用程序之間建立的會話來執(zhí)行命令的行為。攻擊者通過向用戶發(fā)送電子郵件或通過其他方式誘使用戶訪問專為執(zhí)行惡意代碼而開發(fā)的網(wǎng)站來發(fā)起此類攻擊。攻擊者可以執(zhí)行的命令包括打開防火墻、刪除數(shù)據(jù)以及在內(nèi)部網(wǎng)絡(luò)內(nèi)執(zhí)行其他命令。
Communicator Web Access 在設(shè)計上可阻止攻擊者使用此方法通過惡意網(wǎng)站來控制用戶的 Communicator Web Access 會話。
4、跨站腳本(CSS、XSS、代碼插入)
跨站腳本攻擊是指攻擊者使用 Web 應(yīng)用程序向目標(biāo)用戶發(fā)送惡意代碼(通常采用腳本形式)的行為(有時也稱作 CSS、XSS 或代碼插入攻擊)。目標(biāo)用戶的瀏覽器無法檢測出不應(yīng)信任該腳本,從而將會執(zhí)行該腳本。在執(zhí)行惡意腳本后,該腳本可以訪問 Cookie、會話令牌或最終用戶的瀏覽器保留的其他敏感信息。此類腳本還可以重寫 HTML 頁的內(nèi)容。
可以存儲或反射跨站腳本攻擊。在存儲的攻擊中,惡意腳本會永久存儲在受到攻擊的 Web服務(wù)器(例如,數(shù)據(jù)庫、消息論壇、訪問者日志和評論欄)中。當(dāng)用戶訪問 Web服務(wù)器時,用戶的瀏覽器將執(zhí)行此腳本。在反射的跨站腳本攻擊中,攻擊者會誘使用戶單擊某個鏈接或提交專門設(shè)計的包含惡意代碼的表單。當(dāng)用戶單擊該鏈接以提交表單數(shù)據(jù)時,包含惡意代碼的 URL 將會隨同用戶數(shù)據(jù)一起發(fā)送到 Web服務(wù)器。當(dāng)網(wǎng)站向用戶顯示其信息時,該信息看起來源自受信任的源。然而,該信息實際上包含惡意代碼,然后在用戶計算機(jī)上會執(zhí)行此惡意代碼。
僅在未正確驗證用戶輸入的網(wǎng)站中會存在此漏洞。Communicator Web Access 使用詳盡的用戶輸入驗證來阻止此類威脅。
5、令牌威脅
HTTP 是一種無連接協(xié)議,每個網(wǎng)頁需要多次服務(wù)器請求和響應(yīng)才能完成。在會話期間,將使用多種方法來維護(hù)頁面請求之間的會話持久性。Web服務(wù)器使用的一種方法是向發(fā)出請求的客戶端瀏覽器頒發(fā)令牌。這也是 Communicator Web Access 采用的方法。
在 Communicator Web Access 服務(wù)器對內(nèi)部用戶或外部用戶成功進(jìn)行身份驗證后,它將在會話 Cookie 中頒發(fā)一個令牌,然后將該令牌返回到客戶端。此 Cookie 用于在單個會話中訪問服務(wù)器。因此,客戶端必須接受來自 Communicator Web Access 服務(wù)器的 Cookie 才能正常工作。攻擊者可能會竊取并重用此令牌。Communicator Web Access 可通過采取以下措施來減輕令牌威脅:只發(fā)出一個會話 Cookie;使用 SSL(在已啟用的情況下)傳輸令牌;在會話結(jié)束時清除令牌;以及在客戶端經(jīng)過一段非活動期后使令牌過期。
6、令牌 Ping 操作
在令牌 Ping 操作(也稱作“令牌保持活動”)中,經(jīng)過身份驗證的用戶會反復(fù)向 Web服務(wù)器發(fā)送請求以阻止會話,從而使會話令牌過期。由于令牌 Ping 操作攻擊可以繞過服務(wù)器內(nèi)置的超時邏輯,因此可將此類攻擊視為威脅。不過,由于用戶必須先經(jīng)過身份驗證,因此此類威脅的級別較低。
7、網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚攻擊采用欺騙方法,屬于一種中間人攻擊。未經(jīng)授權(quán)的攻擊者嘗試通過偽裝成有權(quán)獲得信息的實體來獲取用戶的信息。通常,攻擊者會通過誘使用戶在偽造的網(wǎng)站、Web 窗體或電子郵件中輸入密碼或帳號來達(dá)到此目的。您應(yīng)告知最終用戶有關(guān)攻擊者用來獲取個人信息的各種方法。
【51CTO獨家特稿,合作站點轉(zhuǎn)載請注明原文譯者和出處。】
【編輯推薦】
