3.3 Web攻擊的“隱形外衣”——日志逃避

Web應用出于不同的原因面對著可疑的活動，如腳本黑客使用自動化漏洞掃描器掃描Web站點或者入侵者試圖模糊測試（fuzz）一個參數(shù)用以SQL注入等。在許多類似的情況中，要分析Web服務器上的日志以理解正在發(fā)生什么。如果是嚴重的情況，可能要求取證調查。

網站日志是記錄Web服務器接收處理請求以及運行時錯誤等各種原始信息的以．log結尾的文件，確切地講，應該是服務器日志。網站日志最大的意義是記錄網站運營中空間的運營情況和被訪問請求的記錄。通過網站日志可以清楚地得知用戶在什么IP、什么時間、用什么操作系統(tǒng)、什么瀏覽器、什么分辨率顯示器的情況下訪問了網站的哪個頁面，是否訪問成功。

1．實現(xiàn)逃避檢測的兩種方法

（1）使用過長的URL逃避檢測。

在IIS服務器的環(huán)境下，Web日志在記錄時，當請求段長度超過4097個字符時會被IIS用“...”截斷，入侵者可以在4097字符之后附加攻擊，Web服務器不會檢測出異常并正常處理該條請求，使得攻擊成功，而入侵行為沒有被記錄。

（2）使用Track逃避檢測。

在原來的IIS版本中，網站日志都不會記錄Web服務器所有的Track請求。Track是由IIS支持的HTTP方法，服務器對請求的響應是重復所發(fā)送的請求。Track請求是對Web服務器進行的攻擊而不會被日志記錄的逃避檢測方法。

2．Web日志安全分析工具

當存在大量日志時，手動檢查就會變得困難，這時可以使用自動化工具。

日志寶是一款基于SaaS模式（軟件即服務）的在線Web應用，提供在線Web訪問日志分析服務的數(shù)據(jù)分析。日志寶在傳統(tǒng)日志分析手段的基礎上增加了安全分析以及安全掃描兩個模塊，將Web漏洞掃描器集成在日志分析系統(tǒng)中，提供更全面專業(yè)的整體日志分析解決方案。日志寶目前支持主流Web服務器的相關日志格式，包括Apache的NCSA日志格式以及IIS的W3C日志格式，同樣也支持Tomcat以及Nginx的日志。

日志寶的三大特色功能如下，用戶可以自由選擇分析方式并能夠輕松查看到相應模塊的分析報告。

（1）日常分析。

針對Web訪問日志進行常規(guī)分析，包括訪問IP統(tǒng)計、訪問URL統(tǒng)計、瀏覽器統(tǒng)計、爬蟲信息統(tǒng)計等，幫助站長了解網站日常運營狀況，如圖3-20所示。

（2）安全分析。

通過匹配1500余種常見的Web漏洞攻擊特征以及后門文件指紋信息，能夠分析出網站是否遭受或者已經被黑客入侵，幫助站長對網站運營環(huán)境進行風險評估，如圖3-21所示。

（3）漏洞掃描。

日志寶集成了方研矩行安全團隊自主研發(fā)的一款Web漏洞掃描器，通過配置可自定義漏洞掃描策略，深度挖掘網站潛在的安全漏洞，幫助站長或網站開發(fā)人員發(fā)現(xiàn)安全隱患，提高安全編程意識，及時修補安全漏洞，防患于未然，如圖3-22所示。

因此相對于傳統(tǒng)日志分析，日志寶增加了安全分析模塊和漏洞掃描等功能，同時通過對網站整體運維需求所做的整合，讓它不僅能夠了解網站日常運營狀況，還將安全和運維合為一體，為站長提供了比較全面的日志分析服務。