3.3 Web攻击的“隐形外衣”——日志逃避

Web应用出于不同的原因面对着可疑的活动，如脚本黑客使用自动化漏洞扫描器扫描Web站点或者入侵者试图模糊测试（fuzz）一个参数用以SQL注入等。在许多类似的情况中，要分析Web服务器上的日志以理解正在发生什么。如果是严重的情况，可能要求取证调查。

网站日志是记录Web服务器接收处理请求以及运行时错误等各种原始信息的以．log结尾的文件，确切地讲，应该是服务器日志。网站日志最大的意义是记录网站运营中空间的运营情况和被访问请求的记录。通过网站日志可以清楚地得知用户在什么IP、什么时间、用什么操作系统、什么浏览器、什么分辨率显示器的情况下访问了网站的哪个页面，是否访问成功。

1．实现逃避检测的两种方法

（1）使用过长的URL逃避检测。

在IIS服务器的环境下，Web日志在记录时，当请求段长度超过4097个字符时会被IIS用“...”截断，入侵者可以在4097字符之后附加攻击，Web服务器不会检测出异常并正常处理该条请求，使得攻击成功，而入侵行为没有被记录。

（2）使用Track逃避检测。

在原来的IIS版本中，网站日志都不会记录Web服务器所有的Track请求。Track是由IIS支持的HTTP方法，服务器对请求的响应是重复所发送的请求。Track请求是对Web服务器进行的攻击而不会被日志记录的逃避检测方法。

2．Web日志安全分析工具

当存在大量日志时，手动检查就会变得困难，这时可以使用自动化工具。

日志宝是一款基于SaaS模式（软件即服务）的在线Web应用，提供在线Web访问日志分析服务的数据分析。日志宝在传统日志分析手段的基础上增加了安全分析以及安全扫描两个模块，将Web漏洞扫描器集成在日志分析系统中，提供更全面专业的整体日志分析解决方案。日志宝目前支持主流Web服务器的相关日志格式，包括Apache的NCSA日志格式以及IIS的W3C日志格式，同样也支持Tomcat以及Nginx的日志。

日志宝的三大特色功能如下，用户可以自由选择分析方式并能够轻松查看到相应模块的分析报告。

（1）日常分析。

针对Web访问日志进行常规分析，包括访问IP统计、访问URL统计、浏览器统计、爬虫信息统计等，帮助站长了解网站日常运营状况，如图3-20所示。

（2）安全分析。

通过匹配1500余种常见的Web漏洞攻击特征以及后门文件指纹信息，能够分析出网站是否遭受或者已经被黑客入侵，帮助站长对网站运营环境进行风险评估，如图3-21所示。

（3）漏洞扫描。

日志宝集成了方研矩行安全团队自主研发的一款Web漏洞扫描器，通过配置可自定义漏洞扫描策略，深度挖掘网站潜在的安全漏洞，帮助站长或网站开发人员发现安全隐患，提高安全编程意识，及时修补安全漏洞，防患于未然，如图3-22所示。

因此相对于传统日志分析，日志宝增加了安全分析模块和漏洞扫描等功能，同时通过对网站整体运维需求所做的整合，让它不仅能够了解网站日常运营状况，还将安全和运维合为一体，为站长提供了比较全面的日志分析服务。