网络安全攻防实践PPT.pdf

1 安全攻防实践安全攻防实践 2 提纲提纲 v发生在我们周围的安全事件 v安全问题成因 v黑客的人群以及其文化 v黑客常见攻击手段及流程 v常用的渗透测试工具 n 攻击目标信息搜集 n 缓冲区溢出攻击 n 密码破解 n 中间人欺骗攻击 n 网页脚本攻击 n R o o t K i t n We b 层渗透测试 3 取自身边的一组图片 取自身边的一组图片 4 2 0 0 6 0 9 移动集团网站被黑2 0 0 6 0 9 移动集团网站被黑 5 2 0 0 6 1 1 中国银联被挂马2 0 0 6 1 1 中国银联被挂马 6 2 0 0 7 0 1 Q Q 0 d a y 漏洞2 0 0 7 0 1 Q Q 0 d a y 漏洞 v D S W L a b A v e r t 小组发现一个高 度危险的Q Q 漏洞被披露 名为 E x p l o i t W i n 3 2 Q Q C o m a 如果 被恶意利用 可以使得用户在浏 览植入恶意代码的网页时 打开 本地端口 远程植入木马到用户 系统中 黑客完全利用此漏洞可 以远程控制用户电脑 进行文件 拷贝 删除等恶意操作 D S W L a b A v e r t 小组发现一个高 度危险的Q Q 漏洞被披露 名为 E x p l o i t W i n 3 2 Q Q C o m a 如果 被恶意利用 可以使得用户在浏 览植入恶意代码的网页时 打开 本地端口 远程植入木马到用户 系统中 黑客完全利用此漏洞可 以远程控制用户电脑 进行文件 拷贝 删除等恶意操作 v 腾讯Q Q 有着极其庞大的用户数量 使得该漏洞有着极大的攻击范 围 有可能被利用来进行网络钓 鱼和制造僵尸网络 腾讯Q Q 有着极其庞大的用户数量 使得该漏洞有着极大的攻击范 围 有可能被利用来进行网络钓 鱼和制造僵尸网络 7 2 0 0 9 5 1 9 暴风门 事件2 0 0 9 5 1 9 暴风门 事件 v 2 0 0 9 年5 月1 9 日2 1 点5 0 分 中国电 信集团公司先后收到江苏 安徽 广西 海南 甘肃 浙江六省 的申告 反映部分用户访问网站 速度变慢或无法访问 2 0 0 9 年5 月1 9 日2 1 点5 0 分 中国电 信集团公司先后收到江苏 安徽 广西 海南 甘肃 浙江六省 的申告 反映部分用户访问网站 速度变慢或无法访问 v 1 源于2 个游戏 私服 的网站 掐架 1 源于2 个游戏 私服 的网站 掐架 v 2 攻击对方的D N S 服务器2 攻击对方的D N S 服务器 v 3 同时为 暴风影音 软件提供 域名解析服务 3 同时为 暴风影音 软件提供 域名解析服务 v 4 暴风影音 软件域名解析请 求拥塞 4 暴风影音 软件域名解析请 求拥塞 v 5 数以亿万计的全国的暴风用户 集体转向电信的D N S 解析服务器发 起请求 5 数以亿万计的全国的暴风用户 集体转向电信的D N S 解析服务器发 起请求 v 6 电信的D N S 服务器瘫痪6 电信的D N S 服务器瘫痪 v 7 席卷中国的大规模网络瘫痪7 席卷中国的大规模网络瘫痪 8 2 0 1 0 0 1 1 2 百度被黑2 0 1 0 0 1 1 2 百度被黑 v2 0 1 0 年1 月1 2 日上 午7 点钟开始 全 球最大中文搜索引 擎 百度 遭到黑 客攻击 长时间无 法百度D N S 遭黑客 篡改后所显示的页 面正常访问 主要 表现为跳转到一雅 虎出错页面 伊朗 网军图片 2 0 1 0 年1 月1 2 日上 午7 点钟开始 全 球最大中文搜索引 擎 百度 遭到黑 客攻击 长时间无 法百度D N S 遭黑客 篡改后所显示的页 面正常访问 主要 表现为跳转到一雅 虎出错页面 伊朗 网军图片 9 2 0 1 1 1 2 2 1 C S D N 数据库泄露2 0 1 1 1 2 2 1 C S D N 数据库泄露 v2 0 1 1 年1 2 月2 1 日下 午 国内著名I T 社 区C S D N 中文社区的 后台数据库被黑客 恶意发布到互联网 上并提供下载 该 数据库包含6 4 2 万 多个用户的帐号和 明文密码信息 严 重威胁了相关用户 的信息安全 2 0 1 1 年1 2 月2 1 日下 午 国内著名I T 社 区C S D N 中文社区的 后台数据库被黑客 恶意发布到互联网 上并提供下载 该 数据库包含6 4 2 万 多个用户的帐号和 明文密码信息 严 重威胁了相关用户 的信息安全 10 2 0 1 3 2 1 9 M a n d i a n t渲染中国黑客部队2 0 1 3 2 1 9 M a n d i a n t渲染中国黑客部队 v美国M a n d i a n t 公司 发布了一份长达6 0 页的报告 将位于 上海的解放军 6 1 3 9 8 部队渲染成 黑客部队 M a n d i a n t 在报告中 确认密集的攻击数 据流来自6 1 3 9 8 部 队所在的区域 美国M a n d i a n t 公司 发布了一份长达6 0 页的报告 将位于 上海的解放军 6 1 3 9 8 部队渲染成 黑客部队 M a n d i a n t 在报告中 确认密集的攻击数 据流来自6 1 3 9 8 部 队所在的区域 11 2 0 1 3 6 棱镜门 事件2 0 1 3 6 棱镜门 事件 2013年年6月 根据美 国中情局前职员爱 德华 月 根据美 国中情局前职员爱 德华 斯诺登爆料 斯诺登爆料 棱镜棱镜 窃听计划 适于 窃听计划 适于2007年的小布 什时期 美国情报 机构一直在九家美 国互联网公司中进 行数据挖掘工作 从音频 视频 图 片 邮件 文档等 信息中分析个人的 联系方式与行动 年的小布 什时期 美国情报 机构一直在九家美 国互联网公司中进 行数据挖掘工作 从音频 视频 图 片 邮件 文档等 信息中分析个人的 联系方式与行动 12 某安全公司网站被黑某安全公司网站被黑 13 我们身边上 我们身边上 v河北黑客控制6 万台僵尸计 算机进行攻击导致某网站损 失7 0 0 万 v某著名网络游戏遭受网络攻 击而导致服务中断 v微软 思科的核心机密产品 源代码被人通过网络盗取 14 2 0 0 7 0 3 熊猫烧香作者被抓2 0 0 7 0 3 熊猫烧香作者被抓 熊猫烧香熊猫烧香 病毒作者病毒作者 李俊李俊 15 灰鸽子灰鸽子 16 六年的轮回六年的轮回 Win 2000 输入法漏洞 输入法漏洞 2001 Vista谷歌拼音输入法漏洞 谷歌拼音输入法漏洞 2007 17 安全对于个人安全对于个人 v 个人忽视安全问题影响到公司业务个人忽视安全问题影响到公司业务 v 个人经济受到侵犯个人经济受到侵犯 网银大盗 证券大盗 w w w s h o u f a n c o m 网银大盗 证券大盗 w w w s h o u f a n c o m 信用卡盗用信用卡盗用 v 个人隐私收到侵犯个人隐私收到侵犯 网络钓鱼网络钓鱼 w w w l e n o v o c o mw w w l e n o v o c o m w w w 1 e n o v o c o mw w w 1 e n o v o c o m 垃圾邮件垃圾邮件 个人隐私 S o n y D R M R o o t k i t 事件 个人隐私 S o n y D R M R o o t k i t 事件 每个人需要了解风险所在每个人需要了解风险所在每个人需要了解风险所在每个人需要了解风险所在 18 安全问题成因 安全问题成因 19 影响安全的因素影响安全的因素 l 利益驱使 l 技术环境 l 操作系统平台安全 l 应用程序安全 l 开发安全 l 其他因素 l 口令安全 l 良好的使用习惯 l 信任危机 l l 系统默认安装 从不进行补 丁升级 l 缓冲区溢出频发 l 源代码泄漏 l 空口令 简单口令 默认口 令设置 长期不更换 l 点击进入危险的网站或链 接 l 接收查看危险的电子邮件附 件 l 社会工程学 20 在底层挖掘上的殊途同归在底层挖掘上的殊途同归 深度挖掘 关注本质 深度挖掘 关注本质 黑客世界黑客世界0 day事件频发 安全领域更多人转向底层研究 事件频发 安全领域更多人转向底层研究 Webdav ntdll dll漏洞漏洞 CVS Entry Line堆溢出漏洞堆溢出漏洞 Icesword Wi n d o w s 图形渲染引擎漏洞Wi n d o w s 图形渲染引擎漏洞 RootKit 21 黑客的人群以及其文化 黑客的人群以及其文化 22 曾经的黑客曾经的黑客 Bill Gates Steve Jobs 23 媒体宣传的 黑客 媒体宣传的 黑客 24 真实的黑客 K e v i n M u t n i k 凯文米特尼克 真实的黑客 K e v i n M u t n i k 凯文米特尼克 25 黑客黑客 灰帽子破解者 破解已有系统 发现问题 漏洞 突破极限 禁制 展现自我 计算机 为人民服务 计算机 为人民服务 漏洞挖掘 T o mb K e e p e r 软件破解 0 Da y 工具提供 Gl a c i e r 白帽子创新者 设计新系统 打破常规 精研技术 勇于创新 没有最好 只有更好 没有最好 只有更好 MS B i l l Ga t e s GN U R S t a l l ma n L i n u x L i n u s 善善 黑帽子破坏者 随意使用资源 恶意破坏 散播蠕虫病毒 商业间谍 人不为己 天诛地灭 人不为己 天诛地灭 入侵者 K 米特尼克 C I H 陈盈豪 攻击Y a h o o 者 匿名 恶恶渴求自由 26 黑客的历史黑客的历史 v 8 0 年代早期 黑客杂志2 6 0 0 p h r a c k 相 继创刊 8 0 年代晚期 2 5 岁的K e v i n M i t n i k 首次 被捕 9 0 年代再次被捕 1 9 8 8 年 R o b e r t T M o r r i s J r利用 F i n g e r d 缓冲区溢出漏洞编写出莫 里斯蠕虫 M o r r i s W o r m 在几小时内感染 了6 0 0 0 台U n i x 服务器 美国国防部成立了计算机 紧急应急小组 C E R T 27 磁芯大战 c o r e w a r 磁芯大战 c o r e w a r 20世纪世纪60年代初 在美国的著名的年代初 在美国的著名的AT String query SELECT FROM users WHERE name userName AND pwd pwd I m in SELECT FROM users WHERE name jsmith AND pwd a 176 S Q L 注入的后果S Q L 注入的后果 v通常的后果通常的后果 泄露一些重要信息泄露一些重要信息 数据库信息数据库信息 表信息表信息 列信息列信息 v数据导出数据导出 导出库中的数据导出库中的数据 v控制主机控制主机 控制运行数据库的主机控制运行数据库的主机 177 严格检查用户输入 注意特殊字符 sessionid 2P0OC2JDPXM0O QSNDLPSKHCJUN2JV dest Hawaii 一位用户为了让她朋友看到这个促销航班的内容 将上述链接发送给朋友 导 致他人可以看到她的会话内容 一位用户为了让她朋友看到这个促销航班的内容 将上述链接发送给朋友 导 致他人可以看到她的会话内容 2 一位用户在公用电脑上没有登出他访问的网站 导致下一位使用者可以看到他 的网站会话内容 一位用户在公用电脑上没有登出他访问的网站 导致下一位使用者可以看到他 的网站会话内容 3 登录页面没有进行加密 攻击者通过截取网络包 轻易发现用户登录信息 登录页面没有进行加密 攻击者通过截取网络包 轻易发现用户登录信息 2 失效的验证和会话管理 B r o k e n A u t h e n t i c a t i o n a n d S e s s i o n M a n a g e m e n t 2 失效的验证和会话管理 B r o k e n A u t h e n t i c a t i o n a n d S e s s i o n M a n a g e m e n t 179 主要防范措施 用户密码强度 普通 6字符以上 重要 8 字符以上 极其重要 使用多种验证方式 不使用简单或可预期的密码恢复问题 登录出错时不给过多提示 密码传输时采用加密形式传输 登录页面需要S S L 加密 对多次登录失败的帐号进行短时锁定 设置会话闲置超时 保护Cookie 不在URL中显示Session ID 2 失效的验证和会话管理 B r o k e n A u t h e n t i c a t i o n a n d S e s s i o n M a n a g e m e n t 2 失效的验证和会话管理 B r o k e n A u t h e n t i c a t i o n a n d S e s s i o n M a n a g e m e n t 180 影响面最广的Web安全漏洞 攻击者通过向W e b 页面里插入恶意h t m l 代码 当用户浏览该页之时 嵌入其中W e b 里面的h t m l 代码会被执行 从而达到恶意用户的特殊目的 可分为三种类型 反射 存储和DOM 流行性 非常广泛 危害性 中等 演示 D e m o 3 跨站脚本 C r o s s S i t e S c r i p t i n g X S S 3 跨站脚本 C r o s s S i t e S c r i p t i n g X S S 181 X S S 常见攻击过程X S S 常见攻击过程 Evil org User 1 通过邮件发送 关于银行信息的URL 2 用户在木马 钓鱼 环境中登陆银行 进行操作 3 用户的操作和数据被木马捕获 或被钓鱼 4 木马自动将窃取的 用户信息发送给黑客 5 黑客借助于窃取的信息 登陆银行 进行操作 182 X S S 的危害X S S 的危害 v盗取c o o k i e 信息盗取c o o k i e 信息 v篡改用户浏览的正常内容 伪造页面信息篡改用户浏览的正常内容 伪造页面信息 v把你重定向到一个恶意站点 网站挂马把你重定向到一个恶意站点 网站挂马 v利用浏览器的漏洞控制你的机器利用浏览器的漏洞控制你的机器 183 严格检查用户输入 尽量限制在HTML代码中插入不可信的内容 可被用户输入或修改的内容 对于需要插入的不可信内容必须先进行转义 尤其对特殊字符 语法符合必须转义或重新编码 跨站脚本 X S S 主要防范措施跨站脚本 X S S 主要防范措施 184 服务器上具体文件名 路径或数据库关键字等内 部资源被暴露在URL或网页中 攻击者可以此来 尝试直接访问其他资源 所有Web应用都会受此问题影响 流行性 常见 危害性 中等 示例 某网站的新闻检索功能可搜索指定日期的新闻 但其返回的某网站的新闻检索功能可搜索指定日期的新闻 但其返回的URL中包含了指定日期新闻 页面的文件名 中包含了指定日期新闻 页面的文件名 攻击者可以尝试不同的目录层次来获得系统文件攻击者可以尝试不同的目录层次来获得系统文件win ini 2000年澳大利亚税务局网站曾经发生一位用户通过修改其年澳大利亚税务局网站曾经发生一位用户通过修改其URL中中ABN ID号而直接访 问到 号而直接访 问到17000家公司税务信息的事件 家公司税务信息的事件 4 不安全的直接对象引用 I n s e c u r e D i r e c t O b j e c t R e f e r e n c e s 4 不安全的直接对象引用 I n s e c u r e D i r e c t O b j e c t R e f e r e n c e s 185 主要防范措施 避免在URL或网页中直接引用内部文件名或 数据库关键字 可使用自定义的映射名称来取代直接对象名 锁定网站服务器上的所有目录和文件夹 设 置访问权限 验证用户输入和URL请求 拒绝包含 或 的 请求 4 不安全的直接对象引用 I n s e c u r e D i r e c t O b j e c t R e f e r e n c e s 4 不安全的直接对象引用 I n s e c u r e D i r e c t O b j e c t R e f e r e n c e s 186 管理员在服务器安全配置上的疏忽 或者采用默 认配置 通常会导致攻击者非法获取信息 篡改 内容 甚至控制整个系统 流行性 常见 危害性 中等 示例 1 2 3 4 5 6 7 8 服务器没有及时安装补丁 网站没有禁止目录浏览功能 网站允许匿名用户直接上传文件 服务器上文件夹没有设置足够权限要求 允许匿名用户写入文件 服务器没有及时安装补丁 网站没有禁止目录浏览功能 网站允许匿名用户直接上传文件 服务器上文件夹没有设置足够权限要求 允许匿名用户写入文件 Web网站安装并运行并不需要的服务 比如网站安装并运行并不需要的服务 比如FTP或或SMTP 出错页面向用户提供太过具体的错误信息 比如出错页面向用户提供太过具体的错误信息 比如call stack Web应用直接以应用直接以SQL SA帐号进行连接 并且帐号进行连接 并且SA帐号使用默认密码帐号使用默认密码 SQL服务器没有限制系统存储过程的使用 比如服务器没有限制系统存储过程的使用 比如xp cmdshell 5 安全配置错误 S e c u r i t y M i s c o n f i g u r a t i o n 5 安全配置错误 S e c u r i t y M i s c o n f i g u r a t i o n 187 主要防范措施 安装最新版本的软件及补丁 最小化安装 只安装需要的组件 Web文件 SQL数据库文件不存放在系统盘上 不在Web SQL服务器上运行其他服务 严格检查所有与验证和权限有关的设定 权限最小化 不使用默认路径和预设帐号 按照最佳安全实践进行加固配置 5 安全配置错误 S e c u r i t y M i s c o n f i g u r a t i o n 5 安全配置错误 S e c u r i t y M i s c o n f i g u r a t i o n 188 对重要信息不进行加密处理或加密强度不 够 或者没有安全的存储加密信息 或者在 传输的时候没有采用加密措施 都会导致攻 击者获得这些信息 此风险还涉及Web应用以外的安全管理 流行性 少见危害性 严重 示例 1 2 3 4 对于重要信息 如密码等 直接以明文写入数据库 使用自己编写的加密算法进行简单加密 简单地使用 对于重要信息 如密码等 直接以明文写入数据库 使用自己编写的加密算法进行简单加密 简单地使用MD5 SHA 1等散列算法 将加密信息和密钥存放在一起 等散列算法 将加密信息和密钥存放在一起 6 敏感信息泄漏 S e n s i t i v e D a t a E x p o s u r e6 敏感信息泄漏 S e n s i t i v e D a t a E x p o s u r e 案例 案例 CSDN 数据库 泄露 数据库 泄露 189 6 敏感信息泄漏 S e n s i t i v e D a t a E x p o s u r e6 敏感信息泄漏 S e n s i t i v e D a t a E x p o s u r e 主要防范措施 对所有重要信息进行加密 使用M D 5 S H A 1 等H a s h 算法时候采用加盐存储的方式 产生的密钥不能与加密信息一起存放 严格控制对加密存储的访问 190 某些Web应用包含一些 隐藏 的URL 这些URL不显示在网页链接中 但管理员 可以直接输入URL访问到这些 隐藏 页 面 如果我们不对这些URL做访问限制 攻击者仍然有机会打开它们 流行性 常见危害性 中等 示例 1 某商品网站举行内部促销活动 特定内部员工可以通过访问一个未公开的某商品网站举行内部促销活动 特定内部员工可以通过访问一个未公开的URL链接登 录公司网站 购买特价商品 此 链接登 录公司网站 购买特价商品 此URL通过某员工泄露后 导致大量外部用户登录购买 通过某员工泄露后 导致大量外部用户登录购买 2 某公司网站包含一个未公开的内部员工论坛 某公司网站包含一个未公开的内部员工论坛 击者可以进行一些简单尝试就找到这个论坛的入口地址 攻 击者可以进行一些简单尝试就找到这个论坛的入口地址 7 功能级访问控制缺失 M i s s i n g F u n c t i o n L e v e l A c c e s s C o n t r o l 7 功能级访问控制缺失 M i s s i n g F u n c t i o n L e v e l A c c e s s C o n t r o l 191 主要防范措施 对于网站内的所有内容 不论公开的还是未 公开的 都要进行访问控制检查 只允许用户访问特定的文件类型 比 如 html asp php等 禁止对其他文件类型 的访问 考虑一下管理权利的过程并确保能够容易的进行升级和审计 7 功能级访问控制缺失 M i s s i n g F u n c t i o n L e v e l A c c e s s C o n t r o l 7 功能级访问控制缺失 M i s s i n g F u n c t i o n L e v e l A c c e s s C o n t r o l 192 攻击者构造恶意URL请求 然后诱骗合法用 户访问此URL链接 以达到在Web应用中以 此用户权限执行特定操作的目的 和XSS的主要区别是 XSS的目的是在客户端执行脚本 CSRF的目的是在Web应用中执行操作 流行性 常见危害性 中等 案例 T P L I N K 路由器D N S 篡改 Internet Explorer 3 0 到到 6 0 版本支持以下版本支持以下 HTTP 或或 HTTPS URL 语法 语法 http s username password server resource html 1 黑客制作一个国内各种路由的默认 黑客制作一个国内各种路由的默认IP和默认密码构造一个和默认密码构造一个Http Authentication Url暴力登陆脚本 暴力登陆脚本 2 使用 使用CSRF修改路由的修改路由的DNS 指向恶意 指向恶意DNS 8 跨站请求伪造 C r o s s S i t e R e q u e s t F o r g e r y C S R F 8 跨站请求伪造 C r o s s S i t e R e q u e s t F o r g e r y C S R F 193 主要防范措施 避免在URL中明文显示特定操作的参数内容 使用同步令牌 Synchronizer Token 检查 客户端请求是否包含令牌及其有效性 检查Referer Header 拒绝来自非本网站的 直接URL请求 8 跨站请求伪造 C r o s s S i t e R e q u e s t F o r g e r y C S R F 8 跨站请求伪造 C r o s s S i t e R e q u e s t F o r g e r y C S R F 194 应用程序使用带有已知漏洞的组件会破坏应用程 序防御系统 并使一系列可能的攻击和影响成为可 能 流行性 广泛危害性 中等 案例 9 使用含有已知漏洞的组件 U s i n g K n o w n V u l n e r a b l e C o m p o n e n t s 9 使用含有已知漏洞的组件 U s i n g K n o w n V u l n e r a b l e C o m p o n e n t s 2 CVE 2013 2251 195 主要防范措施 时刻关注组件的安全漏洞信息 建立组件使用的安全策略 比如需要某些软件开发实践 通过安全性测试和可接受的授权许可 在适当的情况下 考虑增加对组件的安全封装 去掉不使用的功能和或者组件易受攻击的方面 9 使用含有已知漏洞的组件 U s i n g K n o w n V u l n e r a b l e C o m p o n e n t s 9 使用含有已知漏洞的组件 U s i n g K n o w n V u l n e r a b l e C o m p o n e n t s 196 攻击者可能利用未经验证的重定向目标来 实现钓鱼欺骗 诱骗用户访问恶意站点 攻击者可能利用未经验证的跳转目标来绕 过网站的访问控制检查 流行性 少见危害性 中等 示例 利用重定向的钓鱼链接 利用重定向的钓鱼链接 更为隐蔽的重定向钓鱼链接 更为隐蔽的重定向钓鱼链接 3F 3Dhttp 3A 利用跳转绕过网站的访问控制检查 利用跳转绕过网站的访问控制检查 1 0 未验证的重定向和跳转 U n v a l i d a t e dR e d i r e c t s a n d F o r w a r d s 1 0 未验证的重定向和跳转 U n v a l i d a t e