WEB安全防护讲座.ppt

课程要点 什么是Web安全风险为什么会存在Web安全风险为什么会面对Web安全风险如何防护Web安全 网站篡改 某银行网站篡改 敏感数据泄密泄密 企业敏感信息泄密 企业敏感信息泄密 湖北车管所黑客入侵事件 曾经受聘为省公安厅交警总队开发软件 利用 超级管理员 的身份 用超级密码进入公安厅车管系统 办起了 地下车管所 先后为126辆高档小轿车办理假证号牌 非法获利1500余万元 广告联盟 放置 黑链 钓鱼网站 真正的中国工商银行网站 假冒的中国工商银行网站 CSDN泄密门 奥运网站订票瘫痪 月 日 北京奥运会门票面向境内公众第二阶段预售正式启动 上午一开始 公众提交申请空前踊跃 上午 时至 时 官方票务网站的浏览量达到了 万次 票务呼叫中心热线从 时至 时的呼入量超过了 万人次 由于瞬间访问数量过大 技术系统应对不畅 造成很多申购者无法及时提交申请 百度被黑 百度被黑 背景 5小时无法提供任何互联网服务漏洞 DNS服务器被劫持影响 国内最大互联网企业也在劫难逃 铁路订票网站 苹果手机预订 网站瘫痪思考 安全 在信息系统规划设计中就应该考虑 Web安全风险定义 政府网站安全防护薄弱 据国家互联网应急中心监测 2011年中国大陆有近3 5万个网站被黑客篡改 数量较2010年下降21 5 但其中被篡改的政府网站高达4635个 比2010年上升67 6 中央和省部级政府网站安全状况明显优于地市以下级别的政府网站 但仍有约60 的部委级网站存在不同程度的安全隐患 政府网站安全性不高不仅影响了政府形象和电子政务工作的开展 还给不法分子发布虚假信息或植入网页木马以可乘之机 造成更大的危害 2011年第52周我国大陆被篡改网站数量 被挂马政府网站 金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标 网络违法犯罪行为的趋利化特征明显 大型电子商务 金融机构 第三方在线支付网站成为网络钓鱼的主要对象 黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易 窃取用户账号密码 造成用户经济损失 2010年 国家互联网应急中心共接收网络钓鱼事件举报1597件 较2009年增长33 1 中国反钓鱼网站联盟 处理钓鱼网站事件20570起 较2009年增长140 网络安全事件的跨境化特点日益突出 2010年 国家互联网应急中心监测发现共近48万个木马控制端IP 其中有22 1万个位于境外 前三位分别是美国 占14 7 印度 占8 0 和我国台湾 占4 8 共有13782个僵尸网络控制端IP 有6531个位于境外 前三位分别是美国 占21 7 印度 占7 2 和土耳其 占5 7 另据工业和信息化部互联网网络安全信息通报成员单位报送的数据 2010年在我国实施网页挂马 网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册 木马或僵尸程序受控主机 惩处黑客有法可依 2009年2月28日十一届全国人大常委会第七次会议表决通过刑法修正案 七 此前 刑法第285条规定 违反国家规定 侵入国家事务 国防建设 尖端科学技术领域的计算机信息系统的 处三年以下有期徒刑或者拘役鉴于上述情况 刑法修正案 七 在刑法第285条中增加两款作为第二款 第三款 刑法 惩处黑客有法可依 违反国家规定 侵入前款规定以外的计算机信息系统或者采用其他技术手段 获取该计算机信息系统中存储 处理或者传输的数据 或者对该计算机信息系统实施非法控制 情节严重的 处三年以下有期徒刑或者拘役 并处或者单处罚金 情节特别严重的 处三年以上七年以下有期徒刑 并处罚金 提供专门用于侵入 非法控制计算机信息系统的程序 工具 或者明知他人实施侵入 非法控制计算机信息系统的违法犯罪行为而为其提供程序 工具 情节严重的 依照前款的规定处罚 刑法 解读 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 为了贯彻落实 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 加强基础信息网络和重要信息系统安全保障 按照 国家电子政务工程建设项目管理暂行办法 国家发展和改革委员会令 2007 第55号 的有关规定 加强和规范国家电子政务工程建设项目信息安全风险评估工作 通知 解读 四 涉密信息系统的信息安全风险评估应按照 涉及国家秘密的信息系统分级保护管理办法 涉及国家秘密的信息系统审批管理规定 涉及国家秘密的信息系统分级保护测评指南 等国家有关保密规定和标准 进行系统测评并履行审批手续 五 非涉密信息系统的信息安全风险评估应按照 信息安全等级保护管理办法 信息系统安全等级保护定级指南 信息系统安全等级保护基本要求 信息系统安全等级保护实施指南 和 信息安全风险评估规范 等有关要求 可委托同一专业测评机构完成等级测评和风险评估工作 并形成等级测评报告和风险评估报告 等级测评报告参照公安部门制订的格式编制 风险评估报告参考 国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式 为什么会发生Web安全风险 C S模式和B S模式对比 客户端 服务器模式 C S 专用端口专用协议 专用端口专用协议 浏览器 服务器模式 B S 统一端口通用协议 统一端口通用协议 典型网络攻击示例 黑客发现某web应用程序登陆界面 单击login尝试登陆 系统提示需要输入有效用户名 典型网络攻击示例 黑客尝试猜测有效用户名 系统提示需要输入正确口令 典型网络攻击示例 黑客采用单引号 作为口令尝试登陆 后台数据库报错 通过分析可知数据库查询命令为 SQL查询 SELECTUsernameFROMUsersWHEREUsername donald ANDPassword 典型网络攻击示例 系统反馈不存在名为dan的用户 标明后台查询语句为SQL查询 SELECTUsernameFROMUsersWHEREUsername dan 后面所有的字符被作为注释对待口令有效性验证被旁路 黑客尝试使用dan 作为用户名登陆 典型网络攻击示例 黑客尝试使用admin 作为用户名登陆即猜测存在名为admin的管理员用户 成功登陆系统 黑客可以随意读取邮件 下载文件等操作 典型案例 某政府单位网站后台 Web应用验证缺失 WEB面临的安全威胁TOP10 2011年上半年CNCERT CC处理事件类型 51CTO的WEB威胁调查 Sql注入及其危害 所谓SQL注入 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串 最终达到欺骗服务器执行恶意的SQL命令 通过递交参数构造巧妙的SQL语句 从而成功获取想要的数据 分为字符型注入和数字型的注入 由于编程语言不同 所存在的注入类型也不同 危害 非法查询其他数据库资源 如管理员帐号 执行系统命令 获取服务器root权限 SQL注入 原理 Test asp文件代码片段 sqlStr select fromn userwhereusername username andpassword password rs conn execute sqlStr 正常的查询 test asp username test password 123sqlStr select fromn userwhereusername test andpassword 123 使password 123 or 1 1 Sql语句到数据库后 sqlStr select fromn userwhereusername test andpassword 123 or 1 1 Or 1 1 始终成立 SQL注入 Asp表现 存在数字型和字符型注入 ID 49这类注入的参数是数字型 SQL语句原貌大致如下 Select from表名where字段 49注入的参数为ID 49And 查询条件 即是生成语句 Select from表名where字段 49And 查询条件 Class 连续剧这类注入的参数是字符型 SQL语句原貌大致概如下 Select from表名where字段 连续剧 注入的参数为Class 连续剧 and 查询条件 and 即是生成语句 Select from表名where字段 连续剧 and 查询条件 and C 搜索时没过滤参数的 如keyword 关键字 SQL语句原貌大致如下 Select from表名where字段like 关键字 注入的参数为keyword and 查询条件 and 25 即是生成语句 Select from表名where字段like 关键字 and 查询条件 and SQL注入 Php中的表现 Php的魔术引号 magic quotes gpc php ini dist默认是开启此功能 如果安装php时使用此文件 将不会产生字符型注入 主要是数字型注入 数字型注入 http localhost www admin login php username char 114 111 115 101 23查询语句变为 select fromexamplewhereusername char 114 111 115 101 andpassword SQL注入 Jsp表现 由于java语言是强类型语言 所有变量定义前必须声明其类型 因而仅存在字符型的注入 字符型注入实例 Stringsql select fromtb namewherename varname andpasswd varpasswd stmt conn prepareStatement sql 构造参数varpasswd值为 or 1 1Sql语句经过解析后将是 select fromtb name 随意 andpasswd or 1 1 SQL注入 A表现 开发语言常用的有 和C 都属于强类型语言 因而只存在字符型注入 注入原理 与asp的字符型注入一样 SQL注入 工具演示 跨站脚本 介绍 跨站脚本攻击 通常简写为XSS 是指攻者利用网站程序对用户输入过滤不足 输入可以显示在页面上对其他用户造成影响的HTML代码 从而盗取用户资料 利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式 危害 盗取用户cookie Xss蠕虫 挂马 结合xss蠕虫 危害巨大 WEB木马病毒 利用漏洞类型 浏览器本身缺陷 第三方ActiveX控件漏洞 文件格式漏洞 WEB木马病毒 盗号木马和网页木马 盗号木马在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的专用木马 QQ盗号木马 数十款 流行网游 均发现相应的盗号木马免杀机制 继承可执行程序加壳 变形等技术方法网页木马本质上并非木马 而是Web方式的渗透攻击代码一般以JavaScript VBScript等脚本语言实现免杀机制通过大小写变换 十六进制编码 unicode编码 base64编码 escape编码等方法对网页木马进行编码混淆通过通用 screnc等 或定制的加密工具 xxtea等 对网页木马进行加密修改网页木马文件掩码 混淆文件结构 分割至多个文件等 WEB木马病毒 典型网页木马MS06 014网马 MS06 014安全漏洞机理 MDAC中的RDS DataspaceActiveX控件远程代码执行漏洞 没有对通过该控件在宿主上的交互行为进行有效控制MS06 014网马程序 WEB木马病毒 ARP欺骗木马 ARP欺骗挂马 危害度更高的挂马网络构建策略并不需要真正攻陷目标网站 知名网站通常防护严密ARP欺骗 对同一以太网网段中 通过ARP欺骗方法进行中间人攻击 可劫持指定网络流量并进行任意修改ARP欺骗挂马 在Web请求反馈页面中插入iframe等重定向链接代码 从而使得目标网站被 虚拟 挂马服务器端ARP欺骗挂马在目标网站同一以太网中获得访问入口进行ARP欺骗挂马目标网站虽未被攻陷 但所有网站访问者遭受网页木马的威胁案例 07年10月份Nod32中国官方网站 C I S R T网站等 挂马服务器架构 WEB木马病毒 网站挂马的的实现过程 分布式拒绝攻击 DDOS 介绍 分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法 但是发起攻击的源是多个 通常 攻击者使用下载的工具渗透无保护的主机 当获得该主机的适当的访问权限后 攻击者在主机中安装软件的服务或进程 以下简称代理 这些代理保持睡眠状态 直到从它们的主控端得到指令 主控端命令代理对指定的目标发起拒绝服务攻击 分布式拒绝服务攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击 单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响 而分布于全球的几千个攻击将会产生致命的效果 分布式拒绝攻击 攻击步骤一 ScanningProgram 不安全的计算机 Hacker Internet 分布式拒绝攻击 攻击步骤二 Hacker 被控制的计算机 代理端 黑客设法入侵有安全漏洞的主机并获取控制权 这些主机将被用于放置后门 sniffer或守护程序甚至是客户程序 2 Internet 分布式拒绝攻击 攻击步骤三 Hacker 黑客在得到入侵计算机清单后 从中选出满足建立网络所需要的主机 放置已编译好的守护程序 并对被控制的计算机发送命令 3 被控制计算机 代理端 MasterServer Internet 分布式拒绝攻击 攻击步骤四 Hacker UsingClientprogram 黑客发送控制命令给主机 准备启动对目标系统的攻击 4 被控制计算机 代理端 TargetedSystem MasterServer Internet 分布式拒绝攻击 攻击步骤五 Internet Hacker 主机发送攻击信号给被控制计算机开始对目标系统发起攻击 5 MasterServer TargetedSystem 被控制计算机 代理端 分布式拒绝攻击 攻击步骤六 TargetedSystem Hacker 目标系统被无数的伪造的请求所淹没 从而无法对合法用户进行响应 DDOS攻击成功 6 MasterServer User Internet 被控制计算机 代理端 信息泄露 管理员的疏忽 当我们输入inurl ViewerFrame Mode 后 信息泄露 来自搜索引擎 如何有效对Web防护 Web业务类型防护 政务公开 网上办事 政民互动 业务类型 网页篡改 敏感信息泄密 业务中断 威胁类型 非法入侵 代码加固 网页防篡改 WAF 身份鉴别访问控制 防护类型 Web安全视图 Internet WebServer ApplicationServer Databases BackendServer System 企业数据中心 从运维管理者而言 检测与发现 事前预警防护与阻击 事中防护安全监控与安全恢复 事后恢复 监控 典型安全产品 Web安全扫描器 十大Web安全扫描器NiktoParosproxyWebScarabWebInspectWhisker Libwhisker BurpsuiteWiktoAcunetixWebVelnerabilityScannerWatchfireAppscanN Stealth 网页防篡改 Web应用防火墙 应用代码安全才是真正的Web安全 Asp注入的预防 对于用户端输入的任意字符 包括GET提交 POST提交 Cookie提交 SERVER提交的都需要做严格过滤 对于数字型参数判断是否为数字 可用函数isNumeric来判断 返回值为true和false 对于字符型参数过滤单引号 使其无法闭合当前sql语句的单引号 例外 base64编码Sql通用防注入 Php注入的预防 一 确认GPC开启 若没开启则用addslashes函数过滤之 如下代码 if get magic quotes gpc lastname addslashes POST lastname else lastname POST lastname 对于数字型参数可使用intval或floatval强制转换为数字型 注意mysql的版本以及默认字符集 Mysql 4 1字符集连接字符串 mysql query SETcharacter set connection dbcharset character set results dbcharset character set client binary Php注入的预防 二 Php5以上版本Mysqli扩展预防 参数化查询 city Amersfoort createapreparedstatement stmt mysqli prepare SELECTDistrictFROMCityWHEREName stmt bind param s city stmt execute stmt bind result district stmt fetch printf sisindistrict s n city district stmt close Jsp预防 采用jdbc的prepareStatement查询数据库 并且sql语句中不出