WEB应用安全最佳实践-信息安全检查.ppt

WEB应用安全培训 姓名庄俊乾职务IBMRational高级技术顾问邮箱zhjqian 内容 WEB应用安全定位WEB应用基础技术WEB应用常见攻击手段使用AppScan测试WEB应用安全常见的应用安全设置之重复页面过滤 冗余路径 所使用的资源 安装AppScan桌面版本 安装介质和步骤如下 1 首先安装Ratl AppScan Std 7 9 win目录下launchpad exe2 安装后安装7 9 0 2 AppScan Setup exe升级包 升级到最新版本 3 按照AppScan导入Lic步骤 doc导入License Licesne文件地址在License目录下 Web应用基础概念 WebServer Presentation AppServer BusinessLogic Database Internet ClientTier Browser MiddleTier DataTier Firewall Webapplications Antivirusprotection Encryption SSL Firewalls IDS IPS Firewall Webservers Databases Backendserver Applicationservers Informationsecuritylandscape 我们当前的安全手段 Legitnetwork leveluser Port80 443 我们使用了网络扫描工具 我们已经使用了防火墙 我们每个季度都会进行渗透测试 神话 我们的网站是安全的 我们使用SSL 桌面 防火墙 IDS IPS Web应用 SQLInjection CrossSiteScripting Pattern basedAttack WebServerKnownVulnerabilities ParameterTampering CookiePoisoning PortScanning DoS Anti spoofing Encoded basedAttack AntivirusProtection 您的应用安全吗 WEB应用安全的现状 不平衡的投资和回报 ofattacks ofdollars 75 10 25 90 ofallattacksoninformationsecurityaredirectedtotheWebapplicationlayer 75 ofallWebapplicationsarevulnerable 2 3 黑客团伙修改网上资料办假证非法获利上亿记者 你们掌握孙建波为 绝密飞行 提供了多少分办假证的资料 山东省济南市公安局市中分局探长毕经国 至少百余份 我们抓获了黑客绝密飞行后 在山东他的线被斩断了 他到西安又发展新的线 毕警官告诉记者 一年多来 他们通过黑客 绝密飞行 已经抓获了20多名犯罪嫌疑人 涉及山东 江苏 四川 陕西 海南等全国15个省 涉嫌攻击政府网站办理假证3000多份 总金额高达上亿元 而孙建波是整个案件中的核心人物之一 黑客为126辆走私车办证曾经受聘为湖北省公安厅交警总队开发软件的工程师变身 黑客 利用 超级管理员 身份 破译密码进入公安厅车管系统 办起了地下车管所 先后为126辆高档小轿车料理假证号牌 非法获利1500余万元 当前系统安全威胁无处不在 新华网济南 月 日电 记者王志 济南市公安局近日成功侦破一起新型制售假证大案 令人吃惊的是 与一般的制售假证件犯罪不同 这伙犯罪分子采取黑客攻击手段 入侵国家级教育网站和多所高校网站 篡改数据后大肆制作和销售假学历 假证书 记者在调查中发现 由于在正规网站上能够查询到证书号 这些假证成为有备案的 真证书 欺骗性更强 由此带来的社会危害性更大 更可怕的是 此类案件有多发的趋势 努力清除这一社会 毒瘤 十分紧迫 与以往假证制售多采取私刻教育部门或高校公章 私自加盖不同 这一犯罪团伙利用黑客手段直接入侵教育部门和高校的正规网站 按照个人和教育培训机构提供的信息数据 在网站后台数据库添加不存在的学历和证书信息 披上高科技 外衣 的假证制售 隐蔽性很强 给打击防范带来很大难度 经公安机关查明 从 年 月份至今 吴某先后攻击 陕西招生考试信息网 江南大学网络教育学院 等网站 向网站数据库添加公共英语三级 计算机二级 自考等各类信息 余条 每条提成 元 元不等 共获利 万余元 侵篡教育网站伪造 真证书 破获制售假学历大案2010年06月27日15 47 38来源 新华网 11 两个重要的WEB应用安全组织 WASC OWASP WebApplicationSecurityConsortium WASC WEB应用安全标准的制定 收集和推广Officialwebsite www webappsec orgWebSecurityThreatClassificationproject WEB安全隐患分类项目 http www webappsec org projects threat v1 WASC TC v1 0 pdfOpenWebApplicationSecurityProject OWASP 致力于发现和解决不安全软件的根本原因Officialwebsite www owasp orgTheOWASPTopTenproject WEB应用十大隐患项目 http www owasp org index php OWASP Top Ten Project目的 对web站点的安全隐患进行阐明和分类针对这些隐患 制定和推广行业标准 内容 WEB应用安全定位WEB应用基础技术WEB应用常见攻击手段使用AppScan测试WEB应用安全常见的应用安全设置之重复页面过滤 冗余路径 什么是Web应用 Web应用VSWeb网站没有确切的定义细小的区别Website一般提供静态的信息 供访问浏览不提供用户输入 或者用户的简单输入不影响网站的业务Webapplication部署在Web网站上提供用户输入功能 用户的输入会影响网站的功能Web服务器经常和后台的服务器交互 如应用服务器 数据库服务器等 Web应用的组成架构 Webserver presentation Applicationserver businesslogic Database Internet Clienttier browser Middletier Datatier Firewall Clienttier 客户端 经常是WEB浏览器 如IE FireFox等提供对HTML的解析和展示也经常包括一些客户端解析技术 如脚本等Java ScriptActiveXDynamicHTML供用户输入 并展现返回的输出页面内容 Clienttier HTML HypertextMarkupLanguage 一种文本格式的信息包含标签 属性 值等内容一个HTML页面经常包括众多标签 每个标签都单独解析很多的注入攻击都是寻求改变当前的HTML内容或者是增加新的内容 MyHomepageHelloWorld Clienttier Scripting 客户端的脚本经常有如下的作用 实现用户和网站之间的交互检查用户输入 并进行过滤提交用户输入到服务器触发客户端检验程序 如ActiveX等 functiontoggleBackColor if document body bgColor ff0000 document body bgColor ffffff else document body bgColor ff0000 HelloWorld Middletier 表现层 产生并展现WEB网页ApacheIISetc 也可以产生动态动容ActiveServerPages ASP Java ServerPages JSP PerlHypertextPre processor PHP CGI Perlscripts可以是应用服务器的一部分Websphere Middletier 业务逻辑层 实现业务逻辑功能经常包括众多的技术 如J2EE NETOthers ColdFusion PHP etc Datatier数据层 最后台的一层服务器 存储数据管理数据经常是企业级别的关系型数据库 如MicrosoftSQLServerOracleDB2Sybase MySQL etc 页面地址的组成 网址 UniformResourceLocator URL 实例 80 products appscan default aspx articleId 4http protocol HTTPS FTP Gopher file hostname 80 port products appscan default aspx 文件地址路径数据也可以包含在路径中 如 以后的内容就是采用QUERY方法传递的数据特别注意 发送到WEB服务器的数据会被进行编码 编码为特定的格式 因为网址里面不允许包含特殊字符 如空格 换行符等 通用的编码格式类似 HHspace 20 22 28 HTMLforms HTML表单 GET POST HTTP HypertextTransferProtocol HTTP是Web应用的客户端和服务器端交互最经常使用的协议Versions 0 9 1 0 1 1RFCs 1945 2068 2616Describesthe language usedbybrowsersandWebservers 浏览器和服务器之间通讯的共同语言 Client Server Request Response HTTPrequest response例子 Request Response HTTPrequestmethods 最常用的HTTP请求方法 GET retrieveadocument 请求信息 HEAD retrieveheaderinformation 请求头信息 POST senddatatotheserver 发送数据到服务器 PUT DELETE storeanentity bodyattheURL anddeleteaURL 保存 修改实体信息 TRACE 允许客户端察看传输过程 经常用于调试 HTTPresponsecodes 1XX 警告信息 可以继续 2XX 请求得到成功响应 客户端的请求被成功接收 处理和理解3XX 重定向 被指向了其他的页面 4XX ClientError 客户端错误 如404表示网页找不到 401表示客户端端权限不够5XX 服务器端错误 服务器处理客户端请求时候出错 如500表示服务器内部错误 HTTP响应信息 代码实例 HTTP是没有状态的协议 怎么保证一个会话的连续 Session会话 Cookie保存在客户段 经常用于标示用户身份的信息经常是在服务器端产生 然后保存在了客户端Server Microsoft IIS 6 0X Powered By ASP NETX AspNet Version 2 0 50727Set Cookie ASP NET SessionId zsi0ij45xls3ccrlio523h55 path HttpOnlySet Cookie amSessionId 10228114238 path Cache Control no cachePragma no cacheContent Type text html charset utf 8Content Length 9605 客户端状态的管理 常用工具 协助了解Http和html Fiddler FireBug Fiddler记录客户端和服务器端的通信内容Fiddler允许你截获客户端发送到服务器的数据 并进行修改 然后继续提交 TamperData是和Fiddler类似的小工具FindBug工具帮助分析页面元素的html代码Download 实验 检查客户端和服务器端的交互信息 使用Fidder TamperData FireBug等工具来检查WEB应用 本章小结 完成本次培训后 您将掌握 描述WEB应用的通用架构和模块了解WEB应用最经常使用的技术 如HTML和HTTP 内容 WEB应用安全定位WEB应用基础技术WEB应用常见攻击手段使用AppScan测试WEB应用安全常见的应用安全设置之重复页面过滤 冗余路径 十大应用安全隐患 2007OWASPTop10 1 Cross SiteScripting XSS XSS又叫CSS CrossSiteScript 跨站脚本攻击 它指的是恶意攻击者往Web页面里插入恶意html代码 当用户浏览该页之时 嵌入其中Web里面的html代码会被执行 从而达到恶意用户的特殊目的 通过XSS产生的恶果对于有价值的session信息进行盗取篡改用户浏览的正常内容窃取用户处理信息 您收到过这样的邮件吗 HTMLcode HTMLcode XSS描述 在各种搜索 错误处理 表单处理中经常可以见到XSS在各种页面中经常碰到 十分常见窃取任何用户输入信息Path Query Post data Cookie Header etc 最新的浏览器技术更增加XSS的能力XMLHttpRequest AJAX Flash IFrame XSS也有各种各样的变种 XSSinattribute DOMBasedXSS etc XSS常见攻击过程 Evil org User 1 通过邮件发送关于银行信息的url 2 用户在脚本环境中登陆银行 进行操作 3 用户的操作和数据被脚本捕获 4 脚本自动将窃取的用户信息发送给黑客 5 黑客借助于窃取的信息登陆银行 进行操作 如何修补XSS问题 验证输入内容 validateinput Validateinput fromallsources forlength type syntax andbusinessrulesAsoftenaspossible onlyacceptknowngoodvalues ratherthansanitizing positivesecuritymodel 输出内容进行编码等格式转换EncodealloutputItisbesttoencodeallcharacters anapproachusedintheMicrosoftAnti XSSlibrary OWASPPHPAnti XSSlibraryEncodingisnotacompletesolutionbyitself 2 InjectionFlaws 注入攻击是攻击者通过针对应用系统恶意注入特定代码所造成的系统攻击 常见的注入攻击包括 SQLInjection 检索 修改 操作用户数据库SSIInjection 在服务器端执行注入命令 控制服务器LDAPInjection 忽略授权认证 42 2020 3 22 SQLInjectioninCode SELECT FROMusersWHEREname jsmith ANDpwd Demo1234 Stringquery SELECT FROMusersWHEREname userName ANDpwd pwd I min SELECT FROMusersWHEREname jsmith ANDpwd a SELECT FROMusersWHEREname jsmith ANDpwd a InjectionFlaws SQL注入不仅进行查询 SQL命令操作数据库 通过SQL借助数据库 攻击OS不止限于SQL注入 攻击手段还有很多 LDAP XPath SSI HTMLInjection CrossSiteScripting HTTPInjection 修改header get post的内容 一个非典型的注入 selectphoneID giftNamefromphone giftwherephoneID 注入问题分析 InjectionflawsarecreatedwhendataisinterpretedascodeHTMLexample AltoroMutual and WelcometoAltoro stringsareuserinputdataEverythingelseiscodeandwillbeinterpretedbythewebbrowserConsidertheinputchange WelcometoAltoro UnlessthetagsaresanitizedorencodedtheywillbeinterpretedbythewebbrowserThisinjectionflawisfairlyharmless Let sconsidersomethingmoredangerous AltoroMutualWelcometoAltoro AltoroMutualWelcometoAltoro 注入问题分析 JavaScriptexample white inthisexamplewasinputbytheuseronapreviouspageConsiderhowthisinputmightaffectthepage alert 12345 endsthefunctioncontextalert 12345 isthehackersattackvectorendsthescriptcontextThisisanexampleofacross sitescriptingvulnerabilityBothoftheseexampleswereontheclienttierWhataboutoneoftheothertiers functiontoggleBackColor if document body bgColor red document body bgColor white else document body bgColor red HelloWorld functiontoggleBackColor if document body bgColor red document body bgColor alert 12345 else document body bgColor red HelloWorld Injectionflaws Codeversusdata SQLexampleThisisatypicalSQLstatementthatretrievescreditcardinformationfromtheDBbasedonuseridTheuseridisbeingtakendirectlyfromthesessionHackerusesFiddlertochangetherealvalueofuserid jsmith to The endstheuseridstringcontextmakingitablankstring isanSQLcommentwhichforcestherestofthestatementtobeignoredEffectivelyendingtheSQLstatementcontextThisisaSQLInjectionvulnerability SELECTcard numb card type limitFROMpromoWHEREuserid curUserName SELECTcard numb card type limitFROMpromoWHEREuserid jsmith SELECTcard numb card type limitFROMpromoWHEREuserid NotHacked Hacked Positivesecuritymodel白名单 黑名单 ApositivesecuritymodeldefineswhatisacceptableinputandrejectseverythingelseMightrejectvaliddata falsepositive ifdefinitionisnotbroadenoughO ReillyCanprotectfromknownandunknown future attacksCanaffectusability AnegativesecuritymodeldefineswhatisunacceptableinputandrejectsitAddressescurrent known attacksandmustbeupdatedtohandlefutureattacksCannotaddresstheunknown falsenegatives BaddataisallowedthroughAllnegativesecuritymodelsarepotentiallyweak 10 FailuretoRestrictURLAccess 对于敏感的资源 应该通过特定的授权 通过业务逻辑控制进行访问常见的攻击对于敏感信息的泄漏和修改窃取管理员信息 管理员登陆 一般用户登陆 直接访问管理员内容adminjsmith FailuretoRestrictURLAccess 权限设置蔓延 对于特定内容需要特定的权限访问非应用相干的文件不应被访问 bak CopyOf inc cs ws ftp log etc 垂直的权限问题匿名用户访问特定内容一般用户访问管理员用户水平的权限问题用户访问其他用户的内容比如银行账户可以访问其他人的账户信息 水平权限蔓延的例子 行业或者法律法规关心的安全问题 国资委要求 为了帮助中央企业及时了解企业网站安全状况 国资委信息中心从2010年5月18日至5月30日 开展对部分中央企业网站进行安全状况测试 将通过互联网远程黑盒方式对企业网站进行安全状况测试 不会对企业网站构成威胁 1 SQL注入漏洞检查2 跨站脚本漏洞检查3 CGI漏洞扫描4 用户名和密码脆弱性检查5 网站结构分析6 隐藏文件检查7 备份文件安全性检查8 数据库挖掘分析9 本地权限提升漏洞检查10 远程溢出漏洞检查 内容 WEB应用安全定位WEB应用基础技术WEB应用常见攻击手段使用AppScan测试WEB应用安全常见的应用安全设置之重复页面过滤 冗余路径 桌面 防火墙 IDS IPS Web应用 SQLInjection CrossSiteScripting Pattern basedAttack WebServerKnownVulnerabilities ParameterTampering CookiePoisoning PortScanning DoS Anti spoofing Encoded basedAttack AntivirusProtection ISS RationalAppScan AppScan简介 它是什么 Web应用安全扫描测试工具 一支矛 您的盾能全部抵挡吗 为什么我们需要它 帮助您发现和修复WEB应用安全问题它如何工作 三段法 扫描 测试 报告 扫描WEB应用 发现安全漏洞 提出修改建议 形成多种报告 哪些角色需要使用它 安全审计经理QA工程师测试经理开发经理 DeveloperTest FunctionalTest Automated Manual RationalRequisitePro RationalQualityManager RationalClearQuest Defects ProjectDashboards DetailedTestResults QualityReports PerformanceTest SOFTWAREQUALITYSOLUTIONS TestandChangeManagement TestAutomation QualityMetrics DEVELOPMENT OPERATOINS BUSINESS RationalClearQuest Requirements Test Change RationalPurifyPlus RationalTestRealTime RationalFunctionalTesterPlus RationalFunctionalTester RationalRobot RationalManualTester RationalPerformanceTester AppScan工作原理 通过探索 爬行 整个Web应用结构以黑盒方式分析被测网站根据分析 发送修改的HTTPRequest进行攻击尝试通过对于Response的分析验证是否存在缺陷 HTTPRequest WebApplication HTTPResponse 63 黑盒分析技术工作原理 第一步 爬网 http mySite editProfile jsp http mySite http mySite login jsp http mySite feedback jsp http mySite logout jsp 64 黑盒分析技术工作原理 第一步 爬网第二步 针对找到的页面 生成进行模拟攻 AppScan常用配置 设置用户登陆方式 判断是否登陆 AppScan常用配置 设置用户登陆方式 判断是否登陆 AppScan常用配置 设置appscan扫描选项 AppScan常用配置 设置AppScan访问网络模式 选择测试模板 输入入口URL 发现应用结构 基于规则进行测试 实时产生测试结果 根据安全规范报表 根据业务规范报表 应用安全测试技术 单一技术向复合技术转变 静态分析 白盒扫描源代码发现漏洞 动态分析 黑盒模拟真实的动态攻击以发现漏洞 总共潜在的漏洞 动态分析发现的漏洞 静态分析发现的漏洞 72 黑盒分析技术原理 SQL注入 SELECT fromtUserswhereuserid ANDpassword foobar 73 Stringusername request getParameter username Stringpassword request getParameter password Stringquery SELECT fromtUserswhere userid username ANDpassword password ResultSetrs stmt executeQuery query 白盒分析技术原理 SQL注入 UsercanchangeexecutedSQLcommands Sink apotentiallydangerousmethod Source amethodreturningtaintedstring 74 Stringpassword request getParameter password userid username ANDpassword password Stringusername request getParameter username Stringquery SELECT username ResultSetrs stmt executeQuery query Stringusername request getParameter username Stringquery SELECT fromtUserswhere ResultSetrs stmt executeQuery query 白盒分析技术工作原理 75 Stringusername request getParameter username Stringpassword request getParameter password Stringquery SELECT fromtUserswhere userid username ANDpassword password ResultSetrs stmt executeQuery query Stringusername request getParameter username Stringpassword request getParameter password Stringquery SELECT fromtUserswhere userid Encode username ANDpassword Encode password ResultSetrs stmt executeQuery query 应用安全漏洞的修复方式 SQLInjection alidation修改程序 避免漏洞 76 组合测试和分析 准确性 无需源代码 代码覆盖率低 要求满足HTTP协议 支持多组件 需要可以部署的应用 代码 路径覆盖率高 受限于给定代码 不仅仅支持HTTP 支持部分应用的分析 按照不同程序语言 框架提供支持 无需部署应用 黑盒分析技术 白黑分析技术 较少前提条件 误报率增加 类似黑客的真实攻击 集成 部署的漏洞无法发现 全面的分析技术 静态代码分析 白盒测试 发现代码级安全问题 代码级安全扫描 动态测试 黑盒测试 向可运行的应用发送测试 模拟黑客攻击