WEB应用安全和数据库安全

安恒机密 1 目录 简介WEB应用安全数据库安全解决方案 安恒机密 2 公司介绍 杭州安恒信息技术有限公司 北京奥组委安全产品和服务提供商 安恒机密 3 黑客产业链 网上木马典型传播途径 锁定网站目标如电子商务网站利用Web应用的弱点特别是各类SQL注入等Web安全漏洞 入侵和控制Web服务器篡改网页植入恶意代码网站客户在访问网站时候被自动植入木马 在控制个人用户计算机 肉鸡 后 攻击者更多的是通过用户身份窃取 如 利用间谍软件和木马程序等 手段 偷取用户游戏账号 银行账号 密码或针对性的窃取商业信息等 安恒机密 4 08年7月网络与信息安全协调小组组织某省大检查 总共检测省级网站近70家90 网站存在严重安全隐患部分网站已经被挂马或被黑客控制大检查基本上使用评测工具进行远程评估工作 安恒机密 5 发现问题的网站漏洞类型分布图 安恒机密 6 电子商务网站所面临的风险 系统层面 存在弱点的操作系统 存在问题的WEB发布系统IIS Apache Weblogic tomcat等应用层面 SQL注入跨站脚本 钓鱼攻击 表单漏洞上传漏洞网页木马 恶意代码 网络层面 ARP欺骗攻击网络嗅探 安恒机密 7 网络安全现状触目惊心 2008年上半年网络安全报告 僵尸网络 被篡改网站 28367 网页恶意代码事件 安恒机密 8 黑客产业链 收费传播流氓软件 拒绝服务攻击 发送垃圾邮件 主动攻击勒索网站 受雇攻击收取佣金 安恒机密 9 层出不穷的应用和数据库安全事件 针对政府 银行 电子商务等公众网站 安恒机密 10 层出不穷的应用和数据库安全事件 针对运营商内部黑手频频探囊安全网络 没有密码 的充值卡互联星空被挂木马 宽带用户集体中毒电信HTTP劫持服务器被挂木马黑客使电信企业损失被判刑13年 安恒机密 11 攻击悄无声息 数据库 Web服务器 Authentication DataDictionary Privileges Roles SensitiveAppData OSfileAccess Bufferoverflow DOS 防火墙 安恒机密 12 安恒安全团队发现的部分跨站漏洞 安恒机密 13 利用跨站获取COOKIE 安恒机密 14 利用跨站造成页面被黑 安恒机密 15 百度也有跨站 安恒机密 16 安恒机密 17 数据库篡改 动态网页被挂马 目前最流行 最严重的方式 安恒机密 18 层出不穷的数据库安全事件 2005年 美国爆发了堪称迄今为止最大的金融数据泄密事件 有黑客侵入了为万事达 Visa AmericanExpress和Discover服务的 信用卡第三方付款处理器 的网络系统 造成4000多万信用卡用户的数据资料被窃 2006年2月 某运维公司的工程师利用之前给西藏移动安装系统的机会 盗取了370多万元的移动充值卡 并出售套利 2006年6月份 某网络公司工程师利用编写的程序盗取了70多万元的移动充值卡 从2006年8月至2007年4月 四川省某学院综合教务管理网络化系统被黑客入侵 电脑管理系统中有130余名学生多达302科学习成绩被黑客非正常改动 安恒机密 19 Internet 专网 防火墙 局域网交换机 骨干路由器 数据库服务器 应用服务器 内部办公系统 业务系统B 共享存储 专线路由器 防火墙 局域网交换机 应用服务器 业务系统A 数据库服务器 客户 合作伙伴 数据库的安全是信息系统安全的核心是企业数据信息的最终载体是企业业务系统的核心不同于网络传输 数据如果在数据库中被篡改或丢失 是难于恢复的 安恒机密 20 数据库风险点分析 数据库安全环境 操作系统 数据库客户端应用应用服务器应用DBA 开发人员工作终端其他相关人员工作终端 数据库泄密环节 初始安装数据库补丁或升级数据库的日常维护正常业务系统运行应用软件的升级 安恒机密 21 数据库风险的产生 内部用户合法权限滥用权限盗用越权滥用权限分配不当临时帐号未及时清理备份数据缺乏保护离职员工的后门 合作伙伴合法权限滥用权限盗用越权滥用后门程序 数据中心 数据库软件数据库平台漏洞通讯协议漏洞弱鉴权机制日志缺失或不完整 应用程序程序漏洞 安恒机密 22 数据库类型面面观 OracleSQLServerMysqlDB2MSAccess 安恒机密 23 数据库攻击形式多样 数据库木马弱口令攻击溢出攻击注入攻击权限提升绕过审计 安恒机密 24 常见误区 使用防火墙和入侵检测设备 网站安全了安装了最新系统和数据库补丁 网站和数据库可以不被攻击使用防篡改软件 网站一定安全数据库位于内网 一定不被攻击安装了防病毒软件 网站就不被挂马网站被挂马了 请马上帮我清掉我就万事大吉 安恒机密 25 产品线 安恒机密 26 明鉴Web应用弱点扫描器 MatriXay 产品概述 产品用途 发现WEB应用存在的弱点 降低WEB应用受攻击风险适用于 政府 电信 金融 证券 公安 教育 税务 电力 电子商务 等各领域的网站和内部B S系统产品历程 MatriXay1 0于2006年8月世界安全大会BlackHat和Def Con上首次发布MatriXay2 0于2007年12月发布 集成网页木马监控功能 被评价为 最佳的WEB安全评估工具 安恒机密 27 明鉴数据库弱点扫描器 DAS DBScan 产品概述 由世界顶级数据库安全专家亲自设计与开发 拥有权威的弱点规则库扫描数据库的木马 溢出攻击 弱口令 权限滥用 补丁更新 不安全配置等等数据库安全问题 并提供适当的修补建议 全球唯一发现数据库潜藏木马的评估工具 安恒机密 28 明御WEB应用深度防御系统 产品定位面向企业在线WEB应用用途自动化的WEB应用风险评估全方位的访问控制 管理层面 网络层面 业务层面多形式的实时防护 告警 SendE mail Syslog 短信 阻断目的 采用主动安全技术 阻止所有WEB应用层的已知 未知攻击 产品概述 安恒机密 29 明御WEB应用深度防御系统 可挫败绕过网络防火墙和IPS的攻击 因此可以和网络防火墙 IPS设备等互补对应用形成有效的保护保护Web应用及相关的应用资源免受利用Web协议漏洞发动的攻击 安恒机密 30 明御数据库防御与审计系统 产品定位面向企业核心数据库全方位保护和审计用途深层次的数据库风险评估全