Web应用弱点扫描(Webscan)技术与产品介绍.ppt

,WEB应用安全和数据库安全的领航者！,安恒信息技术有限公司Web应用弱点扫描(Webscan)技术与产品介绍最佳WEB应用安全评估工具,本资料由-校园大学生创业网-提供,提纲,WEB面临主要安全威胁分析十大常见的WEB应用攻击近期安全事件回顾与分析安恒明鉴WEB应用弱点扫描器概述MatriXay5.0主要功能MatriXay5.0产品特点MatriXay5.0技术实现安恒明鉴WEB应用弱点扫描器应用案例,本资料由-校园大学生创业网-提供,WEB应用面临的主要安全威胁分析,WEB安全受到的挑战美国最权威的RSA大会研究显示，Web应用安全已超过所有以前网络层安全（如：DDoS），逐渐成为最严重、最广泛、危害性最大的安全问题WEB安全的挑战主要来自以下几个方面：XSS跨站攻击SQL注入网络钓鱼恶意代码伪造ARP报文RootKit隐身技术,本资料由-校园大学生创业网-提供,WEB应用面临的主要安全威胁分析,常见WEB应用攻击影响分析网页木马：直接控制网站主机或者借此攻击访问者客户端SQL注入漏洞：数据库信息窃取、篡改、删除Cookie注入：数据库信息窃取、篡改、删除，控制服务器跨站脚本漏洞：用户证书、网站信息、用户信息被盗缓冲区溢出：攻陷和控制服务器表单绕过漏洞：攻击者访问禁止访问的目录文件上传漏洞：主页篡改、数据损坏和传播木马文件包含：服务器信息窃取、攻陷和控制服务器,WEB应用面临的主要安全威胁分析,黑客攻击由网络层转向应用层主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动非常明显。然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击（如：针对WEB应用的SQL注入攻击、跨站脚本攻击等）发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。,WEB应用面临的主要安全威胁分析,面向应用层新型攻击特点分析隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息（如身份证），交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取，都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃（identitytheft）已成为全球最严重的问题之一。造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业，一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以致于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。,十大常见WEB应用攻击,SQL注入（SQLinjection）跨站脚本攻击失效的认证和会话管理不安全的直接对象引用跨站伪造请求（CSRF）安全配置错误限制访问URL失效尚未验证的重定向和转发不安全的密码储存传输层保护不足,近期安全事件回顾与分析,1、2008年9月，某大学生利用“灰鸽子”软件远程盗取网银用户的账号和密码，窃取资金48万余元2、2008年12月，CCTV官方网站音乐频道被黑,3、2009年6月，“楼市走向”继续成为网络热议话题，知名地产网站相继被挂马,4、2009年7月，韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站7日晚同时遭分布式拒绝服务（DDos）攻击，瘫痪时间长达4小时。,5、2009年8月国内某政府网站被恐怖分子入侵,6、1月4日几名黑客入侵公安部物证鉴定中心的中英文网站，将原网站内容替换，并且不停修改页面内容，甚至留下网络联络号码和网名。随后，网站被迫关闭。直至第二天下午，网站才恢复正常，造成恶劣影响。,7、2010年1月，百度首页被黑,8、2010年3月，微软官方网站被黑客攻击，页面嵌入成人网站内容。,9、2010年3月18日，江苏廉政网首页被恶意人员篡改。,10、2010年6月30日，北京师范大学网站被挂马,11、2010年5月当当网被黑,12、2010年7月网易旗下所有邮箱被黑,13、2010年7月国土资源部,14、2010年7月水利部,15、2010年7月国防部下属中国军网,16、同月同日国防部网站,17、同月同日中国农业银行,18、同月同日中国银行,安恒明鉴WEB弱点扫描器产品概述,明鉴WEB应用弱点扫描器（简称：MatriXay5.0）是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月发布,并在08奥运会WEB安全保障中发挥了重要的作用。2009年3.6版本成功入选工信部安全中心Web应用安全检查工具。与市场上同类产品的不同之处在于：不仅具有精确的“取证式”扫描功能，还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达到国际领先水平，因此，被评价为“最佳的WEB安全评估工具”。,主要功能,深度扫描：以web漏洞风险为导向,通过对web应用（包括WEB2.0、JAVAScript、FLASH等）进行深度遍历,以安全风险管理为基础,支持各类web应用程序的扫描。WEB漏洞检测：提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据等）。网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。,主要功能,配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审计，如弱口令、弱配置等。渗透测试：通过当前弱点，模拟黑客使用的漏洞发现技术和攻击手段，对目标WEB应用的安全性做出深入分析，并实施无害攻击，取得系统安全威胁的直接证据。,产品特点,全面、深度、准确评估WEB应用弱点，有助于提高主动防御能力支持的WEB应用类型全面支持WEB2.0，支持各类JavaScript脚本解析全面支持FLASH解析支持WAP类及WMLScript脚本类应用系统支持基于HTTPS应用系统的检测首家支持国内、国外知名WEB应用程序漏洞扫描支持所有类型的动态页面支持HTTP1.0和1.1标准的Web应用系统,产品特点,支持各类认证方式支持基于支持包括Basic、Digest、NTLM在内的认证方式支持HTTP和SOCKS代理，并支持各种代理的认证方式全面支持的数据库类型Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等,产品特点,支持的弱点类型支持的弱点类型（包含OWASPTOP10：A1-注入攻击、A2-跨站脚本（XSS）、A3-失效的认证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足)SQL注入检测、XSS跨站脚本检测、伪造跨站点请求检测、网页木马检测、隐藏字段检测、第三方软件误配置检测、表单绕过检测、AJAX注入检测、中间人攻击检测、弱配置检测、敏感信息泄漏检测、HIJACK攻击检测、表单弱口令检测、Xpath注入检测、GOOGLE-HACK检测、数据窃取检测、Cookies注入检测、其他各类CGI漏洞检测,产品特点,灵活可定义的扫描工作模式支持普通扫描模式、命令扫描模式支持边爬行边检测、先爬行后检测、只爬行网站链接、只检测现有URL等多种扫描方式扫描方式：简单模式（单个域名）、批量模式（多个域名）扫描范围：当前URL、当前子域名、当前域名、任何URL支持无人值守模式下的全自动扫描工作方式：主动扫描、被动扫描(Proxy)扫描深度：支持无限扫描深度扫描过程可以随时中断/恢复，扫描结果实时存储支持多任务、多线程、多引擎并行扫描支持扫描例外设置,产品特点,深度智能扫描引擎全面支持SSL自动过滤重复页面自动检测所有参数支持网页大小写敏感/不敏感支持所需网页检测类型设置独有的“取证”模式确保评估结果准确可信直观丰富的统计报表完善的结果趋势分析完备丰富的风险评估报告，支持各类格式输出，并可自定义内容安装运行无需第三方软件支持,技术实现方式,弱点扫描方式,主动扫描被动扫描,渗透方式,1.检测是否存在SQL注入漏洞,2.发送至少10个不同的数据包探测后台数据库的类型,3.获取当前数据库属性，例如连接的数据库名称，用户等,4.获取整个数据字典,5.开始注入/审核/渗透,MatriXay,数据库渗透,根据弱点对数据库进行配置审计获取数据库用户帐号获取数据库密码，对于特定的数据库类型还可以进行密码强度测试获取数据库权限结构获取数据库版本详细信息获取数据库存储过程获取数据库安全相关的配置选项,木马分析,安恒明鉴WEB应用弱点扫描器应用案例,运营商-某省移动客户面临的安全问题网络技术日趋成熟，黑客们的注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击;所有的业务系统（如：营业系统、CBOSS系统、BBOSS系统等等）均采用B/S的架构，致使企业所面临的风险在不断增加;WEB应用系统是否存在程序漏洞，往往是被入侵后才能察觉，如何在攻击发动之前主动发现Web应用程序漏洞?安恒解决方案