网站应用层安全隐患评估系统.ppt

1、网站应用层安全隐患评估系统 AppExplore Version1.0,RealSOI Information Security R&D Lab,业界专家论证会,FU NianDong（傅念东） Network Security Researcher REALSOI INFO TECH CISO,目录,专家介绍 公司简介 RealSOI AppExplore &APP Security 产品化特点 典型案例 总结,专家介绍,高庆狮 院士 卿斯汉 中科院研究员 贺也平 中科院副研究员 陈立杰 军方高工 徐广方 军方总工、高工 江常青 国家测评认证中心情报部主任,目录,专家介绍 公司简介 Real

2、SOI AppExplore &APP Security 产品化特点 典型案例 总结,REALSOI INFO TECH,瑞索讯杰信息技术（北京）有限公司是成立于2002年7月的高新技术型企业和“双软认证”企业 公司位于中国北京，并在西安、上海设有研发合作小组，从事网络安全领先技术的研究和产品开发 公司定位于App Security和Computer Forensics Certified Information Systems Security Professional (CISSP) Certified Information Systems Auditor (CISA) CISP lec

3、turer RealSOI-Anitsolution Information Security R&D Lab 一流的App Security Lab & Computer Forensics Lab,Anitsolution,北京华安永诚信息系统有限公司由资深信息技术、网络安全专家创建的专业服务公司 公司致力于网络安全集成和专业的网络安全服务 与瑞索讯杰共同出资组建信息安全积极防御实验室，专注应用安全和计算机取证技术、产品的研发与推广 主流安全厂商良好的合作关系 骨干员工来自国内外知名的网络安全公司,企业技术领导人于90年代中期开始致力于网络事业 开始于1998年，先后为国内两家一流安全企业

4、创办积极防御研究中心并担任技术负责人 成功参与和负责国家信息安全项目的设计和监理 国际CISSP认证/国内CISP讲师认证 成功参与过多起计算机犯罪专家取证 成功领导多个行业安全风险评估工程中国电信/中国移动/证券/银行,REALSOI LEADER,REALSOI LEADER,1999年创办中国最大的驱动程序开发资源论坛-”中国驱动开发网” 著作JAVA高级开发指南； 著作DriverStudio 开发指南及库参考； 著作Windriver开发指南及库参考； 著作程序春秋,REALSOI成功案例,成功案例,REALSOI 的安全研究历程,与Anitsolution 共同 为用户提供一流的

5、安全资源整合 和企业风险管理,非法途径拨号外联管理,HTTP/HTTPS 80/443,黑客自由出入的通道？,Middle-Ware,APP SERVER,WEB SERVER,DATABASE,当前70%的入侵来自WEB应用层,企业级应用层安全隐患评估,统计,统计,全球黑客利用应用层已知或者未知的安全隐患入侵 破坏技术，对各类型网站应用平台构成巨大威胁：,-新闻报道,-黑客已经无数次地造成：,1. 网上电子商城业务系统遭受黑客完全访问 2. 网上花市用户信用卡数据失窃 3. 网上电子书城重要数据被删除 4. 网上电子商务交易被黑客伪造等 5. 政府网上形象站点页面被黑客涂抹 6. 其它方面影

6、响,统计,根据美国联邦商务委员会(Federal Trade Commission)调查显示，2002年期间，全球与网络安全直接相关的经济损失高达18亿美金 恶性蠕虫出现之后，损失将显著增加 研究跟踪发现：近期将出现利用网站应用层漏洞如SQL INJECTION隐患进行破坏性攻击的新一代恶性蠕虫！ 60% 的入侵者会考虑从 Application level 进行入侵，通常，网络中的加密手段和防火墙措施都被绕过 事实上， WEB应用正逐渐成为网上商业的核心 “Security is a BUSINESS DRIVER !” 只有安全，网上商业才能有动力！ 专业针对应用中未被揭露的安全隐患自动化

7、评估系统已经被成功研制，可以辅助解决应用层大量已知和未知的安全问题,最新动态,瑞索咨询家网站应用层安全隐患评估系统AppExplore受到中国信息安全产品测评认证中心的关注，并在中心试用 受到北京信息安全测评中心的关注，拟作为党政网站的应用安全评估工具,Thanks!,网站应用层安全隐患评估系统 AppExplore Version1.0,FU NianDong（傅念东） Network Security Researcher REALSOI INFO TECH CISO,RealSOI Information Security R&D Lab,业界专家论证会,关注应用安全-完善安全体系,大量

8、黑客事件警示了防火墙和入侵监测系统在应用层攻击手段下往往无能为力 安装补丁不能完全解决应用安全问题 应用程序安全编码对于完善整个安全体系的重要性 采用科学的评估手段针对企业WEB系统进行“黑箱子测试”，实施多方位的应用层入侵技术模拟评估，揭露应用安全隐患迫在眉睫,应用安全启示：,REALSOI 的安全定位,App Security 应用安全 Computer Forensics 计算机取证,RealSOI AppExplore &APP Security,专家介绍 公司简介 RealSOI AppExplore &APP Security 产品化特点 典型案例 总结,REALSOI AppEx

9、plore,成熟产品化商业评估软件 专业应用层安全隐患揭露系统 普通Scanner + AppExplore形成完整有效的新一代测评组合 安全服务市场的主要切入点将会逐渐转向应用安全领域 应用层的专业评估将在完整的安全解决方案中担任重要角色,AppExplore定位：,AppExplore为谁服务？,电子商务应用平台和形象宣传平台 网上银行应用平台和形象宣传平台 电子政府应用平台和形象宣传平台 大中型企业网站应用和宣传平台 ISP/ASP客户增值评估服务工具系统 第三方测评认证机构工具系统 军方专用敌对网站打击渗透工具系统（直接打击功能为特别定制） 其他任何具有应用层安全服务需求的客户群,Ap

10、pExplore思考的十大类安全问题,APPLICATION BUFFER OVERFLOW 应用层缓冲区溢出（压力测试） COOKIE POISONING cookie安全使用状况评估 CROSS-SITE SCRIPTING 跨站脚本攻击风险评估 HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估 STEALTH COMMANDING 系统隐蔽指令执行风险评估 3RD PARTY MISCONFIGURATION 第三方误配置安全隐患 KNOWN VULNERABILITIES 各类型已知安全漏洞 PARAMETER TAMPERING URL参数篡改攻击风险评估 BACK

11、DOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患 FORCEFUL BROWSING 网站内容强力浏览问题,应用安全方面的权威书籍,权威资料参考： Web Hacking: Attacks and Defense by Stuart McClure, Saumil Shah, Shreeraj Shah Hacking Exposed (TM) Web Applications by Joel Scambray, Mike Shema,如果存在以上十大类问题，那么。,由于COOKIE中毒安全隐患，导致黑客可能实施身份伪装攻击； 由于隐藏字段信息篡改隐患，黑客可能实施电子欺骗

12、； 由于URL参数、表单变量存在安全隐患，黑客因此可能进行系统指令执行、逻辑认证绕过、后台数据库攻击等； 由于应用程序缓冲区溢出隐患，黑客可能导致业务终止甚至获取非法权限； 由于跨站点脚本执行隐患，导致黑客可能实施不同程度基于信息泄漏的攻击； 由于第三方软件的错误设置和典型的已知安全隐患存在，导致不同类型的黑客入侵破坏；,AppExplore面对的市场背景,用户普遍还停留在FW+IDS层次的安全防护意识； 国内用户对应用安全知识了解不够，对应用安全隐患和风险认识不够，在国外，应用安全专家已经开始就应用安全问题进行普及宣传； 面对网络级和系统级安全，多数用户”亡羊补牢”，而应用级安全迫在眉睫，需

13、要的是”未雨绸缪”； 应用层隐患普遍存在，一旦爆发蠕虫式恶意攻击，将形成”NIMDA现象”； 这是一份来自台湾的调查统计：针对最为严重的SQL Injection漏洞的調查，由於國內九成以上網站皆使用SQL資料庫系統，因此，經警方測試，研判國內八成以上的網站已面臨資料隱碼攻擊方式的嚴重威脅。 5. 整体上，安全编程意识的不足导致不安全的应用不断出现,应用安全风险之应用层缓冲区溢出,缓冲区溢出是一种很典型的软件漏洞，黑客通过输入超长的恶意参数，让程序处理该参数时超过预设的缓冲区范围，导致难以预料的后果。此类漏洞在Web应用程序中也时常出现 举例：对象是一个要求客户输入个人信息的页面。用户查看该页

14、面的源代码后发现，“company name”字段的最大长度设为30 （）， 这就可能意味着服务器端的CGI程序期望处理的最大字符串长度是30。如果恶意用户修改了这个值，比如改成10000，然后在companyname输入字段中填充大量的字符，提交给Web服务器后，CGI程序很可能发生缓冲区溢出，Web服务器将发生难以预料的后果。,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之cookie安全,传统的Web应用系统，为了支持面向用户的网页内容，通常都使用cookies

15、机制在客户端主机上保存某些信息，例如用户ID、口令、时戳等。这些cookies可以用来维护Web访问会话迁移过程中的状态信息，使服务器可以识别前一个会话过程的用户。因为cookies通常是不经加密就保存在用户的桌面系统中，黑客能够很容易地篡改cookies内容，由此获取其他用户的账号，导致严重的后果。 举例：一个存在cookie毒害漏洞的例子。这是一个支持在线付费的网站。下面图例中，一个名为Abacarius的消费者（黑客？）登录网站，需要提交几笔付费项目。该网站是通过保存在客户端的cookie信息来识别登录用户的，而客户端cookie文件中保存的“abacarius”用户名只经过了简单的“加

16、密”处理（将a变成z，b变成y，依此类推），即“zyzxzirfh”。黑客只需要替换掉这个字串内容，就可以冒名顶替其他用户进行付费操作了。 例如，将zyzxzirfh替换为qlsmhlm，也就是将abacarius用户更名为Johnson。,应用安全风险之cookie中毒,应用安全风险之cookie中毒,应用安全风险之cookie中毒,应用安全风险之cookie中毒,应用安全风险之cookie中毒,应用安全风险之跨站脚本攻击,跨站脚本（Cross-site scripting，CSS）是一种向其他Web用户浏览页面插入执行代码的方法。 Web服务器端应用程序要是接受客户端提交的表单信息而不加验

17、证审核，黑客很可能在其中插入可执行脚本的代码，例如JavaScript、VBScript等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该Web服务器的可信级别被客户端浏览器执行，这就是CSS漏洞的问题所在。 存在这种漏洞的最典型的例子，就是某些网络论坛，这些BBS会向客户端返回其他用户之前输入的内容，许多搜索引擎网站也存在此类问题。 收到这些嵌入恶意代码内容的客户端浏览器，如果信任内容来源网站，恶意代码就可能在客户端主机执行。,应用安全风险之跨站脚本攻击,跨站脚本漏洞的本质还在于Web应用程序没有对客户端输入进行严格校验。 黑客利用此类漏洞，可能

18、实施的攻击操作包括： 窃取用户COOKIE，伪造身份； 伪造网页内容； 客户端拒绝服务攻击和恶性病毒传播； 执行系统命令 高级黑客入侵技术； 等。,应用安全风险之跨站脚本攻击,某个恶意用户,就某个严重问题草拟报告如下,正常内容大家好啊。,应用安全风险之跨站脚本攻击,参考：,以上所贴的 恶性病毒，理论上，所有信任该站点的重要客户都有可能由于浏览 该页面文件而感染病毒。,应用安全风险之操纵页面隐藏字段,隐藏字段即HTML表单中hidden类型的字段。 Web系统本身是无状态的，为了维持客户端/服务器之间的会话状态，Web应用系统最简单也最普遍采用的方法就是用隐藏字段存储信息。但是，隐藏字段并非真正

19、隐藏，它仅仅是不显示给用户而已，提供给客户端的静态页面源码中就保存有隐藏字段的真实内容。许多基于Web的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容，客户端浏览器只要用View Source命令就可以查看其真实的内容。例如： 心存恶意的用户，用浏览器简单地保存HTML页面源代码，修改隐藏字段内容，重新提交给服务器端，Web服务器如果不对这种改变做进一步验证，就很容易用新的伪造的信息处理交易，这是一种非常危险的漏洞。,应用安全风险之操纵页面隐藏字段,在技术上使用隐藏字段来存储商品价格、用户名、密码等敏感内容， 客户端浏览器只要用“View Source”命令就可以查看其真实

20、的内容。,应用安全风险之操纵页面隐藏字段,应用安全风险之操纵页面隐藏字段,修改Value=“1.95”，重新提交给服务器端处理,应用安全风险之操纵页面隐藏字段,Web服务端CGI如果不对这种改变做进一步验证， 就很容易用新的伪造的信息处理交易。 购物车CGI接受你以$1.95的价格购买$129.95的商品,应用安全风险之隐蔽指令执行,（主要是指Unix服务器）服务器端include通过从本地硬盘驱动器中调用文档或其它对象，然后将这些元素自动包含在Web页面中。 例如：#exec cmd= “ rm rf * ” 这个看起来象SSI,假如这条SSI成功执行且HTTPD正在根下运行，则删除的将是整

21、个驱动器。大多数站点禁止使用SSI. 举例：入侵者在本该填写Street Address的可输入区域填写敏感文件查看指令 入侵者聪明地驱使WEB SERVER把SSL key文件附加显示到网页上，从而可让自己成功扮演服务器角色搜集各种客户重要信息,应用安全风险之隐蔽指令执行,应用安全风险之隐蔽指令执行, ,应用安全风险之隐蔽指令执行,入侵者驱使WEB 服务器把SSL key文件附加显示到网页上， 从而可让自己成功扮演服务器角色搜集各种客户重要信息,应用安全风险之已知安全漏洞,许多操作系统及第三方应用软件（包括Web服务器和数据库服务器）都存在一些已知漏洞，如果管理员不及时安装已经发布了的软件补

22、丁，这些漏洞就很可能被黑客利用。 因为黑客只需要用简单的漏洞扫描器和大量的漏洞披漏网站就可以知道该怎样实施攻击了。其实，许多已知漏洞都可以归类到前面介绍的几种典型漏洞当中 举例：IIS服务器的ASP Alternate Data Streams漏洞，只要在ASP文件名后加上“:$DATA”后缀，就可以看到ASP文件源代码，这个漏洞就属于典型的CGI参数欺骗类型。 而另一个此类漏洞IIS Unicode漏洞，则可以让黑客查看敏感信息，执行系统命令，进行文件操作，后果将是非常严重的。 http:/www/_vti_bin/.%255c.%255cwinnt/system32/cmd.exe?/c+

23、dir+c:,应用安全风险之已知安全漏洞,应用安全风险之已知安全漏洞,应用安全风险之已知安全漏洞,应用安全风险之已知安全漏洞,应用安全风险之后门程序和调试选项遗留,在程序开发期间，程序员通常都会在代码中加入一些调试选项或功能，这是供程序测试使用的。不过，种种原因，这些调试功能往往会在软件的最终正式版中得以保留，这就给黑客或恶意程序员提供了极大的方便。通过激活这些调试选项，黑客可以进行某些特别的操作。 除了调试功能，程序中有时候还保留一些后门机制，例如让开发人员直接进行正常情况下应该禁止的操作，或者是不提供口令进行登录，或者可以直接访问某个特殊的URL，这也给黑客提供了方便之门。 举例：一个网上

24、银行客户帐务管理接口程序，客户可以方面通过CGI程序进行各类帐务操作，但是，为方便引擎开发者在线调试和开发，后台引擎留下debug类操作后门,开发者或者是黑客可以通过向后台CGI传递debug=on相关指令来越权控制任何客户个人信息 ,应用安全风险之后门程序和调试选项遗留,应用安全风险之后门程序和调试选项遗留,应用安全风险之后门程序和调试选项遗留,应用安全风险之强力浏览问题,存在这类型安全问题的网站通常采用某种技术方式来存储敏感文件，如：采用系统临时文件的方式来存储本该保密的用户资料，但是恶意入侵者通过对服务器返回给客户端浏览器的HTML源程序进行阅读和分析，将通过重组URL连接的方式直接获得

25、这类敏感文件的访问权。 举例：这是一个为儿童提供游戏娱乐和教育的网站，每个儿童都注册了自己的详细个人资料，如家庭住址，父母背景等，网站管理员把资料文件存放在服务器上，没有提供直接的访问路经。但是，在网站某处的HTML源代码中，却留有一段写在注释中的信息 - /private/kids.cvs 任何人都可以轻易阅读到保密的kids.cvs,应用安全风险之强力浏览问题,应用安全知识之强力浏览问题,应用安全风险之强力浏览问题,应用安全风险之参数篡改攻击,如果Web应用程序没有对客户端提交的参数进行严格校验，就有可能对客户端参数中包含的某些特殊内容进行不适当的处理，导致难以预料的后果。这类漏洞最常见于

26、那些应用了SQL数据库后端的Web服务器，黑客通过向提交给CGI程序的参数中“注射”某些特殊SQL语句，最终可能获取、篡改、控制Web服务器端数据库中的内容。, 当然，此类漏洞的另一种后果，就是泄漏某些敏感信息，许多Web服务器及应用系统都曾经披漏过此类问题。利用此类编程漏洞执行系统指令也是常用的入侵方式。 举例：(1) or 1=1- 逻辑认证绕过 SELECT * FROM tblUser WHERE UserName= or 1=1- AND Password=asdf (2) 利用错误信息取得资料表内各栏位的资料形态 UNION SELECT abc,1,1,1 FROM tblUse

27、r SELECT * FROM tblUser WHERE UserName= UNION SELECT abc,1,1,1 FROM tblUser - AND Password=asdf,应用安全风险之参数篡改攻击,普通客户提交正常要求,helloworld,7777-8888-222,Aaaaaaaaaaaaa-bbbbbbbbbbbbb,不怀好意者在此栏提交各种测试代码，如 “ ”,应用安全风险之参数篡改攻击,应用安全风险之参数篡改攻击,) select 123 -,test,111-111,xxxx.xxxx.xxx.xxxx,应用安全风险之参数篡改攻击,AppExplore评估该类

28、型的报告显示： SQL INJECTION攻击之简单符号匹配2模式测试类似于new.asp?id=255通常asp脚本程序访问SQL数据库的写法是SELECT * FROM newstable WHERE ID = valueAsp脚本程序员没有对value进行单引号等特殊符号校验，导致入侵者可以在value后面构造自定义的复杂SQL指令通过asp脚本程序传递给后台数据库执行，入侵者的操作权限等同于asp脚本程序访问数据库对应的数据库账号映射到系统账号的权限！如果asp脚本程序调用的是sysadmin组的用户，将导致入侵者可以直接使用localsystem账号执行系统命令；例如:news.as

29、p?id=255 exec master.dbo.xp_cmdshell “net user tmpuser /add” -news.asp?id=255 exec master.dbo.xp_cmdshell “net localgroup administrators tmpuser /add” -临时解决办法:对于所有用户提交的数据进行基本的特殊字符前台过滤和屏蔽；采用Replace(value,“ ,“ “ )等方法防治入侵者的指令从字符串跳出演变成为具有危害性的SQL指令。,产品化特点,专家介绍 公司简介 RealSOI AppExplore &APP Security 产品化特点

30、典型案例 总结,小投入、大作用,小投入、大作用,Anitsolution 2000 论安全体系的完整性,“AppExplore系列产品 对整个网站应用平台的安全健康状况层次化的表示，使得安全管理员和评测员能切实看到网站的应用安全全貌和黑客入侵威胁点并作出正确响应，真正做到未雨绸缪.”,极大降低应用安全服务成本,24小时/2位应用安全专家手工评测成果 小于等于 20分钟/AppExplore+一名普通操作人员的评测效果 基于定制策略的定时评估，网段评估 公正的“黑箱子测试” 使得程序员和系统安全分析员一目了然地知晓故障点和排除故障最简便的方法 评估结果报告将直接告诉用户“哪个文件的哪个参数出了问

31、题，是什么类型的问题？ ”,产品整体特点,网站应用结构图分析功能： 立足于网站系统应用的安全规划，多种手段相结合，完整而详细的分析出目标网站的目录结构和文件关系。 应用安全隐患分析功能： 分析来自网站结构图中的每一个网站功能脚本程序的应用状况，借助于专用的知识数据库，针对所有可能为黑客所利用的入侵项目进行多样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性帮助的安全隐患报告。 分析过程支持交互式策略和全自动策略；支持代理(proxy)扫描； SSL和客户端认证支持； 本评估系统广泛支持各种常见应用系统或者引擎语言： ASP, PHP, ColdFusion, Lotus Domino

32、,BEA WebLogic, Perl,Netscape Java ServletPages等,产品整体特点,基于国际标准和行业规范的风险报告功能： 形成通俗易懂的风险说明报告。图文并茂地展现出漏洞表、威胁表、风险比率图等报告，显示详细安全隐患来源和背景。使得使用该产品的人员能够在不断掌握新安全知识的情况下来抵御应用层黑客的入侵。 稳定快捷的在线升级功能： 简单方便的网络在线升级功能，将不断的更新升级最新的专用知识数据库。独特的预警模式，将第一时间提醒您关注最新的安全风险。 反盗版和反破解设计： 避免该系列产品不会被未授权非法使用。,严格的认证和授权-规避滥用,安装序列号认证,基于硬件序列种子

33、的 网络认证,管理员口令认证,直观的界面-主界面,直观的界面-安全浏览器,直观的界面-综合报告界面,其它关键界面一览,其它关键界面一览,其它关键界面一览,典型案例,专家介绍 公司简介 RealSOI AppExplore &APP Security 产品化特点 典型案例 总结,典型案例1,使用REALSOI AppExplore来加强安全策略，从可操作化角度进一步满足GB18336的标准要求 AppExplore能穿越多个入侵监测系统、防火墙，从电子政务网上应用的前端系统一直渗透评估到后台数据库系统 自从使用AppExplore系统进行全面评估之后，暴露了不计其数的此前根本没有关注的致命隐患

34、经过配套的安全编程知识强化培训，电子政务建设者普遍对应用安全的解决方案有了深刻理解，同时也对电子政务更加充满信心,电子政务全国性网上政府公开网站安全大检阅：,“自从开始使用REALSOI AppExplore评估系统, 电子政务应用平台有了一个强大的已知漏洞和未知漏洞的发掘机.”,典型案例2,能以很小的投入对多个大型企业客户的网站系统进行完整的应用安全评估，能较为彻底地发掘企业网站应用可能出现的已知和未知隐患，找出可能被应用型蠕虫利用的环节，阻止蠕虫 为重要客户组织技术讲座，重点培训应用安全知识，整体提升客户安全编码的意识和能力,ISP为客户提供安全加固增值服务，用于提前评估客户网站应用系统安全指数，阻止即将蔓延的应用型蠕虫：,“如果没有REALSOI