BIT7信息系统安全架构-网站安全架构

1、网站安全体系架构孙建伟北京理工大学软件学院提纲网站工作作原理网站架构构网站与浏浏览器的的交互Web应用攻击击网页篡改改注入式攻攻击跨站攻击击Web应用安全全体系架架构分析析输入验证证网站备份份恢复架架构立体防护护体系Web应用程序序的逻辑辑架构三层架构构(3-tier application)通常意义义上的三三层架构构就是将将整个业业务应用用划分为为：表现现层（UI）、业务务逻辑层层（BLL）、数据据访问层层（DAL）。区分分层次的的目的即即为了“高内聚聚，低耦耦合”的的思想。、表现现层（UI）：通俗俗讲就是是展现给给用户的的界面，即用户户在使用用一个系系统的时时候他的的所见所所得。、业务务逻

2、辑层层（BLL）：针对对具体问问题的操操作，也也可以说说是对数数据层的的操作，对数据据业务逻逻辑处理理。、数据据访问层层（DAL）：该层层所做事事务直接接操作数数据库，针对数数据的增增、删、改、查查。网站的层层次结构构操作系统统：管理理计算机机平台资资源Web服务器：解析HTTP请求，处处理网页页文件，执行动动态脚本本网站文件件系统静态网页页动态网页页后台数据据库4HTTP工作原原理因特网HTTP使用此TCP连接浏览器 程序服务器 程序HTTP客户建立 TCP 连接释放 TCP 连接HTTP 响应报文 响应文档HTTP 请求报文 请求文档Web访访问工作作原理Web访访问工作作原理浏览器结结构

3、与远地服务器通通信输出至显显示器从鼠标和和键盘输输入网络络接接口口可选客户户程序HTML解释程序序可选解释释程序控 制程程序序驱动程序HTTP客户程序序缓 存9服务器端端技术实实现原理理Web浏览器Web服务器HTTP请求HTTP响应本地磁盘盘获取请求求页1.检查网页页是否是是动态网网页2.如果是则则运行其其中的服服务器端端程序3.生成静态态网页发发送到客客户端10网站成为为网络攻攻击的焦焦点操作系统统的复杂杂性已公布超超过1万万多个系系统漏洞洞Web服务器的的漏洞网站应用用漏洞网站配置置的问题题网站系统统设计缺缺乏安全全性架构构的支持持网页的安安全性设设计不够够注入式攻攻击多个应用用系统不不

4、同的开开发者，组织的的缺陷 10Web攻击事件件-篡改网页页 11Web攻击事件件-篡改数据据12Web攻击事件件-跨站攻击击13Web攻击事件件-注入式攻攻击14Web攻击事件件-非法上传传15http:/a.txt常见Web攻击类型型威胁手段后果注入式攻击通过构造SQL语句对数据库进行非法查询黑客可以访问后端数据库，偷窃和修改数据跨站脚本攻击通过受害网站在客户端显不正当的内容和执行非法命令黑客可以对受害者客户端进行控制，盗窃用户信息上传假冒文件绕过管理员的限制上传任意类型的文件黑客可以篡改网页、图片和下载文件等不安全本地存储偷窃cookie和session token信息黑客获取用户关键资

5、料，冒充用户身份非法执行脚本执行系统默认的脚本或自行上传的WebShell脚本等黑客完全控制服务器非法执行系统命令利用Web服务器漏洞上执行Shell命令Execute等黑客获得服务器信息源代码泄漏利用Web服务器漏洞或应用漏洞获得脚本源代码黑客分析源代码从而更有针对性的对网站攻击URL访问限制失效黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网页16 攻击手段段示例之之一Unicode漏洞漏洞选介介Unicode漏洞微软的IIS在Unicode字符解码码的实现现中存在在一个安安全漏洞洞，导致致用户可可以远程程通过IIS执行任意意命令可以复制制、删除除、列目目录、系系统配置置等

6、任何人利利用普通通浏览器器即可发发起攻击击存在于Windows NT/2000(IIS4.0/5.0)中2001年初发发现，2001年8月月修复 18漏洞原理理IIS对特殊字字符URL请求的解解码错误误%c1%1c-(0 xc1- 0 xc0) *0 x40+ 0 x1c=0 x5c =/%c0%2f-(0 xc0-0 xc0)* 0 x40+0 x2f =0 x2f= 构造含有有特殊字字符的URL请求绕过IIS的路径检检查可以执行行或打开开任意文文件 19测试方法法测试URLhttp:/badou/scripts/.%u00255c./winnt/system32/cmd.exe?/c+di

7、r+d:badou是任意一一台（未未打补丁丁的）Windows 2000主机的IIS服务器返回结果果目标主机机D盘下的文文件目录录 20利用漏洞洞列目录录 21利用漏洞洞进行攻攻击22注入式攻攻击注入式攻攻击全称为“SQL注入式攻攻击”攻击者利利用网站站动态网网页程序序设计上上的漏洞洞，在目目标的Web服务器上上运行SQL命令绕过登录录身份检检查、获获得系统统管理员员密码、非法获获取数据据、非法法篡改数数据、生生成非法法文件、非法执执行命令令等24漏洞原理理攻击者在在表单输输入或者者URL请求中发发送SQL语句片断断，期望望通过Web应用脚本本合成为为带有攻攻击目的的的SQL语句应用脚本本：A

8、SP、JSP、PHP数据库：一切支支持SQL的数据库库系统 SQL注入机理理分析数据库应用程序服务器客户端（浏览器）请求 响应 查询 结果集 SQL注入机理理分析（续）/构建SQL查询语句句=“SELECT nameFROMtbUserInfo WHERE id=(用户输入入的数据据)”用户名：wcor1=1 -密码：xxxxSELECT name FROM tbUserInfo WHERE id= wc or 1=1 - SQL注入攻击击的一般般过程探测注入点确定数据库类型和版本猜解数据库结构确定当前用户权限提取信息息篡改数据据发起高级攻击使用特定存储过程遍历目录录结构修改注册册码 SQL注

9、入攻击击的特点点SQL注入漏洞洞是一个个入口，攻击者者通过它它可以发发动更高高级的攻攻击，例例如控制制目标系系统。隐蔽性后果严重性使用黑客客工具NBSIHDSIDomainX-ScanPangolin30攻击手段段示例之之三跨站攻击击防跨站攻攻击示例例应用系统统未对浏浏览器输输入的参参数进行行检查和和处理，直接返返回给用用户的浏浏览器。B请输入转转账金额额：B转账成功功！B银行破产产！Xxxs blog:宣布破产请点击官官方链接10000确定1.正常常业务2.跨站攻击击跨站攻击击还能做做什么在客户端端执行脚脚本JavaScriptVBScript偷取和仿仿冒用户户身份和和信息cookieses

10、sion向其他站站点提交交信息跳转到其其他站点点 33对策配置和管管理配置网络络和主机机编写安全全的应用用程序安全扫描描模拟渗透透工具代码复查查工具安全防护护网页完整整性检查查应用防火火墙 34对策一配置和管管理应用程序序安全设设计原则则权限区域域划分使用最少少的特权权应用深入入的防御御手段不要信任任用户的的输入在网关处处进行检检查出现故障障时的安安全性保证最脆脆弱的链链接的安安全创建安全全的默认认值减小受攻攻击的范范围 36应用程序序安全关关注点“如何安安全地处处理异常常？”“如何保保证开发发人员工工作站的的安全性性？”“如何编编写具有有最低权权限的代代码？”“如何限限制文件件I/O？”“如

11、何防防止SQL注入？”“如何防防止跨站站点脚本本编写？”“如何管管理机密密？”“如何安安全调用用非托管管代码？”“如何执执行托管管代码的的安全复复查？”“如何执执行安全全的输入入验证？”“如何保保证窗体体身份验验证的安安全性？” 37防范注入入式攻击击检查用户户输入关键字过过滤强数据类类型服务器端端检查最小权限限原则使用存储储过程使用parameters对象控制错误误信息回回显 38防范跨站站攻击检查用户户输入alert(xss)检查请求求头中的的referer 39对策二安全扫描描应用安全全扫描测试方法法黑盒测试试（渗透透和黑客客工具）白盒测试试（代码码和开发发生命周周期）产品AppScan

12、 (IBM)WebInspect (HP)N-Stalker(N-Stalker)Acunetix(Acunetix)MatriXay(亚龙安恒恒,dbappsecurity)WebRavor(安域领创创,SecDomain) 41对策三安全防护护应用安全全防护网页防篡篡改系统统保护网页页和脚本本的完整整性安全容忍忍类产品品iGuard应用防火火墙防止针对对主机和和应用程程序的威威胁安全防护护类产品品华诚ImpervaiWall 43网页防篡篡改系统统设计思思路网站工作作的流程程Web服务器收收听请求求解析url查找url对应的网网页文件件对于静态态网页文文件,发送给客客户端;对于动态态网页文

13、文件,服务器端端执行脚脚本,生成页面面文件发发送给客客户端.网页防篡篡改系统统设计思思路网站备份份恢复结结构设计计网站文件件备份网站文件件在处理理前先做做完整性性校验通过Hook函数修改改web服务器（IIS），扩展展完整性性校验功功能校验不通通过，则则从备份份系统中中恢复造造篡改的的文件为加速完完整性校校验，采采用数字字摘要技技术预先生成成原始文文件的摘摘要（数数字水印印）实时比对对网页防篡篡改系统统设计思思路网站备份份恢复结结构处理理流程Web服务器收收听请求求解析url查找url对应的网网页文件件读取网页页文件后后，做完完整性校校验校验不通通过，则则从备份份中恢复复对于静态态网页文文件,

14、发送给客客户端;对于动态态网页文文件,服务器端端执行脚脚本,生成页面面文件发发送给客客户端.Web核心内嵌嵌模块 47硬件平台台（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系统统（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服务器软软件(IIS/Apache/Weblogic/Websphere)安全核心心内嵌模模块requestresponse应用防护护技术数字水印印技术Web服务器防篡改技技术 48发布服务务器Web服务器FTP/rsync一般发布布过程篡改检测测模块自动发布布子系统监控和恢恢复子系统+篡改检测测子

15、系统SSL1.上传传正常网网页=X水印库2.浏览正常常网页3.篡改网页页4.浏览篡改改网页5.自动恢复复文件系统统工作过程程发布过程程发布内嵌嵌模块检检测到文文件创建建/变化化为文件产产生加密密和不可可逆转数数字水印印通过加密密通道传传送到Web服务器检测过程程公众发出出请求浏浏览网页页应用防护护子系统统检查请请求的合合法性页面保护护子系统统检查数数字水印印完整性性其它网页页篡改防防护的技技术路线线外挂轮询询制作网站站备份定期抓取取网页与与相应的的备份网网页比对对特点:可以是后后台或前前台无法做到到实时恢恢复其它网页页篡改防防护的技技术路线线文件保护护（事件件触发）改造操作作系统文文件管理理功

16、能，监控和和阻断文文件写操操作只有特权权帐户才才能作写写操作Web服务器帐帐户权限限只有读读取权限限特点:权限管理理过于严严格限制了web服务器功功能，不不能适应应Web2.0技术的要要求网页防篡篡改技术术比较 外挂轮询核心内嵌事件触发访问篡改网页可能不可能可能 动态网页防护不支持支持不支持服务器负载中低极低 带宽占用中无无 检测时间分钟级实时毫秒绕过检测机制 不可能不可能可能防范连续篡改不能 支持 不支持断线时检测不能能不能 适用操作系统所有所有受限 Web服务器内内置的其其它防护护功能同完整性性校验功功能的实实现类似似，web服务器在在结构上上可以扩扩展其它它防护模模块SQL参数的校校验处

17、理理用户提交交数据中中恶意脚脚本的检检查过滤滤上述处理理功能也也可以在在防火墙墙平台上上实现不适用于于HTTPS模式防注入攻攻击 SELECT*FROM userWHEREname=hackor1=1SELECT*FROM userWHEREname=zhangsanXOWeb服务器软软件应用防护护模块输入用户户名：zhangsan输入用户户名：hackor1=1or1.正常常访问2.注入攻击击防跨站攻攻击示例例 55B请输入转转账金额额：B转账成功功！B银行破产产！Xxxs blog:宣布破产请点击官官方链接10000确定?X1.正常常业务2.跨站攻击击3.应用防护护应用防火火墙实现现方式比

18、比较项目软件实现方式硬件实现方式部署点Web服务器网关网络配置无须改变须改变访问性能影响小，无瓶颈效应影响大，有瓶颈效应单点失效不可能可能升级方便可以细粒度配置方便可以成本一般较高56 关键脚本本的安全全性设计计对于处理理用户输输入数据据的网站站脚本文文件，考考虑安全全性设计计Web脚本软件件的输入入验证：过滤跨跨站攻击击脚本、SQL注入攻击击等恶意意访问对于CC攻击类型型恶意访访问，增增加辨识识和拒绝绝功能两种方案案的比较较两种输入入验证方方案脚本安全全性设计计web服务器内内嵌模块块脚本安全全性设计计悟道系统功能能与结构构的关系系同样的功功能需求求，包括括安全功功能需求求，可以以选择不不同的技技术路线线，采用用不同的的结构，使用不不同的部部署模式式复杂的安安全功能能必然需需要一种种组合的的结构Web应用安全全防护体体系传统网络络安全设设备防火墙限制地址址和端口口访问验证和加加固网络络协议入侵检测测基于网络络层的数数据包检检查问题Web/80端口谁来来保护？应用数据据谁来保保护？如何保证证公众浏浏览到的的信息是原始的的？Web漏洞SQL数据库注注入漏洞洞脚本