《WEB安全防护资料课件.ppt》由会员分享,可在线阅读,更多相关《WEB安全防护资料课件.ppt(81页珍藏版)》请在三一办公上搜索。
1、课程要点,什么是Web安全风险为什么会存在Web安全风险为什么会面对Web安全风险如何防护Web安全,网站篡改,某银行网站篡改,敏感数据泄密泄密,企业敏感信息泄密,企业敏感信息泄密,湖北车管所黑客入侵事件,曾经受聘为省公安厅交警总队开发软件,利用“超级管理员”的身份,用超级密码进入公安厅车管系统,办起了“地下车管所”,先后为126辆高档小轿车办理假证号牌,非法获利1500余万元。,“广告联盟”放置“黑链”,钓鱼网站,真正的中国工商银行网站,假冒的中国工商银行网站,CSDN泄密门,奥运网站订票瘫痪,月日,北京奥运会门票面向境内公众第二阶段预售正式启动。上午一开始,公众提交申请空前踊跃。上午时至时
2、,官方票务网站的浏览量达到了万次,票务呼叫中心热线从时至时的呼入量超过了万人次。由于瞬间访问数量过大,技术系统应对不畅,造成很多申购者无法及时提交申请。,百度被黑,百度被黑,背景:5小时无法提供任何互联网服务漏洞:DNS服务器被劫持影响:国内最大互联网企业也在劫难逃!,铁路订票网站,苹果手机预订,网站瘫痪思考,安全,在信息系统规划设计中就应该考虑!,Web安全风险定义,政府网站安全防护薄弱,据国家互联网应急中心监测,2011年中国大陆有近3.5万个网站被黑客篡改,数量较2010年下降21.5%,但其中被篡改的政府网站高达4635个,比2010年上升67.6%。中央和省部级政府网站安全状况明显优
3、于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。,2011年第52周我国大陆被篡改网站数量,被挂马政府网站,金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标,网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易,窃取用户账号密码、造成用户经济损失。2010年,国家互联网应急中心共接收网络钓鱼事件举报1597件,较2009年增长33.1%;“中国反
4、钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%。,网络安全事件的跨境化特点日益突出,2010年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。,木马或僵尸程序受控主机,惩处黑客有法可依,
5、2009年2月28日十一届全国人大常委会第七次会议表决通过刑法修正案(七),此前,刑法第285条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役鉴于上述情况,刑法修正案(七)在刑法第285条中增加两款作为第二款、第三款,刑法,惩处黑客有法可依,“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”“提供专门用于侵入、非法控制计
6、算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”,刑法-解读,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知,为了贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号),加强基础信息网络和重要信息系统安全保障,按照国家电子政务工程建设项目管理暂行办法(国家发展和改革委员会令2007第55号)的有关规定,加强和规范国家电子政务工程建设项目信息安全风险评估工作,通知-解读,四、涉密信息系统的信息安全风险评估应按照涉及国家秘密的信息系统分级保护管理办法、涉及国家秘密的信息
7、系统审批管理规定、涉及国家秘密的信息系统分级保护测评指南等国家有关保密规定和标准,进行系统测评并履行审批手续。五、非涉密信息系统的信息安全风险评估应按照信息安全等级保护管理办法、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南和信息安全风险评估规范等有关要求,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制,风险评估报告参考国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式,为什么会发生Web安全风险?,C/S模式和B/S模式对比,客户端/服务器模式(C/S),专用端口
8、专用协议,专用端口专用协议,浏览器/服务器模式(B/S),统一端口通用协议,统一端口通用协议,典型网络攻击示例,黑客发现某web应用程序登陆界面,单击login尝试登陆,系统提示需要输入有效用户名,典型网络攻击示例,黑客尝试猜测有效用户名,系统提示需要输入正确口令,典型网络攻击示例,黑客采用单引号作为口令尝试登陆,后台数据库报错,通过分析可知数据库查询命令为:SQL查询=SELECT Username FROM Users WHERE Username=donald AND Password=,典型网络攻击示例,系统反馈不存在名为dan的用户,标明后台查询语句为SQL查询=“SELECT Us
9、ername FROM Users WHERE Username=dan 后面所有的字符被作为注释对待 口令有效性验证被旁路,黑客尝试使用dan作为用户名登陆,典型网络攻击示例,黑客尝试使用admin作为用户名登陆 即猜测存在名为admin的管理员用户,成功登陆系统,黑客可以随意读取邮件、下载文件等操作。,典型案例,某政府单位网站后台,Web应用验证缺失,WEB面临的安全威胁TOP10,2011年上半年CNCERT/CC处理事件类型,51CTO的WEB威胁调查,Sql注入及其危害,所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶
10、意的SQL命令。通过递交参数构造巧妙的SQL语句,从而成功获取想要的数据。分为字符型注入和数字型的注入,由于编程语言不同,所存在的注入类型也不同。危害:-非法查询其他数据库资源,如管理员帐号。-执行系统命令-获取服务器root权限,SQL注入-原理,Test.asp文件代码片段:sqlStr=“select*from n_user where username=”&username&”and password=“&password&”rs=conn.execute(sqlStr)正常的查询:test.asp?username=test&password=123sqlStr=“select*fr
11、om n_user where username=test and password=123“使password=123 or 1=1:Sql语句到数据库后:sqlStr=“select*from n_user where username=test and password=123 or 1=1“Or 1=1始终成立。,SQL注入-Asp表现,存在数字型和字符型注入。ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select*from 表名 where 字段=49注入的参数为ID=49 And 查询条件,即是生成语句:Select*from 表名 where 字段=49 And
12、 查询条件Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:Select*from 表名 where 字段=连续剧 注入的参数为Class=连续剧 and 查询条件 and=,即是生成语句:Select*from 表名 where 字段=连续剧 and 查询条件 and=(C)搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:Select*from 表名 where 字段like%关键字%注入的参数为keyword=and 查询条件 and%25=,即是生成语句:Select*from 表名 where字段like 关键字 and 查询条件 and%=%
13、,SQL注入-Php中的表现,Php的魔术引号(magic_quotes_gpc)。php.ini-dist 默认是开启此功能。如果安装php时使用此文件,将不会产生字符型注入,主要是数字型注入。数字型注入:http:/localhost/www/admin/login.php?username=char(114,111,115,101)%23 查询语句变为:select*fromexamplewhereusername=char(114,111,115,101)#andpassword=,SQL注入-Jsp 表现,由于java语言是强类型语言,所有变量定义前必须声明其类型,因而仅存在字符型的
14、注入。字符型注入实例:String sql=select*from tb_name where name=+varname+and passwd=+varpasswd+;stmt=conn.prepareStatement(sql);构造参数varpasswd值为:or 1=1 Sql语句经过解析后将是:select*from tb_name=随意 and passwd=or 1=1;,SQL注入-A表现,开发语言常用的有:和C#,都属于强类型语言,因而只存在字符型注入。注入原理,与asp的字符型注入一样。,SQL注入-工具演示,跨站脚本-介绍,跨站脚本攻击(通常简写为XSS)是指攻者利用网站
15、程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。危害:盗取用户cookieXss蠕虫挂马,结合xss蠕虫,危害巨大。,WEB木马病毒-利用漏洞类型,浏览器本身缺陷,第三方ActiveX控件漏洞,文件格式漏洞,WEB木马病毒-盗号木马和网页木马,盗号木马 在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的专用木马。QQ盗号木马:数十款,流行网游:均发现相应的盗号木马 免杀机制:继承可执行程序加壳/变形等技术方法网页木马 本质上并非木马,而是Web方式的渗透攻击代码 一般以Java
16、Script,VBScript等脚本语言实现 免杀机制 通过大小写变换、十六进制编码、unicode编码、base64编码、escape编码等方法对网页木马进行编码混淆 通过通用(screnc等)或定制的加密工具(xxtea等)对网页木马进行加密 修改网页木马文件掩码、混淆文件结构、分割至多个文件等,WEB木马病毒-典型网页木马MS06-014网马,MS06-014安全漏洞机理 MDAC中的RDS.Dataspace ActiveX控件远程代码执行漏洞,没有对通过该控件在宿主上的交互行为进行有效控制 MS06-014网马程序,WEB木马病毒-ARP欺骗木马,ARP欺骗挂马:危害度更高的挂马网络
17、构建策略并不需要真正攻陷目标网站:知名网站通常防护严密ARP欺骗:对同一以太网网段中,通过ARP欺骗方法进行中间人攻击,可劫持指定网络流量并进行任意修改 ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向链接代码,从 而使得目标网站被“虚拟”挂马服务器端ARP欺骗挂马 在目标网站同一以太网中获得访问入口 进行ARP欺骗挂马 目标网站虽未被攻陷,但所有网站访问者遭受网页木马的威胁 案例:07年10月份Nod32中国官方网站,C.I.S.R.T网站等,挂马服务器架构,WEB木马病毒-网站挂马的的实现过程,分布式拒绝攻击(DDOS)-介绍,分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的
18、方法,但是发起攻击的源是多个。通常,攻击者使用下载的工具渗透无保护的主机,当获得该主机的适当的访问权限后,攻击者在主机中安装软件的服务或进程(以下简称代理)。这些代理保持睡眠状态,直到从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝服务攻击。分布式拒绝服务攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响,而分布于全球的几千个攻击将会产生致命的效果。,分布式拒绝攻击-攻击步骤一,ScanningProgram,不安全的计算机,Hacker,Internet,分布式拒绝攻击-攻击步骤二,Hacker,被控制的计算机(代理端),黑
19、客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。,2,Internet,分布式拒绝攻击-攻击步骤三,Hacker,黑客在得到入侵计算机清单后,从中选出满足建立网络所需要的主机,放置已编译好的守护程序,并对被控制的计算机发送命令。,3,被控制计算机(代理端),MasterServer,Internet,分布式拒绝攻击-攻击步骤四,Hacker,Using Client program,黑客发送控制命令给主机,准备启动对目标系统的攻击,4,被控制计算机(代理端),TargetedSystem,MasterServer,Internet,分布
20、式拒绝攻击-攻击步骤五,Internet,Hacker,主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,MasterServer,Targeted System,被控制计算机(代理端),分布式拒绝攻击-攻击步骤六,TargetedSystem,Hacker,目标系统被无数的伪造的请求所淹没,从而无法对合法用户进行响应,DDOS攻击成功。,6,MasterServer,User,Internet,被控制计算机(代理端),信息泄露-管理员的疏忽,当我们输入inurl:“ViewerFrame?Mode=”后,信息泄露-来自搜索引擎,如何有效对Web防护,Web业务类型防护,政务公开,网
21、上办事,政民互动,业务类型,网页篡改,敏感信息泄密,业务中断,威胁类型,非法入侵,代码加固,网页防篡改,WAF,身份鉴别访问控制,防护类型,Web安全视图,Internet,Web Server,ApplicationServer,Databases,BackendServer/System,企业数据中心,从运维管理者而言,检测与发现-事前预警 防护与阻击-事中防护安全监控与安全恢复-事后恢复、监控,典型安全产品,Web安全扫描器,十大Web安全扫描器NiktoParos proxyWebScarabWebInspectWhisker/Libwhisker,BurpsuiteWiktoAcun
22、etix Web Velnerability ScannerWatchfire AppscanN-Stealth,网页防篡改,Web应用防火墙,应用代码安全才是真正的Web安全!,Asp注入的预防,对于用户端输入的任意字符,包括GET提交,POST提交,Cookie提交,SERVER提交的都需要做严格过滤。对于数字型参数判断是否为数字:可用函数isNumeric来判断,返回值为true和false。对于字符型参数过滤单引号,使其无法闭合当前sql语句的单引号。例外:base64编码Sql通用防注入,Php注入的预防(一),确认GPC开启,若没开启则用addslashes 函数过滤之,如下代码。
23、if(!get_magic_quotes_gpc()$lastname=addslashes($_POSTlastname);else$lastname=$_POSTlastname;对于数字型参数可使用intval 或floatval 强制转换为数字型。注意mysql的版本以及默认字符集,Mysql4.1字符集连接字符串:mysql_query(SET character_set_connection=$dbcharset,character_set_results=$dbcharset,character_set_client=binary;),Php注入的预防(二),Php5以上版本My
24、sqli扩展预防,参数化查询$city=Amersfoort;/*create a prepared statement*/$stmt=$mysqli-prepare(SELECT District FROM City WHERE Name=?)$stmt-bind_param(s,$city);$stmt-execute();$stmt-bind_result($district);$stmt-fetch();printf(%s is in district%sn,$city,$district);$stmt-close();,Jsp预防,采用jdbc的prepareStatement查询数
25、据库,并且sql语句中不出现参数,如:sqlStr=“select id from info where city=?and open=?order by id desc”;stmt=conn.prepareStatement(sqlStr);stmt.setString(1,city);stmt.setString(2,var1);,跨站脚本的防范,对用户输入数据编码:Asp:server.htmlencode函数Php:htmlspecialchars函数:HttpContext.Current.Server.HtmlEncodejsp:默认没有提供过滤方法,需要自写方法。过滤危险的htm
26、l关键字符:比如:script/iframe等。,拒绝服务攻击防御,路由器和防火墙配置得当,可以减少受DoS攻击的危险比如,禁止IP欺骗可以避免许多DoS攻击入侵检测系统,检测异常行为,并和防火墙联动阻挡攻击可以选用一些专门防止DDOS攻击的产品升级系统内核,打上必要的补丁,特别是一些简单的DoS攻击,例如SYN Flooding关掉不必要的服务和网络组件如果有配额功能的话,正确地设置这些配额监视系统的运行,避免降低到基线以下检测系统配置信息的变化情况保证物理安全建立备份和恢复机制,信息暴露的防范,使用防火墙和IDS可以有效阻断黑客的扫描关闭不必要的端口和服务如删除windows的默认ipc$共享修改软件的banner信息不使软件的版本等信息泄漏删除服务软件的帮助信息等默认配置文件如IIS和apache默认配置文件关掉系统的ping功能使系统不被发现设置网络设备的访问控制列表不要将网络拓扑等敏感信息放到容易得到的地方不要告诉陌生人任何敏感信息使用加密的传输通道,整体的WEB安全解决方案,安全管理,安全服务,统一运行监控,集中风险管理,安全运行监控,安全人员管理,评估加固,代码审计,应急响应,安全值守,
