WEB安全防护资料课件.ppt

1、课程要点 什么是Web安全风险 为什么会存在Web安全风险 为什么会面对Web安全风险 如何防护Web安全网站篡改某银行网站篡改敏感数据泄密泄密企业敏感信息泄密企业敏感信息泄密湖北车管所黑客入侵事件 曾经受聘为省公安厅交警总队开发软件，利用“超级管理员”的身份，用超级密码进入公安厅车管系统，办起了“地下车管所”，先后为126辆高档小轿车办理假证号牌，非法获利1500余万元。“广告联盟”放置“黑链”钓鱼网站真正的中国工商银行网站假冒的中国工商银行网站CSDN泄密门奥运网站订票瘫痪月日，北京奥运会门票面向境内公众第二阶段预售正式启动。上午一开始，公众提交申请空前踊跃。上午时至时，官方票务网站的浏览

2、量达到了万次，票务呼叫中心热线从时至时的呼入量超过了万人次。由于瞬间访问数量过大，技术系统应对不畅，造成很多申购者无法及时提交申请。百度被黑百度被黑 背景：5小时无法提供任何互联网服务 漏洞：DNS服务器被劫持 影响：国内最大互联网企业也在劫难逃！铁路订票网站苹果手机预订网站瘫痪思考安全，在信息系统规划设计中就应该考虑！Web安全风险定义 网页篡改、SQL注入、跨站脚本Web攻击风险 敏感数据泄密Web泄密风险 DDOS攻击Web可用性风险政府网站安全防护薄弱据国家互联网应急中心监测,2011年中国大陆有近3.5万个网站被黑客篡改,数量较2010年下降21.5%,但其中被篡改的政府网站高达46

3、35个,比2010年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。2011年第52周我国大陆被篡改网站数量被挂马政府网站金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标网络违法犯罪行为的趋利化特征明显,大型电子商务、金融机构、第三方在线支付网站成为网络钓鱼的主要对象,黑客仿冒上述网站或伪造购物网站诱使用户登陆和交易,窃取用户账号密码、造成用户经济损失。2010年,国家互联网应急中心共接收网

4、络钓鱼事件举报1597件,较2009年增长33.1%;“中国反钓鱼网站联盟”处理钓鱼网站事件20570起,较2009年增长140%。网络安全事件的跨境化特点日益突出2010年,国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以

5、上在境外注册。木马或僵尸程序受控主机惩处黑客有法可依2009年2月28日十一届全国人大常委会第七次会议表决通过刑法修正案（七），此前，刑法第285条规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役鉴于上述情况，刑法修正案（七）在刑法第285条中增加两款作为第二款、第三款 刑法惩处黑客有法可依“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期

6、徒刑，并处罚金。” “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”刑法-解读关于加强国家电子政务工程建设项目信息安全风险评估工作的通知为了贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号），加强基础信息网络和重要信息系统安全保障，按照国家电子政务工程建设项目管理暂行办法（国家发展和改革委员会令2007第55号）的有关规定，加强和规范国家电子政务工程建设项目信息安全风险评估工作通知-解读 四、涉密信息系统的信息安全风险评估应按照涉及国家秘密的信

7、息系统分级保护管理办法、涉及国家秘密的信息系统审批管理规定、涉及国家秘密的信息系统分级保护测评指南等国家有关保密规定和标准，进行系统测评并履行审批手续。 五、非涉密信息系统的信息安全风险评估应按照信息安全等级保护管理办法、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求、信息系统安全等级保护实施指南和信息安全风险评估规范等有关要求，可委托同一专业测评机构完成等级测评和风险评估工作，并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制，风险评估报告参考国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式为什么为什么会发生会发生WEB安全风险安全风险？C/S

8、模式和B/S模式对比客户端/服务器模式（C/S)专用端口专用协议专用端口专用协议浏览器/服务器模式（B/S)统一端口通用协议统一端口通用协议典型网络攻击示例 黑客发现某web应用程序登陆界面，单击login尝试登陆系统提示需要输入有效用户名典型网络攻击示例 黑客尝试猜测有效用户名系统提示需要输入正确口令典型网络攻击示例 黑客采用单引号作为口令尝试登陆后台数据库报错，通过分析可知数据库查询命令为：SQL查询 = SELECT Username FROM Users WHERE Username = donald AND Password = 典型网络攻击示例 系统反馈不存在名为dan的用户，标明

9、后台查询语句为SQL查询 = “SELECT Username FROM Users WHERE Username = dan 后面所有的字符被作为注释对待 口令有效性验证被旁路黑客尝试使用dan作为用户名登陆 典型网络攻击示例 黑客尝试使用admin作为用户名登陆 即猜测存在名为admin的管理员用户成功登陆系统，黑客可以随意读取邮件、下载文件等操作。典型案例某政府单位网站后台Web应用验证缺失Web安全身份验证浏览器端验证缺失服务器端域名欺骗安全协议不够完善序号序号内容内容说明说明1跨站脚本漏洞Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击者可获取使用者的Cookie或S

10、ession信息而直接以使用者身份登陆2注入类问题Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做过滤，SQL 注入, 命令注入等攻击包括在内3任意文件执行Web应用程序引入来自外部的恶意文件并执行4不安全的对象直接引用攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重要资料5跨站请求截断攻击已登入Web应用程序的合法使用者执行恶意的HTTP指令，但Web应用程式却当成合法需求处理，使得恶意指令被正常执行6信息泄露Web应用程序的执行错误信息中包含敏感资料，可能包括系统文件路径，内部IP地址等7用户验证和Session管理缺陷Web应用程序中自行撰写的身份验证相关

11、功能有缺陷8不安全的加密存储Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将密钥储存于容易被获取之处9不安全的通信Web应用经常在需要传输敏感信息时没有使用加密协议10没有对URL路径进行限制某些网页因为没有权限控制，使得攻击者可透过网址直接存取WEB面临的安全威胁TOP102011年上半年CNCERT/CC处理事件类型51CTO的WEB威胁调查Sql注入及其危害 所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过递交参数构造巧妙的SQL语句，从而成功获取想要的数据。 分为字符型注入和数字型的注

12、入，由于编程语言不同，所存在的注入类型也不同。 危害：-非法查询其他数据库资源，如管理员帐号。-执行系统命令-获取服务器root权限SQL注入-原理Test.asp文件代码片段：sqlStr = “select * from n_user where username=”&username&” and password=“&password&”rs = conn.execute(sqlStr)正常的查询：test.asp?username=test&password=123sqlStr = “select * from n_user where username=test and passwo

13、rd=123“使password=123 or 1=1：Sql语句到数据库后：sqlStr = “select * from n_user where username=test and password=123 or 1=1“Or 1=1始终成立。SQL注入-Asp表现存在数字型和字符型注入。(A)ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：Select * from 表名 where 字段=49注入的参数为ID=49 And 查询条件，即是生成语句：Select * from 表名 where 字段=49 And 查询条件(B)Class=连续剧 这类注入的参数是字符型，S

14、QL语句原貌大致概如下：Select * from 表名 where 字段=连续剧 注入的参数为Class=连续剧 and 查询条件 and = ，即是生成语句：Select * from 表名 where 字段=连续剧 and 查询条件 and =(C) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：Select * from 表名 where 字段like %关键字% 注入的参数为keyword= and 查询条件 and %25=， 即是生成语句：Select * from 表名 where字段like 关键字 and 查询条件 and %=%SQL注入-Php中

15、的表现 Php的魔术引号(magic_quotes_gpc ) 。 php.ini-dist 默认是开启此功能。如果安装php时使用此文件，将不会产生字符型注入，主要是数字型注入。 数字型注入： http:/localhost/www/admin/login.php?username=char(114,111,115,101)%23 查询语句变为：select * from example where username=char(114,111,115,101)# and password= SQL注入-Jsp 表现 由于java语言是强类型语言，所有变量定义前必须声明其类型，因而仅存在字符型

16、的注入。 字符型注入实例：String sql = select * from tb_name where name= +varname+ and passwd=+varpasswd+;stmt = conn.prepareStatement(sql);构造参数varpasswd值为： or 1 = 1 Sql语句经过解析后将是：select * from tb_name = 随意 and passwd = or 1 = 1; SQL注入-A表现 开发语言常用的有：和C#,都属于强类型语言，因而只存在字符型注入。 注入原理，与asp的字符型注入一样。SQL注入-工具演示跨站脚本-介绍 跨站脚本

17、攻击(通常简写为XSS)是指攻者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 危害：盗取用户cookieXss蠕虫挂马，结合xss蠕虫，危害巨大。WEB木马病毒-利用漏洞类型浏览器本身缺陷第三方ActiveX控件漏洞文件格式漏洞WEB木马病毒-盗号木马和网页木马n盗号木马l 在传统的远程控制木马基础上发展出的以窃取敏感信息为目标的专用木马。l QQ盗号木马:数十款，流行网游:均发现相应的盗号木马l 免杀机制：继承可执行程序加壳/变形等技术方法n网页木马l 本质上并非木马，

18、而是Web方式的渗透攻击代码l 一般以JavaScript, VBScript等脚本语言实现l 免杀机制l 通过大小写变换、十六进制编码、unicode编码、base64编码、escape编码等方法对网页木马进行编码混淆l 通过通用（screnc等）或定制的加密工具（xxtea等）对网页木马进行加密l 修改网页木马文件掩码、混淆文件结构、分割至多个文件等WEB木马病毒-典型网页木马MS06-014网马nMS06-014安全漏洞机理 MDAC中的RDS.Dataspace ActiveX控件远程代码执行漏洞，没有对通过该控件在宿主上的交互行为进行有效控制n MS06-014网马程序WEB木马病毒

19、- ARP欺骗木马nARP欺骗挂马:危害度更高的挂马网络构建策略并不需要真正攻陷目标网站：知名网站通常防护严密ARP欺骗：对同一以太网网段中，通过ARP欺骗方法进行中间人攻击， 可劫持指定网络流量并进行任意修改 ARP欺骗挂马:在Web请求反馈页面中插入iframe等重定向链接代码，从 而使得目标网站被“虚拟”挂马n服务器端ARP欺骗挂马 在目标网站同一以太网中获得访问入口 进行ARP欺骗挂马 目标网站虽未被攻陷，但所有网站访问者遭受网页木马的威胁 案例：07年10月份Nod32中国官方网站, C.I.S.R.T网站等挂马服务器架构WEB木马病毒-网站挂马的的实现过程分布式拒绝攻击(DDOS)

20、-介绍 分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常，攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令。主控端命令代理对指定的目标发起拒绝服务攻击。 分布式拒绝服务攻击是指主控端理由僵尸机器同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的效果。 分布式拒绝攻击-攻击步骤一ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻

21、找潜在入侵目标。1Internet分布式拒绝攻击-攻击步骤二Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝攻击-攻击步骤三Hacker 黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。 3被控制计算机（代理端）MasterServerInternet分布式拒绝攻击-攻击步骤四Hacker Using Client program, 黑客发送控制命令给主机，准备启动对目标系统的攻击4被控制计算机（代理端）T

22、argetedSystemMasterServerInternet分布式拒绝攻击-攻击步骤五InternetHacker 主机发送攻击信号给被控制计算机开始对目标系统发起攻击。5MasterServerTargeted System被控制计算机（代理端）分布式拒绝攻击-攻击步骤六TargetedSystemHacker 目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。6MasterServerUserRequest DeniedInternet被控制计算机（代理端）信息泄露-管理员的疏忽u 当我们输入inurl:“ViewerFrame?Mode=” 后 信息泄

23、露-来自搜索引擎如何有效对如何有效对WEB防护防护Web业务类型防护政务公开网上办事政民互动业务类型网页篡改敏感信息泄密业务中断威胁类型非法入侵代码加固网页防篡改WAF身份鉴别访问控制防护类型Web安全视图InternetWeb ServerApplicationServerDatabasesBackendServer/SystemPort ScanningDoSAnti-spoofingWeb Serverknowvulner-abilitiesPattern-BasedAttacks SQL Injection Cross Site Scripting Parameter Tamperin

24、gCookie PoisoningFirewall网络端口访问控制UDP/TCP状态感知1IDS/IPSIDS/IPS 基于规则的异常检测 入侵防护 已知漏洞管理2Web ApplicationFirewallWAF HTTP/S应用保护 会话管理（Cookie安全） 内容控制 数据泄露管理3企业数据中心企业数据中心从运维管理者而言检测与发现-事前预警 防护与阻击-事中防护安全监控与安全恢复-事后恢复、监控典型安全产品保障方向保障方向产品名称产品名称检测检测WEB扫描器Web安全审计系统（WAS）防护防护WEB应用防火墙（WAF）网页防篡改安全监控与恢复安全监控与恢复WEB应用防护系统（HWA

25、F）Web安全扫描器十大Web安全扫描器NiktoParos proxyWebScarabWebInspectWhisker/LibwhiskerBurpsuiteWiktoAcunetix Web Velnerability ScannerWatchfire AppscanN-Stealth网页防篡改Web应用防火墙应用代码安全才是真正的应用代码安全才是真正的WEB安安全！全！Asp注入的预防 对于用户端输入的任意字符，包括GET提交，POST提交，Cookie提交，SERVER提交的都需要做严格过滤。 对于数字型参数判断是否为数字：可用函数isNumeric来判断，返回值为true和fal

26、se。 对于字符型参数过滤单引号，使其无法闭合当前sql语句的单引号。 例外：base64编码 Sql通用防注入Php注入的预防(一) 确认GPC开启，若没开启则用addslashes 函数过滤之，如下代码。if (!get_magic_quotes_gpc() $lastname = addslashes($_POSTlastname); else $lastname = $_POSTlastname; 对于数字型参数可使用intval 或floatval 强制转换为数字型。 注意mysql的版本以及默认字符集，Mysql4.1字符集连接字符串:mysql_query(SET charact

27、er_set_connection=$dbcharset,character_set_results=$dbcharset, character_set_client=binary;)Php注入的预防(二) Php5以上版本Mysqli扩展预防，参数化查询 $city = Amersfoort;/* create a prepared statement */$stmt = $mysqli-prepare(SELECT District FROM City WHERE Name=?) $stmt-bind_param(s, $city); $stmt-execute(); $stmt-bind

28、_result($district); $stmt-fetch(); printf(%s is in district %sn, $city, $district); $stmt-close(); Jsp预防 采用jdbc的prepareStatement查询数据库，并且sql语句中不出现参数，如：sqlStr = “select id from info where city=? and open=? order by id desc”;stmt = conn.prepareStatement(sqlStr);stmt.setString(1,city);stmt.setString(2,v

29、ar1);跨站脚本的防范 对用户输入数据编码：Asp:server.htmlencode函数Php:htmlspecialchars函数:HttpContext.Current.Server.HtmlEncodejsp:默认没有提供过滤方法，需要自写方法。 过滤危险的html关键字符：比如：script/iframe等。拒绝服务攻击防御 路由器和防火墙配置得当，可以减少受DoS攻击的危险 比如，禁止IP欺骗可以避免许多DoS攻击 入侵检测系统，检测异常行为，并和防火墙联动阻挡攻击 可以选用一些专门防止DDOS攻击的产品 升级系统内核，打上必要的补丁，特别是一些简单的DoS攻击，例如SYN Fl

30、ooding 关掉不必要的服务和网络组件 如果有配额功能的话，正确地设置这些配额 监视系统的运行，避免降低到基线以下 检测系统配置信息的变化情况 保证物理安全 建立备份和恢复机制 信息暴露的防范使用防火墙和IDS可以有效阻断黑客的扫描关闭不必要的端口和服务如删除windows的默认ipc$共享修改软件的banner信息不使软件的版本等信息泄漏删除服务软件的帮助信息等默认配置文件如IIS和apache默认配置文件关掉系统的ping功能使系统不被发现设置网络设备的访问控制列表不要将网络拓扑等敏感信息放到容易得到的地方不要告诉陌生人任何敏感信息使用加密的传输通道整体的WEB安全解决方案设计制作过程访问控制病毒防护终端管理安全审计身份认证内容传输过程IPSEC-VPNSSL-VPN发布运维过程异常流量清洗访问控制入侵检测安全管理安全服务统一运行监控集中风险管理安全运行监控安全人员管理评估加固代码审计应急响应安全值守