《网站安全建设方案》由会员分享,可在线阅读,更多相关《网站安全建设方案(38页珍藏版)》请在金锄头文库上搜索。
1、 2010 绿盟科技网站安全建设方案3 网站安全建设方案1 网站威胁分析4 方案的价值和优势2 典型攻击分析网站威胁分析Case1:清华网站被篡改2008年8月24日国内知名学府清华大学网站遭到攻击,攻击者捏 造了一篇清华大学校长顾秉林接受采访的新闻报道,批评现行教育 制度,直指“现在的各高校,包括清华与北大在内,已经没有将培 养人才作为大学教育的目标”。 骗子忽悠考生家长可以帮忙进入理想高校 骗子收取家长手续费骗子造假录取通知书发给考生 骗子雇佣黑客篡改招生网数据,修改考生录取信息最终骗子被武汉警方抓获Case2:武汉某高校招生网被篡改Case3:大量用户信息泄露245,000 用户信息泄露
2、, 包括: 1. E-mail address 2. First and last name 3. Password (plain text)事件 : 法国移动运营商Orange网站遭到SQL注入 时间:2009年5月26日 后果:Case4:韩国政府网站遭受DDOS攻击另类用户攻击者的安全价值观攻击者网站IT系统运营商门户网站应用程序已封堵的漏洞Firewall存在的漏洞网站系统数据/内容 (网页数据、用户信息、资源媒体)核心资产破坏价值攻击价值端口 XX端口 XX远程本地漏洞 a漏洞 b漏洞 c漏洞 dServer1Server2Server3网页篡改受害者信息窃取拒绝服务攻击者接入方式脆
3、弱性IT系统攻击损害非法入侵攻击价值最大化是攻击者的根本目标不同角色安全价值的破坏SQL注入跨站脚本 网页挂马暴力破解目录遍历SynFlood CC Http Get Flood攻击者网站服务提供者名誉受损网页篡改信息窃取非法入侵拒绝服务网站服务提供者网站访问者个人信息丢失公信力下降权限失控网站服务提供者基础网络提供者网站访问者可用性破坏信息篡改价值的破坏与损失信息泄露拒绝服务监管部门投诉网页篡改非法入侵网站访问者服务提供者+基础网络提供者社会公信力下降 名誉受损 用户流失 经济损失追责网页被篡改 非法内容 用户信息泄露个人信息丢失 个人信息被篡改 恶意程序下载 网站无法访问典型攻击分析 跨站
4、脚本 信息泄漏 SQL 注入 越权攻击 DDOS攻击网站面临的典型攻击跨站脚本 Cross-site Scripting 什么是跨站脚本 Cross-site Scripting 或者 XSS 跨站脚本是一种迫使应用系统向客户端回显攻击者所 提交可执行代码的攻击技巧,通常是针对浏览器的攻 击,攻击者提交的代码通常是 HTML/JavaScript, 但是也可以扩展到 VBScript/ActiveX/Java 等其他浏 览器支持的技术上 跨站脚本产生原因 没有对用户数据进行校验和过滤 跨站脚本的危害 伪造信息,欺骗用户 盗窃用户 Cookie 中的敏感信息信息泄漏 Information Le
5、akage 什么是信息泄漏 Information Leakage 信息泄漏是攻击者通过某种方式获得应用系统某些敏 感信息的攻击技巧,通常是利用程序员遗留在代码中 的注释或者服务器程序的错误信息 跨站脚本产生原因 应用系统部署时没有将注释去掉 应用系统部署时没有正确的配置服务器程序 跨站脚本的危害 有利于攻击者进一步的攻击,例如 SQL 注入SQL 注入 SQL Injection 什么是 SQL 注入 SQL 注入 SQL 注入是攻击者通过输入恶意的请求直接操作数据 库服务器的攻击技巧 跨站脚本产生原因 应用开发过程中没有对用户输入进行校验和过滤 跨站脚本的危害 机密数据泄漏 服务器被控制S
6、QL注入漏洞的危害 后台数据库执行非授 权的查询、修改、删 除 泄露认证相关的敏感 信息,导致攻击者控 制Web应用 泄露机密的商业信息 ,如电子商务网站的 客户信息 网站数据的恶意破坏 网页挂马X:sql-injectsas.exe -attack “http:/www.euro.centre.org/activity.php?ap_id=3&ap_name=Publications ap_id“ ParseScriptUrl:ParsedScriptLink http:/www.euro.centre.org/activity.php SQLInjectionTest:NewLinkToH
7、andle http:/www.euro.centre.org/activity.php SQLInjectionTest:Vulnerable http:/www.euro.centre.org/activity.php?ap_id=3& ap_name=Publicationsap_id ap_id SQLInjectionExploit:Server Apache/2.0.55 (Debian) PHP/5.0.4-0.2 mod_perl/2.0.2 Perl/v5.8.8 SQLInjectionExploit:DatabaseType MySQL SQLInjectionExplo
8、it:AllowStackQuery No SQLInjectionExploit:AllowSubQuery Yes HandleMySQL:MySQLMajorVersion 5.x MySQLProbeUnionColumnNumber:ColumnCount 3 MySQLProbeUsableUnionColumn:UsableStrColumn 1 MySQLProbeUsableUnionColumn:InjectTemplate and 1=2 union all select concat(char(88,88,88),INJECTDATA,char(88,88,88),2,
9、3 Available Functions Of Current Injection 1 Conduct Manual SQL Inject 40 Get MySQL Basic Infomation By Union Select 41 Enumerate MySQL Database Name By Union Select 42 Enumerate MySQL Table Name By Union Select 43 Enumerate MySQL Column Name By Union Select 44 Enumerate MySQL Record By Union Select
10、 45 MySQL Read File Function To Run : 44 Database Name : ec_web Table Name : users Column Name : pwd MySQLEnumRecordByUnion:RecordCount ec_web users pwd 14 MySQLEnumRecordByUnion:RecordItem ec_web users pwd 14bf99f473be9750 MySQLEnumRecordByUnion:RecordItem ec_web users pwd 3aea80de445f31ad MySQLEnu
11、mRecordByUnion:RecordItem ec_web users pwd 15f8a6fd188ce995SQL注入漏洞的危害 利用数据库或应用的特性入侵数据库运行的服 务器 读取操作系统文件和目录 利用数据库的存储过程在操作系统上执行任意命令 利用Web应用的备份功能创建Webshell网站安全建设方案WEB基础架构Source: 绿盟科技WEB应用类型p T1: Web app处于设计阶段p T2: 已上线提供生产的Web app,可以较为容易地整改代码 p T3:已上线提供生产的Web app, 基本不可整改代码或者难度过大安全视图InternetWeb ServerAppl
12、ication ServerDatabasesBackend Server/SystemPort ScanningDoSAnti-spoofingWeb Server know vulner- abilitiesPattern- Based AttacksSQL InjectionCross Site ScriptingParameter TamperingCookie PoisoningFirewall网络端口访问控制 UDP/TCP状态感知1IDS/IPSIDS/IPS 基于规则的异常检测 入侵防护 已知漏洞管理2Web Application FirewallWAF HTTP/S应用保护
13、 会话管理(Cookie安全) 内容控制 数据泄露管理3企业数据中心WEB应用生命周期规划阶段开发阶段测试阶段运行阶段需求调研 网站设计代码编写系统测试系统运行与维护通过SQL注入窃取用户信息代码漏洞没有及时发现没有核查用户提交的数据WEB应用生命周期各个阶段存在的问题规划阶段开发阶段测试阶段运行阶段缺乏安全规划和意识的培养缺乏代码的安全检查缺乏网站的安全测试安全规划与培训代码审计 (白盒测试)黑盒/渗透测试 网页存在代码漏洞 缺乏对用户提交数据核查 缺乏对返回网页内容过滤 缺乏对被篡改网页的恢复运营维护期运行阶段的WEB应用安全技术手段运行阶段事中:用户与服务器间双向流量的过滤与清洗事前:W
14、EB漏洞的发现事后:网页恢复与审计追查事前主动发现事中实时防护事后及时恢复安全评估与加固 (包括渗透测试)安全职守 (重大事件职守)安全应急响应 (应急恢复+事后追溯)安全服务防患于未然攻防的关键最后的防线安全产品一个阶段:运行阶段 两种手段:产品+服务 三个层面:事前、事中、事后我们做什么整体防护规规划阶阶段开发发 阶阶段测试阶测试阶 段运行阶阶段事前事中事后产品N/AN/AWEB漏洞扫描WEB漏洞扫描双向数据清洗 包括DDoS攻击防 护网页防篡改运维审计服务安全规划建议代码 核查安全评估与加固安全评估与加固安全值守应急响应安全培训渗透测试渗透测试事件追溯绿盟科技贯穿WEB应用生命周期的安全
15、防护方案规规划阶阶段开发发 阶阶段测试阶测试阶 段运行阶阶段事前事中事后产品N/AN/AWEB应用扫描系统WEB应用扫描系统WEB应用防火墙 抗DDoS攻击设备WEB应用防火墙审计 系统服务安全规划建议代码 核查安全评估与加固安全评估与加固安全值守应急响应安全培训渗透测试渗透测试事件追溯什么是WAF?应用服务 器Web 服 务器浏览器数据库服 务器安全运维控制:实时防护WEB应用, 而不是预先加固或修补应用。监控HTTP/S流量:分析客户端与WEB 服务器之间的双向流量。WEB应用的专有防护机制:大多数 WEB应用具有定制化、动态的特点。WAF截取、检测以及阻断/放行七层流量WAF 防护体系事前事中事后WAF 主要防护功能 SQL注入、XSS防护 丰富的规则库 可扩展的自定义规则 扫描防护 识别并阻断扫描、注入工具 从源头上降低风险 Web通用防护 只有内置规则 爬虫防护 网页防篡改功能WAF 主要防护功能 WEB内容安全防护 可过
