《web-应用安全解决方案》由会员分享,可在线阅读,更多相关《web-应用安全解决方案(45页珍藏版)》请在金锄头文库上搜索。
1、天存Web应用安全解决方案Web攻击事件-篡改网页2Web攻击事件-篡改数据3Web攻击事件-跨站攻击4Web攻击事件-注入式攻击5最近603-07年网站篡改情况(资料来源:国家计算机网络应急技术处理协调中心)7针对Web网站和应用的攻击o非法上传网页o非法篡改网页o非法篡改数据库o非法执行命令o跨站提交信息o网站资源盗链o窃取脚本源程序o窃取系统信息o窃取用户信息o绕过身份认证o拒绝服务攻击o8Web应用结构中间层 (Web服务器 )数据层 (数据库服务器)客户端 (Web浏览器 )9Web安全全貌防火墙数据库服务器Web服务器应用服务器IPS/IDSWeb应用DoS攻击端口扫描网络层模式攻
2、击已知Web服务器漏洞跨站脚本注入式攻击非法执行Cookie假冒?10传统网络安全设备o防火墙n限制地址和端口访问n验证和加固网络协议o入侵检测n基于网络层的数据包检查o问题nWeb端口谁来保护?n应用数据谁来保护?n如何保证公众浏览到的信息是原始的?11风险和投资75%25%10%90%Web应用网络服务器安全风险安全投资12常见Web攻击类型威胁手段后果注入式攻击通过构造SQL语句对数据库进行非 法查询黑客可以访问后端数据库,偷窃和修 改数据跨站脚本攻击通过受害网站在客户端显不正当的 内容和执行非法命令黑客可以对受害者客户端进行控制,盗 窃用户信息上传假冒文件绕过管理员的限制上传任意类型的
3、 文件黑客可以篡改网页、图片和下载文件 等不安全本地存储偷窃cookie和session token信息黑客获取用户关键资料,冒充用户身 份 非法执行脚本执行系统默认的脚本或自行上传的 WebShell脚本等黑客完全控制服务器非法执行系统命令利用Web服务器漏洞上执行Shell命 令Execute等黑客获得服务器信息源代码泄漏利用Web服务器漏洞或应用漏洞获 得脚本源代码黑客分析源代码从而更有针对性的对 网站攻击URL访问限制失效黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历 史网页13产生的原因o操作系统系统n已公布超过1万多个系统漏洞n漏洞与补丁o漏洞从发现到被利用最短为0天
4、(0day攻击)o官方补丁的平均发布时间为47天o应用系统漏洞n不同应用系统的不同的开发者o现有技术架构下,网站漏洞长期存在14如何防范o及时给操作系统、web服务软件打补丁o敦促每个开发者关注应用安全o使用黑客工具模拟攻击黑盒测试o复查所有应用系统代码白盒测试o更好的方法?15Web应用安全解决之道天存Web应用安全解决策略oiGuard网页防篡改系统n杜绝被篡改的网页被公众浏览n杜绝被篡改的脚本被非法执行n杜绝对数据库内容的非法访问和篡改oiWall应用防火墙n对提交给Web服务的http请求进行检查n杜绝黑客利用Web系统和应用漏洞oWeb服务器核心内嵌技术17Web服务器核心内嵌模块硬
5、件平台 (X86/sparc/ItaniumII/PowerPC/PA-RISC)操作系统 (Windows/Linux/FreeBSD/Solaris/AIX/HP-UX )Web服务器软件 (IIS/Apache/Weblogic/Websphere) 安全核心内嵌模块requestresponse应用防护技术数字水印技术Web服务器18Web服务器核心内嵌技术o技术优势n不存在独立的安全模块运行进程n精准理解和分析Web服务出入的数据n全面控制Web服务器软件软件和服务o全平台支持n操作系统:支持Windows、Linux、UnixnWeb服务器:支持IIS、Apache、J2EE19i
6、Guard网页防篡改系统发布服务器核心内嵌-数字水印技术Web服务器FTP/rsync一般发布过程篡改检测模块自动发布 子系统监控和恢复 子系统+篡改检测 子系统SSLSSL1.1.上传正常网页上传正常网页=X 水印库2.2.浏览正常网页浏览正常网页3.3.篡改网页篡改网页4.4.浏览篡改网页浏览篡改网页5.5.自动恢复自动恢复文件系统21工作过程o发布过程n发布内嵌模块检测到文件创建/变化n为文件产生加密和不可逆转数字水印n通过SSL加密通道传送到Web服务器o检测过程n公众发出请求浏览网页n应用防护子系统检查请求的合法性n篡改检测子系统检查数字水印完整性o辅助以增强型事件触发技术防护22i
7、Guard同步特性详述o实时的文件检测,高效的上传同步o发布端支持Windows/Linux操作系统o接收端支持所有常见操作系统平台o支持多服务器,镜像同步和非镜像同步o支持多虚拟主机和多虚拟目录o支持精确同步和增量同步o支持自动重连,失败重传和任务断点续传o支持企业级双机发布模式,主从自动切换o支持应用/服务两种模式选择o128位安全连接,通信双方数字证书认证o完整和全面的日志查询23iGuard防篡改特性详述o可靠的实时网页篡改检测o严密的安全水印密码算法o内嵌式检查恶意请求o即时的报警和页面恢复o篡改网页快照留影o支持所有操作平台和Web服务器o支持各种动态网页技术o支持特殊目录和文件忽
8、略o自定义出错页面o邮件报警和第三方报警o与安全管理平台整合24双机和集群部署DMZIntranetInternet内容管理系统iGuard发布服务器Web服务器集群25iWall应用防火墙防注入式攻击示例zhangsanhack or 1 = 1SELECT * FROM userWHERE name=hack or 1=1SELECT * FROM userWHERE name=zhangsanXO27iWall的检查对象o请求特性n鉴别类型过滤n请求长度过滤n请求类型过滤n请求方法过滤n请求版本过滤n文件类型过滤o请求数据nURL过滤n请求参数过滤n请求数据过滤nCookie过滤n盗链检
9、查n跨站攻击检查 28iWall防范的攻击oSQL数据库注入式攻击o脚本源代码泄露o非法执行系统命令o非法执行脚本o上传假冒文件o跨站脚本执行o不安全的本地存储o网站资源盗链29iWall产品特点o安全性 核心内嵌技术o高效性 无系统通信开销o灵活性 支持多主机多规则o广泛性 支持所有平台 o稳定性 多年高访问量o低成本 无须增加硬件o可扩充 防范攻击模式30实现方式比较项项目软软件实现实现 方式硬件实现实现 方式部署点Web服务器网关保护范围一台Web服务器一个网段访问 性能影响小,无瓶颈效应影响大,有瓶颈效应单点失效不可能可能升级方便可以细粒度配置方便可以成本一般较高31资质和技术适用环境
10、o纯静态架构的信息发布门户niGuard标准版o动静结合的信息和应用综合门户niGuard标准动态版o高安全需求的关键Web应用niGuard标准版+iWall应用防火墙33权威安全部门检验34技术背景o天存公司n国家信息安全产业基地企业n上海信息安全行业协会会员n专业Web安全技术研发公司o技术n以国家863安全Web项目为基础 (SWP01通用安全Web平台)n运用领先的Web服务器研究技术与成果35Web安全全貌防火墙数据库服务器Web服务器应用服务器IPS/IDSWeb应用DoS攻击端口扫描网络层模式攻击已知Web服务器漏洞跨站脚本注入式攻击非法执行Cookie假冒36Web应用安全产
11、品oWeb应用安全产品是现代网络安全架构的一 个重要组成部分oWeb应用安全产品着重进行应用层的内容检 查和安全防御oWeb应用安全产品与传统安全设备共同构成 全面和有效的安全防护体系37成功案例中国中央政府门户网站o中国政府官方网站o投标集成商一致选择,各方专家严格评审o按日访问量30,000,000设计oLinux * 26o2005年10月owww. 39中国网o中国互联网新闻中心,官方新闻网站o每天以8种文字更新网页300,000个o网站网页文件超过60,000,000个oSolaris * 13 + Linux * no2003年10月40地方政府网站北京市人民政府(首都之窗 )上海市政府(中国上海 )广州市政府(中国广州 )天津市政府(中国天津 )41运营商o中国网通集团n中国网通网上营业厅支付平台 n中国网通宽带我世界门户网站 n中国网通研究院o江苏电信、泉州电信、南通电信、资阳电信o北京移动、内蒙古移动、山西移动42o官方网站和电子商务平台o基础安全项目/ IBM咨询oWindows / Linux / Solaris / AIX437*24小时保护网站的安全o产品覆盖区域 31个省、市、自治区o每天保护的网站/服务器数 400+ / 1000+o每天保护的网页数 40,000,000P+o每天保护的访问量 100,000,000PV+44谢 谢 各 位!
