2011高校网站设防与安全监测技术分析方案北大计算机研究所

《2011高校网站设防与安全监测技术分析方案北大计算机研究所》由会员分享，可在线阅读，更多相关《2011高校网站设防与安全监测技术分析方案北大计算机研究所（72页珍藏版）》请在金锄头文库上搜索。

1、,高校网站设防与安全监测,北京大学计算机研究所信息安全工程研究中心,2/60,内容纲要,网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁：网络协议攻击 系统/服务安全威胁：服务器系统攻击 Web应用安全威胁：Web应用攻击 Web数据安全威胁：敏感信息泄漏/网页篡改与不良信息内容 Web浏览安全威胁：网站挂马 高校网站安全监测公益服务-高校网站体检中心 总结,2,3/60,3,网站系统(Web应用)的体系结构,网站系统(Web应用)体系结构 传统C/S架构的计算B/S架构 “痩”客户端: Browser (Web客户端浏览器) “厚”服务器: Web服务器、W

2、eb应用程序、数据 网络通讯机制: HTTP/HTTPS,4,网站系统的脆弱性与安全威胁,网络安全威胁： 机密窃听、假冒身份,系统安全威胁： 针对操作系统的渗透攻击,服务安全威胁： 针对Web服务器的渗透攻击,Web应用安全威胁： 针对Web应用的渗透攻击,Web数据安全威胁： 敏感信息泄漏/内容篡改/不良信息内容,Web浏览安全威胁： 网站挂马，Phishing,内容纲要,网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁：网络协议攻击 系统/服务安全威胁：服务器系统攻击 Web应用安全威胁：Web应用攻击 Web数据安全威胁：敏感信息泄漏/网页篡改与不良信息

3、内容 Web浏览安全威胁：网站挂马 高校网站安全监测公益服务-高校网站体检中心 总结,5,网络协议攻击 - HTTP,HTTP明文传输不安全 容易被网络嗅探 门户网站登录尽量应使用HTTPS协议,6 /30,7/60,网络协议攻击 网络层及传输层,ARP欺骗攻击 ARP欺骗中间人攻击 交换网络中实现网络嗅探 ARP欺骗挂马 设防措施: ARP防火墙、MAC封禁机制、关键网站服务器静态绑定MAC-IP映射 TCP Syn Flood 网站拒绝服务攻击，消耗连接队列、计算和网络资源 缓解机制: Syn Cookie / Syn Proxy 流量巨大的DDoS攻击：无法防御。应对措施：暂时转移到其他

4、IP段，报案处理,7,内容纲要,网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁：网络协议攻击 系统/服务安全威胁：服务器系统攻击 Web应用安全威胁：Web应用攻击 Web数据安全威胁：敏感信息泄漏/网页篡改与不良信息内容 Web浏览安全威胁：网站挂马 高校网站安全监测公益服务-高校网站体检中心 总结,8,网站操作系统及服务渗透攻击威胁,网站系统主流使用的操作系统+Web服务 Windows Server + IIS + MSSQL +ASP/ASP.Net LAMP: Linux + Apache + MySQL + PHP 操作系统/Web服务存在的安全

5、弱点 操作系统开放网络服务安全漏洞 FTP(网站应用程序更新)、SSH(远程管理)、 Web服务相关网络服务安全漏洞 IIS/Apache; MSSQL/MySQL; 不安全配置: 缺省/弱口令、不必要服务、错误配置,9,网站操作系统及服务安全设防措施,操作系统及Web服务的及时补丁更新 Windows的补丁更新机制： 软件正版化，自动更新/WSUS服务，定期维护 Linux的补丁更新机制：APT/YUM/crond设置定期更新任务 网站操作系统及Web服务的安全漏洞远程扫描 使用安全漏洞扫描在攻击者之前发现并修补漏洞和弱点 商业：绿盟“极光”漏洞扫描器/启明“天镜” 开源：Nessus软件

6、提升操作系统和Web服务安全性的一般性设防措施 关闭所有不必要的服务，避免使用明文传输服务(如FTP/Telnet) 设置强口令，以及安全的服务配置(如禁止列出目录等) 部署防火墙，设置对控制及内容上传通道的限制访问,10,Nessus扫描软件,11 /30,内容纲要,网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁：网络协议攻击 系统/服务安全威胁：服务器系统攻击 Web应用安全威胁：Web应用攻击 Web数据安全威胁：敏感信息泄漏/网页篡改与不良信息内容 Web浏览安全威胁：网站挂马 高校网站安全监测公益服务-高校网站体检中心 总结,12,Web应用安全威

7、胁类型,OWASP(开放式Web应用程序安全项目) Top 10,13,14/60,SQL注入攻击,SQL注入攻击 输入数据被Web应用程序用于生成SQL语句 输入数据合法性检查不严格 攻击者恶意构造输入，注入至SQL语句中恶意执行 SQL注入点例子 strSQL = “SELECT * FROM users WHERE (name = “ + userName + “) and (pw = “+ passWord +“); “ userName, passWord是用户输入数据 userName = “ OR 1=1“; passWord = “ OR 1=1“; 实际执行SQL语句： “S

8、ELECT * FROM users WHERE (name = OR 1=1) and (pw = OR 1=1);“ SQL注入危害 窃取后台管理帐号；获取数据库管理员帐号；执行shell命令打开后门,14,SQL注入攻击实例,某大学科研部科研经费查询系统 where some_rec like %INPUT% where some_rec like %a% or a like %a% ,15,自动化SQL注入攻击工具,自动化SQL注入漏洞发现 Wposion 能够在动态Web文档中找出SQL注入漏洞的工具 mieliekoek.pl 以网站镜像工具生成的输出为输入，找出含有表单页面 允许

9、在配置文件中对注入字符串进行修改 自动化SQL注入测试 SPIKE Proxy工具 允许使用者对待注入字符串进行定制 SPI Toolkit工具包中的“SQL Injector”工具 国内黑客界工具 NBSI、HDSI、阿D注入工具、CSC、WED Pangolin,16,HDSI自动注入工具,17,18/60,XSS攻击,XSS (Cross-Site Scripting), 跨站脚本攻击 在Web页面中插入恶意脚本，使得其他用户浏览时执行恶意脚本，达到攻击目的 根源：Web应用程序没有对非预期输入做全面有效检查和净化. 危害最严重的一类XSS攻击-持久性XSS 典型案例: 留言本/论坛/博

10、客/wiki等。 漏洞形式: Web应用程序允许用户输入内容并持久保存并显示在网页上. 攻击方式: 攻击者通过利用跨站漏洞构建恶意脚本，对大量用户构成危害.,18,跨站漏洞攻击原理演示,攻击目标： 迷你留言本,测试漏洞,遭受网马攻击,漏洞确认,通过跨站漏洞植入网马,19,20/60,Web应用程序漏洞扫描与检测,Web应用程序漏洞扫描器 Web应用程序安全性测试: 自动化扫描工具作为辅助 需结合手工分析和测试,20,21/60,WebInspect, WVS, AppScan,21,22/60,Web应用程序安全设防措施,信息发布类网站无需引入动态网页 静态网页站点较动态网页站点安全性高，性能

11、更好 通过后台系统产生信息发布静态页面 新浪、搜狐等门户网站也使用此方案 兰州大学信息门户的应用-李仲贤 COST论坛 必需Web应用程序的网站 需要提供用户交互 论坛/博客/留言/网上课程/门户应用 尽量使用具有良好安全信誉的Web应用软件包 活跃的开源和共享软件: phpwind, wordpress, wikimedia, 规范运作、注重安全的商业软件公司解决方案 定期的Web应用程序漏洞扫描评估 Web应用程序的升级与安全漏洞修补 使用第三方Web应用软件应跟进版本更新和安全补丁 自己或委托实现的Web应用程序，需持续性的安全测试与维护,22,内容纲要,网站系统的体系结构与主要安全威胁

12、类型 高校网站主要安全威胁及设防措施 网络安全威胁：网络协议攻击 系统/服务安全威胁：服务器系统攻击 Web应用安全威胁：Web应用攻击 Web数据安全威胁：敏感信息泄漏/网页篡改与不良信息内容 Web浏览安全威胁：网站挂马 高校网站安全监测公益服务-高校网站体检中心 总结,23,敏感信息泄漏,敏感信息类型 GF、BM等科研敏感信息 教师、学生个人隐私信息 网络安全敏感信息 通常的信息泄漏途径和方式 未关闭Web服务器的目录遍历，不经意泄漏 Upload、Incoming等目录中转文件时泄漏 缺乏安全意识，在公开的文档中包含个人隐私信息 在公开的个人简历、职称晋升材料、课题申请书等包含科研敏感

13、信息,24,高校网站泄漏科研敏感信息实例,25,高校网站泄漏科研敏感信息实例,Google: filetype:xls site: 课题 身份证号,26,高校网站泄漏学生敏感信息的例子,Google搜索词 “filetype:xls 身份证号 site:” “filetype:xls 信用卡 site:”,27,高校网站泄漏网络安全敏感信息实例,源代码中泄漏数据库连接地址、口令与密码MD5值的例子,28,网页内容篡改,2008年9月：北大/清华网站被黑，假冒校长发文,29,网页篡改站点列表,30 /30,网页篡改站点列表(2),31 /60,使用Google搜索被黑网站,基于元搜索引擎实现被篡

14、改网站发现与攻击者调查剖析,32 /30,使用Google搜索被黑网站,33 /60,不良信息内容,网站面临的不良信息内容威胁 网站被攻陷后可能成为不良信息的存储和中转仓库 提供用户交互的论坛/博客等网站可能涉及用户上传不良信息,34 /30,不良信息内容-违法,35 /60,网站数据安全设防措施,提高网站维护人员的数据安全意识 BM不联网，联网信息不涉密，不应在网上公开团队/个人承担涉密项目(可能引来针对性攻击) 注重个人隐私: 网上公布数据中尽可能不包括个人隐私信息 注意对论坛/博客/留言等允许用户提交数据的审查 (清除违法信息) 注意不要公布网站安全相关的敏感信息 网站数据安全性监测和防

15、护措施 提升网站系统、Web应用程序的安全性 善用Google等搜索引擎，定期进行敏感数据检查 对网站的安全配置进行检查，尽量消除目录遍历、随意上传渠道 对接受用户交互的网站列出清单，进行定期检查 建立规范快捷的网站安全响应机制和流程,36,内容纲要,网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁：网络协议攻击 系统/服务安全威胁：服务器系统攻击 Web应用安全威胁：Web应用攻击 Web数据安全威胁：敏感信息泄漏/网页篡改与不良信息内容 Web浏览安全威胁：网站挂马 高校网站安全监测公益服务-高校网站体检中心 总结,37,网站挂马,网页木马 针对浏览器/插

16、件/客户端软件漏洞的渗透攻击代码(browser-side exploit) 通常被挂接至被黑网站上，危害网站的访问者 目的：植入盗号木马等恶意程序，窃取敏感信息，盗用资源进行DDoS和发送垃圾邮件等 网站挂马 将网页木马挂接至被黑网站的网页上，使得客户端浏览器在访问该网页同时加载网页木马，从而被渗透攻击，植入恶意程序 网站攻击手段：系统、服务、Web应用程序的渗透攻击 挂接手段：iframe, script等多种内嵌链接方式，通常不可见 通过混淆技术进行挂马链接的隐藏和对抗分析,38,高校招生网站挂马案例,39,精品课程类网站被大批挂马,52个精品课程类网站被挂马, 检测次数达413次,40 /60, 外连到各个精品网站url “中国矿业大学精品课程网站” “绵阳职业技术学院精品课程” jpkc.fj