《网站应用层安全隐患评估系统.ppt》由会员分享,可在线阅读,更多相关《网站应用层安全隐患评估系统.ppt(97页珍藏版)》请在金锄头文库上搜索。
1、网站应用层安全隐患评估系统网站应用层安全隐患评估系统 AppExploreVersion1.0RealSOI Information Security R&D Lab业界专家论证会业界专家论证会FUNianDong(傅念东)NetworkSecurityResearcherREALSOIINFOTECHCISO目录专家介绍专家介绍公司简介公司简介RealSOIRealSOI AppExploreAppExplore & &APPSecurityAPPSecurity产品化特点产品化特点典型案例典型案例总结总结专家介绍高庆狮高庆狮高庆狮高庆狮 院士院士院士院士卿斯汉卿斯汉卿斯汉卿斯汉 中科院研究
2、员中科院研究员中科院研究员中科院研究员贺也平贺也平贺也平贺也平 中科院副研究员中科院副研究员陈立杰陈立杰陈立杰陈立杰军方高工军方高工徐广方徐广方徐广方徐广方 军方总工、高工军方总工、高工江常青江常青江常青江常青国家测评认证中心情报部主任国家测评认证中心情报部主任目录专家介绍专家介绍公司简介公司简介RealSOIRealSOI AppExploreAppExplore & &APPSecurityAPPSecurity产品化特点产品化特点典型案例典型案例总结总结REALSOIINFOTECH瑞索讯杰信息技术(北京)有限公司是成立于瑞索讯杰信息技术(北京)有限公司是成立于2002002 2年年7
3、7月月的高新技术型企业和的高新技术型企业和“ “双软认证双软认证” ”企业企业公司位于中国北京,并在西安、上海设有研发合作小组,公司位于中国北京,并在西安、上海设有研发合作小组,从事网络安全领先技术的研究和产品开发从事网络安全领先技术的研究和产品开发公司定位于公司定位于AppSecurityAppSecurity和和ComputerForensicsComputerForensicsCertifiedInformationSystemsSecurityProfessionalCertifiedInformationSystemsSecurityProfessional(CISSP)(CISSP
4、)CertifiedInformationSystemsAuditor(CISA)CertifiedInformationSystemsAuditor(CISA)CISPlecturerCISPlecturerRealSOI-AnitsolutionRealSOI-AnitsolutionInformationSecurityR&DLabInformationSecurityR&DLab一流的一流的AppSecurityLab&ComputerForensicsLabAppSecurityLab&ComputerForensicsLabAnitsolution北京华安永诚信息系统有限公司由资深
5、信息技术、网络北京华安永诚信息系统有限公司由资深信息技术、网络安全专家创建的专业服务公司安全专家创建的专业服务公司公司致力于网络安全集成和专业的网络安全服务公司致力于网络安全集成和专业的网络安全服务与瑞索讯杰共同出资组建与瑞索讯杰共同出资组建信息安全积极防御实验室信息安全积极防御实验室,专,专注应用安全和计算机取证技术、产品的研发与推广注应用安全和计算机取证技术、产品的研发与推广主流安全厂商良好的合作关系主流安全厂商良好的合作关系骨干员工来自国内外知名的网络安全公司骨干员工来自国内外知名的网络安全公司企业企业技术技术领导人于领导人于9 90 0年代中期开始致力于网络事年代中期开始致力于网络事业
6、业开始于开始于19981998年,先后年,先后为国内两家一流安全企业创为国内两家一流安全企业创办办积极防御研究中心积极防御研究中心并担任技术负责人并担任技术负责人成功参与和负责国家信息安全项目的设计和监理成功参与和负责国家信息安全项目的设计和监理 国际国际CISSPCISSP认证认证/ /国内国内CISPCISP讲师讲师 认证认证成功参与过多起计算机犯罪专家取证成功参与过多起计算机犯罪专家取证成功领导多个行业安全风险评估工程成功领导多个行业安全风险评估工程中国电信中国电信/ /中国移动中国移动/ /证券证券/ /银行银行REALSOILEADERREALSOILEADER19991999年年创
7、办中国最大的驱创办中国最大的驱动程序开发资源论坛动程序开发资源论坛- -”-”中国驱动开发网中国驱动开发网” ” 著作著作JAVAJAVA高级开发指高级开发指南南;著作著作DriverStudioDriverStudio 开发开发指南及库参考指南及库参考;著作著作WindriverWindriver开发指南开发指南及库参考及库参考;著作著作程序春秋程序春秋REALSOI成功案例 成功实施河南省济源市网上行政审批便民服务系统集成和网络安全整体工程,合作企业:国研股份安全知识培训服务中国保监会网站安全保障服务 合作者:华安永诚中国国际招标网网站系统安全评估和保障服务 中石化工程建设公司安全风险评估
8、,合作者:江南科友对北京公安一局进行网络技术及FBI取证技术课程培训,周期一个月; 国家质量监督检疫总局系统网络安全轮训;信息产业部安全培训;中央电视台央视网络安全培训;合作者:清华继续教育学院;成功案例成功地完成了中国电信31个省份网管人员的UNIX攻击和防御技术培训,为期3天;成功地完成了中国国家评测中心实验室的网络攻击和防御技术培训;荣幸地被中国国家评测中心唯一免试特聘为UNIX安全管理课程讲师,并成功完成人民银行CISP认证培训网络攻击和防御技术培训以及UNIX安全管理培训; 并将于2003年4月14日参与该中心组织的民生银行CISE认证培训授课;协助西安市公安局信息大队公安人员进行电
9、子信息犯罪取证现场技术专家分析,使用到我公司的信息犯罪取证智能决策和指导知识库系统,地点:宝鸡市AppExplore V1.0军用版技术培训和相关项目合作;AppExplore系我公司自主研发成功的国内首套大型网站应用层安全隐患测评系统,目前产品系列分析军用版/金融版/电子政务版/大型企业版为西安市电信局信息部门开发新一代IP地址分布式定位系统,即将投入使用;与英国标准协会北京OFFICE(BSI BEIJING)协力推动BS7799标准在中国保险行业的应用;REALSOI的安全研究历程安安全全硬硬件件平平台台动动态态安安全全资资源源管管理理与Anitsolution共同为用户提供一流的安全资
10、源整合和企业风险管理FirewallIDSAnti VirusVPN CA非法途径拨号外联管理HTTP/HTTPS80/443黑客自由出入的通道?Middle-Ware APP SERVERWEB SERVERDATABASE当前当前70%70%的入侵来自的入侵来自WEBWEB应用层应用层企企业业级级应应用用层层安安全全隐隐患患评评估估统计统计统计全球黑客利用应用层已知或者未知的安全隐患入侵破坏技术,对各类型网站应用平台构成巨大威胁:-新闻报道AtomicP alerts customers to breachCNetNMar20,2001Nasdaq defaced.and other se
11、asonal graffitiSecurityWDec27,2000AP Site HackedInteractiveWeekMar20,2001French Group Claims DoubleClick hacked for 2 yearsEcommerceTimes,Mar28,2001 Electronic Holy War Hits D.C. Pro-Israel SiteNewsbytes,Nov3,2000 NT remains hackers favoriteVNUnet,Jan10,2001 Hackers hit U.S., U.K., Australian govern
12、ment sites-InfoWorldJan22,2001 Travelocity exposes customer information CNetJan22,2001 U.S. Navy HackedSecurityW,March30,2001 Lax Security Found in IRS Electronic Filing SystemLATImes,Mar15,2001 -黑客已经无数次地造成:1. 网上电子商城业务系统遭受黑客完全访问网上电子商城业务系统遭受黑客完全访问2. 网上花市用户信用卡数据失窃网上花市用户信用卡数据失窃3. 网上电子书城重要数据被删除网上电子书城重要数
13、据被删除4. 网上电子商务交易被黑客伪造等网上电子商务交易被黑客伪造等5. 政府网上形象站点页面被黑客涂抹政府网上形象站点页面被黑客涂抹6. 其它方面影响其它方面影响统计根据美国联邦商务委员会根据美国联邦商务委员会(FederalTradeCommission)(FederalTradeCommission)调查显示,调查显示,20022002年期间,全球与网络安全直接相关的经济损失高达年期间,全球与网络安全直接相关的经济损失高达1818亿美金亿美金恶性蠕虫出现之后,损失将显著增加恶性蠕虫出现之后,损失将显著增加 研究跟踪发现:研究跟踪发现:近期将出现利用近期将出现利用网站应用层漏洞如网站应用
14、层漏洞如SQLINJECTIONSQLINJECTION隐患进行破坏性攻击的新一代恶性隐患进行破坏性攻击的新一代恶性蠕虫!蠕虫!60%60%的入侵者会考虑从的入侵者会考虑从ApplicationlevelApplicationlevel进行入侵,通常,网络中的加进行入侵,通常,网络中的加密手段和防火墙措施都被绕过密手段和防火墙措施都被绕过事实上,事实上, WEBWEB应用正逐渐成为网上商业的核心应用正逐渐成为网上商业的核心“ “SecurityisaSecurityisaBUSINESS DRIVERBUSINESS DRIVER ! !” ”只有安全,网上商业才能有动只有安全,网上商业才能有
15、动力!力!专业针对应用中未被揭露的安全隐患自动化评估系统已经被成功研制,专业针对应用中未被揭露的安全隐患自动化评估系统已经被成功研制,可以辅助解决应用层大量已知和未知的安全问题可以辅助解决应用层大量已知和未知的安全问题最新动态瑞索咨询家网站应用层安全隐患评估系统瑞索咨询家网站应用层安全隐患评估系统AppExploreAppExplore受到中国信息安全产品受到中国信息安全产品测评认证中心的关注,并在中心试用测评认证中心的关注,并在中心试用受到北京信息安全测评中心的关注,拟作受到北京信息安全测评中心的关注,拟作为党政网站的应用安全评估工具为党政网站的应用安全评估工具Thanks!网站应用层安全隐
16、患评估系统网站应用层安全隐患评估系统 AppExploreVersion1.0FUNianDong(傅念东)NetworkSecurityResearcherREALSOIINFOTECHCISORealSOI Information Security R&D Lab业界专家论证会业界专家论证会关注应用安全-完善安全体系大量黑客事件警示了大量黑客事件警示了防火墙防火墙和和入侵监入侵监测系统测系统在应用层攻击手段下往往在应用层攻击手段下往往无能无能为力为力安装补丁不能完全解决应用安全问题安装补丁不能完全解决应用安全问题应用程序安全编码应用程序安全编码对于完善整个安全对于完善整个安全体系的重要性体
17、系的重要性采用科学的评估手段针对企业采用科学的评估手段针对企业WEBWEB系系统进行统进行“黑箱子测试黑箱子测试”,实施多方位,实施多方位的应用层入侵技术模拟评估,揭露应的应用层入侵技术模拟评估,揭露应用安全隐患迫在眉睫用安全隐患迫在眉睫应用安全启示:应用安全启示:REALSOI的安全定位AppSecurity应用安全ComputerForensics计算机取证RealSOIAppExplore&APPSecurity专家介绍专家介绍公司简介公司简介RRealSOIealSOI AppExploreAppExplore & &APPSecurityAPPSecurity产品化特点产品化特点典型
18、案例典型案例总结总结REALSOIAppExplore成熟产品化商业评估软件成熟产品化商业评估软件专业应用层安全隐患揭露系统专业应用层安全隐患揭露系统普通普通Scanner+Scanner+AppExploreAppExplore形成形成完整有效的新一代测评组合完整有效的新一代测评组合安全服务安全服务市场市场的主要切入点将会的主要切入点将会逐渐转向应用安全领域逐渐转向应用安全领域应用层的专业评估将在完整的安应用层的专业评估将在完整的安全解决方案中担任重要角色全解决方案中担任重要角色AppExplore定位:定位:AppExplore为谁服务?电子商务电子商务应用平台和形象宣传平台应用平台和形象
19、宣传平台网上银行网上银行应用平台和形象宣传平台应用平台和形象宣传平台电子政府电子政府应用平台应用平台和形象宣传平台和形象宣传平台大中型企业大中型企业网站应用网站应用和和宣传平台宣传平台ISP/ASPISP/ASP客户增值评估服务工具系客户增值评估服务工具系统统第三方测评认证机构第三方测评认证机构工具系统工具系统军方专用敌对网站打击渗透工具系军方专用敌对网站打击渗透工具系统(直接打击功能为特别定制)统(直接打击功能为特别定制)其他任何具有应用层安全服务需求其他任何具有应用层安全服务需求的客户群的客户群AppExplore思考的十大类安全问题APPLICATION BUFFER OVERFLOW
20、应用层缓冲区溢出(压力测试)应用层缓冲区溢出(压力测试)COOKIE POISONING cookie安全使用状况评估安全使用状况评估CROSS-SITE SCRIPTING 跨站脚本攻击风险评估跨站脚本攻击风险评估 HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估页面隐藏参数域篡改风险评估 STEALTH COMMANDING 系统隐蔽指令执行风险评估系统隐蔽指令执行风险评估 3RD PARTY MISCONFIGURATION 第三方误配置安全隐患第三方误配置安全隐患 KNOWN VULNERABILITIES 各类型已知安全漏洞各类型已知安全漏洞 PARAMETER T
21、AMPERING URL参数篡改攻击风险评估参数篡改攻击风险评估 BACKDOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患后门程序和调试选项遗留隐患 FORCEFUL BROWSING 网站内容强力浏览问题网站内容强力浏览问题应用安全方面的权威书籍权威资料参考:Web Hacking: Attacks and Defense by Stuart McClure, Saumil Shah, Shreeraj ShahHacking Exposed (TM) Web Applications by Joel Scambray, Mike Shema 如果存在以上十大类问题,那么
22、。1.1.由于由于COOKIECOOKIE中毒安全隐患,导致黑客可能实施中毒安全隐患,导致黑客可能实施身份身份伪装攻击伪装攻击;2.2.由于隐藏字段信息篡改隐患,黑客可能实施由于隐藏字段信息篡改隐患,黑客可能实施电子欺电子欺骗骗;3.3.由于由于URLURL参数、表单变量存在安全隐患,黑客因此参数、表单变量存在安全隐患,黑客因此可能进行可能进行系统指令执行系统指令执行、逻辑认证绕过逻辑认证绕过、后台数据后台数据库攻击库攻击等;等;4.4.由于应用程序缓冲区溢出隐患,黑客可能导致业务由于应用程序缓冲区溢出隐患,黑客可能导致业务终止甚至终止甚至获取非法权限获取非法权限;5.5.由于跨站点脚本执行隐
23、患,导致黑客可能实施不同由于跨站点脚本执行隐患,导致黑客可能实施不同程度基于程度基于信息泄漏信息泄漏的攻击;的攻击;6.6.由于第三方软件的由于第三方软件的错误设置错误设置和典型的已知安全隐患和典型的已知安全隐患存在,导致不同类型的黑客入侵破坏存在,导致不同类型的黑客入侵破坏;AppExplore面对的市场背景1.1.用户普遍还停留在用户普遍还停留在F FW+IDSW+IDS层次的安全防护意识;层次的安全防护意识;2.2.国内用户对应用安全知识了解不够,对应用安全隐患和风险认识不国内用户对应用安全知识了解不够,对应用安全隐患和风险认识不够,在国外,应用安全专家已经开始就应用安全问题进行普及宣传
24、;够,在国外,应用安全专家已经开始就应用安全问题进行普及宣传;3.3.面对网络级和系统级安全,多数用户面对网络级和系统级安全,多数用户”亡羊补牢亡羊补牢”,而应用级安全,而应用级安全迫在眉睫,需要的是迫在眉睫,需要的是”未雨绸缪未雨绸缪”;4.4.应用层隐患普遍存在,一旦爆发蠕虫式恶意攻击,将形成应用层隐患普遍存在,一旦爆发蠕虫式恶意攻击,将形成”NIMDA”NIMDA现象现象”;这是一份来自台湾的调查统计:针对最为严重的这是一份来自台湾的调查统计:针对最为严重的SQLSQLInjectionInjection漏洞的漏洞的調查,由於國內九成以上網站皆使用調查,由於國內九成以上網站皆使用SQLS
25、QL資料庫系統,因此,經警方測試,研判國內八成以資料庫系統,因此,經警方測試,研判國內八成以上的網站已面臨資料隱碼攻擊方式的嚴重威脅。上的網站已面臨資料隱碼攻擊方式的嚴重威脅。5. 5. 整体上,安全编程意识的不足导致不安全的应用不断出现整体上,安全编程意识的不足导致不安全的应用不断出现应用安全风险之应用层缓冲区溢出应用层缓冲区溢出缓冲区溢出是一种很典型的软件漏洞,黑客通过输入超长的恶意参数,让缓冲区溢出是一种很典型的软件漏洞,黑客通过输入超长的恶意参数,让程序处理该参数时超过预设的缓冲区范围,导致难以预料的后果。此类漏程序处理该参数时超过预设的缓冲区范围,导致难以预料的后果。此类漏洞在洞在W
26、ebWeb应用程序中也时常出现应用程序中也时常出现 举例:对象是一个要求客户输入个人信息的页面。用户查看该页面的源代举例:对象是一个要求客户输入个人信息的页面。用户查看该页面的源代码后发现,码后发现,“company namecompany name”字段的最大长度设为字段的最大长度设为3030(input type= ),这就可能意味着服务器端的这就可能意味着服务器端的CGICGI程序期望处理的最大字符串长度是程序期望处理的最大字符串长度是3030。如果。如果恶意用户修改了这个值,比如改成恶意用户修改了这个值,比如改成1000010000,然后在,然后在 companynamecompany
27、name 输入字段输入字段中填充大量的字符,提交给中填充大量的字符,提交给WebWeb服务器后,服务器后,CGICGI程序很可能发生缓冲区溢出,程序很可能发生缓冲区溢出,WebWeb服务器将发生难以预料的后果。服务器将发生难以预料的后果。 应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之cookie安全安全传统的传统的WebWeb应用系统,为了支持面向用户的网页内容,通常都使用应用系统,为了支持面向用
28、户的网页内容,通常都使用cookiescookies机制在客户端主机上保存某些信息,例如用户机制在客户端主机上保存某些信息,例如用户IDID、口令、时、口令、时戳等。这些戳等。这些cookiescookies可以用来维护可以用来维护WebWeb访问会话迁移过程中的状态信访问会话迁移过程中的状态信息,使服务器可以识别前一个会话过程的用户。因为息,使服务器可以识别前一个会话过程的用户。因为cookiescookies通常是通常是不经加密就保存在用户的桌面系统中,黑客能够很容易地篡改不经加密就保存在用户的桌面系统中,黑客能够很容易地篡改cookiescookies内容,由此获取其他用户的账号,导致严
29、重的后果。内容,由此获取其他用户的账号,导致严重的后果。举例:一个存在举例:一个存在cookiecookie毒害漏洞的例子。这是一个支持在线付费的毒害漏洞的例子。这是一个支持在线付费的网站。下面图例中,一个名为网站。下面图例中,一个名为AbacariusAbacarius的消费者(黑客?)登录网的消费者(黑客?)登录网站,需要提交几笔付费项目。该网站是通过保存在客户端的站,需要提交几笔付费项目。该网站是通过保存在客户端的cookiecookie信息来识别登录用户的,而客户端信息来识别登录用户的,而客户端cookiecookie文件中保存的文件中保存的“abacariusabacarius”用户
30、名只经过了简单的用户名只经过了简单的“加密加密”处理(将处理(将aa变成变成zz,bb变成变成yy,依此类推),依此类推),即即“ “zyzxzirfhzyzxzirfh” ”。黑客只需要替换掉这个字串内容,就可以冒名顶替其。黑客只需要替换掉这个字串内容,就可以冒名顶替其他用户进行付费操作了。他用户进行付费操作了。例如,将例如,将zyzxzirfhzyzxzirfh替换为替换为qlsmhlmqlsmhlm,也就是将,也就是将abacariusabacarius用户更名用户更名为为JohnsonJohnson。应用安全风险之cookie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之co
31、okie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之跨站脚本攻击跨站脚本攻击跨站脚本(跨站脚本(Cross-sitescriptingCross-sitescripting,CSSCSS)是一种向其他)是一种向其他WebWeb用户浏览用户浏览页面插入执行代码的方法。页面插入执行代码的方法。WebWeb服务器端应用程序要是接受客户端提交的表单信息而不加验证审服务器端应用程序要是接受客户端提交的表单信息而不加验证审核,黑客很可能在其中插入可执行脚本的代码,例如核,黑客很可能在其中插入可执行脚本的代码,例如JavaScriptJavaScript、VBS
32、criptVBScript等,如果客户端提交的内容不经过滤地返回给任意访问该网等,如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器,其中嵌入的脚本代码就会以该站的客户端浏览器,其中嵌入的脚本代码就会以该WebWeb服务器的可信服务器的可信级别被客户端浏览器执行,这就是级别被客户端浏览器执行,这就是CSSCSS漏洞的问题所在。漏洞的问题所在。存在这种漏洞的最典型的例子,就是某些网络论坛,这些存在这种漏洞的最典型的例子,就是某些网络论坛,这些BBSBBS会向客会向客户端返回其他用户之前输入的内容,许多搜索引擎网站也存在此类问户端返回其他用户之前输入的内容,许多搜索引擎网站也存在此类
33、问题。题。收到这些嵌入恶意代码内容的客户端浏览器,如果信任内容来源网站,收到这些嵌入恶意代码内容的客户端浏览器,如果信任内容来源网站,恶意代码就可能在客户端主机执行。恶意代码就可能在客户端主机执行。应用安全风险之跨站脚本攻击跨站脚本攻击跨站脚本漏洞的本质还在于Web应用程序没有对客户端输入进行严格校验。黑客利用此类漏洞,可能实施的攻击操作包括:窃取用户COOKIE,伪造身份;伪造网页内容;客户端拒绝服务攻击和恶性病毒传播;执行系统命令 高级黑客入侵技术;等。应用安全风险之跨站脚本攻击跨站脚本攻击某个恶意用户就某个严重问题草拟报告如下正常内容大家好啊。 应用安全风险之跨站脚本攻击跨站脚本攻击ht
34、tp:/ 参考:参考:以上所贴的http:/ 应用安全风险之操纵页面隐藏字段操纵页面隐藏字段隐藏字段即隐藏字段即HTMLHTML表单中表单中hiddenhidden类型的字段。类型的字段。WebWeb系统本身是无状态的,为了维持客户端系统本身是无状态的,为了维持客户端/ /服务器之间的服务器之间的会话状态,会话状态,WebWeb应用系统最简单也最普遍采用的方法就是应用系统最简单也最普遍采用的方法就是用隐藏字段存储信息。但是,隐藏字段并非真正用隐藏字段存储信息。但是,隐藏字段并非真正 隐藏隐藏 ,它,它仅仅是不显示给用户而已,提供给客户端的静态页面源码仅仅是不显示给用户而已,提供给客户端的静态页
35、面源码中就保存有隐藏字段的真实内容。许多基于中就保存有隐藏字段的真实内容。许多基于WebWeb的电子商的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容,客户端浏览器只要用敏感内容,客户端浏览器只要用ViewSourceViewSource命令就可以命令就可以查看其真实的内容。例如:查看其真实的内容。例如: 心存恶意的用户,用浏览器简单地保存心存恶意的用户,用浏览器简单地保存HTMLHTML页面源代码,页面源代码,修改隐藏字段内容,重新提交给服务器端,修改隐藏字段内容,重新提交给服务器端,WebWeb服务器如服务器如果不对这种改
36、变做进一步验证,就很容易用新的伪造的信果不对这种改变做进一步验证,就很容易用新的伪造的信息处理交易,这是一种非常危险的漏洞。息处理交易,这是一种非常危险的漏洞。应用安全风险之操纵页面隐藏字段操纵页面隐藏字段在技术上使用隐藏字段来存储商品价格、用户名、密码等敏感内容,客户端浏览器只要用“View Source”命令就可以查看其真实的内容。应用安全风险之操纵页面隐藏字段操纵页面隐藏字段应用安全风险之操纵页面隐藏字段操纵页面隐藏字段修改修改Value=“1.95”,重新提交给服务器端处理,重新提交给服务器端处理应用安全风险之操纵页面隐藏字段操纵页面隐藏字段Web服务端服务端CGI如果不对这种改变做进
37、一步验证,如果不对这种改变做进一步验证,就很容易用新的伪造的信息处理交易。就很容易用新的伪造的信息处理交易。购物车CGI接受你以$1.95的价格购买$129.95的商品应用安全风险之隐蔽指令执行隐蔽指令执行(主要是指(主要是指UnixUnix服务器)服务器端服务器)服务器端includeinclude通过从本地硬盘驱动器中调用文档通过从本地硬盘驱动器中调用文档或其它对象,然后将这些元素自动包含在或其它对象,然后将这些元素自动包含在WebWeb页面中。页面中。例如:例如:#exec#execcmdcmd=“=“rmrmrfrf*”*”这个看起来象这个看起来象SSI,SSI,假如这条假如这条SSI
38、SSI成功执行且成功执行且HTTPDHTTPD正在根下运行,则删除的将是整个驱动器。大多数站点禁止使用正在根下运行,则删除的将是整个驱动器。大多数站点禁止使用SSI.SSI. 举例:入侵者在本该填写举例:入侵者在本该填写StreetAddressStreetAddress的可输入区域填写敏感文件查看指的可输入区域填写敏感文件查看指令令!#exec/bin/cat/etc/-入侵者聪明地驱使入侵者聪明地驱使WEBSERVERWEBSERVER把把SSLkeySSLkey文件附加显示到网页上,从而文件附加显示到网页上,从而可让自己成功扮演服务器角色搜集各种客户重要信息可让自己成功扮演服务器角色搜集
39、各种客户重要信息应用安全风险之隐蔽指令执行隐蔽指令执行应用安全风险之隐蔽指令执行隐蔽指令执行 应用安全风险之隐蔽指令执行隐蔽指令执行入侵者驱使WEB 服务器把SSL key文件附加显示到网页上,从而可让自己成功扮演服务器角色搜集各种客户重要信息应用安全风险之已知安全漏洞已知安全漏洞许多操作系统及第三方应用软件(包括许多操作系统及第三方应用软件(包括WebWeb服务器和数据库服务器)都存在一服务器和数据库服务器)都存在一些已知漏洞,如果管理员不及时安装已经发布了的软件补丁,这些漏洞就很可些已知漏洞,如果管理员不及时安装已经发布了的软件补丁,这些漏洞就很可能被黑客利用。能被黑客利用。因为黑客只需要
40、用简单的漏洞扫描器和大量的漏洞披漏网站就可以知道该怎样因为黑客只需要用简单的漏洞扫描器和大量的漏洞披漏网站就可以知道该怎样实施攻击了。其实,许多已知漏洞都可以归类到前面介绍的几种典型漏洞当中实施攻击了。其实,许多已知漏洞都可以归类到前面介绍的几种典型漏洞当中举例:举例:IISIIS服务器的服务器的ASPAlternateDataStreamsASPAlternateDataStreams漏洞,只要在漏洞,只要在ASPASP文件名后加文件名后加上上“:$DATA”“:$DATA”后缀,就可以看到后缀,就可以看到ASPASP文件源代码,这个漏洞就属于典型的文件源代码,这个漏洞就属于典型的CGICG
41、I参参数欺骗类型。数欺骗类型。而另一个此类漏洞而另一个此类漏洞IISUnicodeIISUnicode漏洞,则可以让黑客查看敏感信息,执行系统命漏洞,则可以让黑客查看敏感信息,执行系统命令,进行文件操作,后果将是非常严重的。令,进行文件操作,后果将是非常严重的。http:/ 任何人都可以轻易阅读到保密的任何人都可以轻易阅读到保密的kids.cvskids.cvs 应用安全风险之强力浏览问题强力浏览问题应用安全知识之强力浏览问题强力浏览问题应用安全风险之强力浏览问题强力浏览问题应用安全风险之参数篡改攻击参数篡改攻击如果如果WebWeb应用程序没有对客户端提交的参数进行严格校验,就有可能对客户应用
42、程序没有对客户端提交的参数进行严格校验,就有可能对客户端参数中包含的某些特殊内容进行不适当的处理,导致难以预料的后果。这端参数中包含的某些特殊内容进行不适当的处理,导致难以预料的后果。这类漏洞最常见于那些应用了类漏洞最常见于那些应用了SQLSQL数据库后端的数据库后端的WebWeb服务器,黑客通过向提交服务器,黑客通过向提交给给CGICGI程序的参数中程序的参数中“注射注射”某些特殊某些特殊SQLSQL语句,最终可能获取、篡改、控制语句,最终可能获取、篡改、控制WebWeb服务器端数据库中的内容。服务器端数据库中的内容。,当然,此类漏洞的另一种后果,就是泄漏某些敏感信息,许多当然,此类漏洞的另
43、一种后果,就是泄漏某些敏感信息,许多WebWeb服务器服务器及应用系统都曾经披漏过此类问题。利用此类编程漏洞执行系统指令也是常及应用系统都曾经披漏过此类问题。利用此类编程漏洞执行系统指令也是常用的入侵方式。用的入侵方式。举例:举例:(1)(1) or 1=1-or 1=1-or 1=1- 逻辑认证绕过逻辑认证绕过 SELECT * FROM SELECT * FROM SELECT * FROM tblUsertblUsertblUser WHERE WHERE WHERE UserNameUserNameUserName= or 1=1-or 1=1-or 1=1- AND AND AND
44、Password=Password=Password=asdfasdfasdf (2)(2)利用错误信息取得资料表内各栏位的资料形态利用错误信息取得资料表内各栏位的资料形态 UNION SELECT abc,1,1,1 FROM UNION SELECT abc,1,1,1 FROM UNION SELECT abc,1,1,1 FROM tblUsertblUsertblUser SELECT * FROM SELECT * FROM SELECT * FROM tblUsertblUsertblUser WHERE WHERE WHERE UserNameUserNameUserName=
45、 = UNION SELECT abc,1,1,1 FROM UNION SELECT abc,1,1,1 FROM UNION SELECT abc,1,1,1 FROM tblUsertblUsertblUser - - - AND Password=AND Password=AND Password=asdfasdfasdf 应用安全风险之参数篡改攻击参数篡改攻击普通客户提交正常要求helloworld7777-8888-Aaaaaaaaaaaaa-bbbbbbbbbbbbb不怀好意者在此栏提交各种测试代码,如 “ ”应用安全风险之参数篡改攻击参数篡改攻击应用安全风险之参数篡改攻击参数篡
46、改攻击,) select 123 -test111-xxxx.xxxx.xxx.xxxx应用安全风险之参数篡改攻击参数篡改攻击AppExplore评估该类型的报告显示:SQL INJECTION攻击之简单符号匹配2模式测试类似于new.asp?id=255通常asp脚本程序访问SQL数据库的写法是SELECT * FROM newstable WHERE ID = valueAsp脚本程序员没有对value进行单引号等特殊符号校验,导致入侵者可以在value后面构造自定义的复杂SQL指令通过asp脚本程序传递给后台数据库执行,入侵者的操作权限等同于asp脚本程序访问数据库对应的数据库账号映射到
47、系统账号的权限!如果asp脚本程序调用的是sysadmin组的用户,将导致入侵者可以直接使用localsystem账号执行系统命令;例如:news.asp?id=255 exec master.dbo.xp_cmdshell “net user tmpuser /add” -news.asp?id=255 exec master.dbo.xp_cmdshell “net localgroup administrators tmpuser /add” -临时解决办法:对于所有用户提交的数据进行基本的特殊字符前台过滤和屏蔽;采用Replace(value,“ ,“ “ )等方法防治入侵者的指令从字
48、符串跳出演变成为具有危害性的SQL指令。 产品化特点专家介绍专家介绍公司简介公司简介RRealSOIealSOI AppExploreAppExplore & &APPSecurityAPPSecurity产品化特点产品化特点典型案例典型案例总结总结小投入、大作用小投入、大作用Anitsolution 2000论安全体系的完整性“AppExplore系列产品对整个网站应用平台的安全健康状况层次化的表示,使得安全管理员和评测员能切实看到网站的应用安全全貌和黑客入侵威胁点并作出正确响应,真正做到未雨绸缪.”极大降低应用安全服务成本2424小时小时/2/2位应用安全专家手工评测成果位应用安全专家手工
49、评测成果小于等于小于等于2020分钟分钟/AppExploreAppExplore+一名普通操作人一名普通操作人员的评测效果员的评测效果基于定制策略的定时评估,网段评估基于定制策略的定时评估,网段评估公正的公正的“黑箱子测试黑箱子测试”使得程序员和系使得程序员和系统安全分析员一目了然地知晓故障点和统安全分析员一目了然地知晓故障点和排除故障最简便的方法排除故障最简便的方法评估结果报告将直接告诉用户评估结果报告将直接告诉用户“哪个文哪个文件的哪个参数出了问题,是什么类型的件的哪个参数出了问题,是什么类型的问题?问题?”产品整体特点网站应用结构图分析功能:网站应用结构图分析功能:立足于网站系统应用的
50、安全规划,多种手段相结合,完整而详细的分立足于网站系统应用的安全规划,多种手段相结合,完整而详细的分析出目标网站的目录结构和文件关系。析出目标网站的目录结构和文件关系。应用安全隐患分析功能:应用安全隐患分析功能:分析来自网站结构图中的每一个网站功能脚本程序的应用状况,借助分析来自网站结构图中的每一个网站功能脚本程序的应用状况,借助于专用的知识数据库,针对所有可能为黑客所利用的入侵项目进行多于专用的知识数据库,针对所有可能为黑客所利用的入侵项目进行多样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性帮助的安全隐患报告。帮助的安
51、全隐患报告。分析过程支持分析过程支持交互式策略交互式策略和和全自动策略全自动策略;支持代理;支持代理(proxy)(proxy)扫描;扫描;SSLSSL和客户端认证支持;和客户端认证支持;本评估系统广泛支持各种常见应用系统或者引擎语言:本评估系统广泛支持各种常见应用系统或者引擎语言:ASP,PHP,ASP,PHP,ColdFusionColdFusion,Lotus,LotusDomino,BEADomino,BEA WebLogicWebLogic, ,Perl,NetscapePerl,NetscapeJavaJavaServletPagesServletPages等等产品整体特点基于国际
52、标准和行业规范的风险报告功能:基于国际标准和行业规范的风险报告功能:形成通俗易懂的风险说明报告。图文并茂地展现出漏洞表、威胁表、风险比形成通俗易懂的风险说明报告。图文并茂地展现出漏洞表、威胁表、风险比率图等报告,显示详细安全隐患来源和背景。使得使用该产品的人员能够在率图等报告,显示详细安全隐患来源和背景。使得使用该产品的人员能够在不断掌握新安全知识的情况下来抵御应用层黑客的入侵。不断掌握新安全知识的情况下来抵御应用层黑客的入侵。稳定快捷的在线升级功能:稳定快捷的在线升级功能:简单方便的网络在线升级功能,将不断的更新升级最新的专用知识数据库。简单方便的网络在线升级功能,将不断的更新升级最新的专用
53、知识数据库。独特的预警模式,将第一时间提醒您关注最新的安全风险。独特的预警模式,将第一时间提醒您关注最新的安全风险。反盗版和反破解设计:反盗版和反破解设计:避免该系列产品不会被未授权非法使用。避免该系列产品不会被未授权非法使用。严格的认证和授权-规避滥用安装序列号认证安装序列号认证基于硬件序列种子的基于硬件序列种子的网络认证网络认证管理员口令认证管理员口令认证直观的界面-主界面直观的界面-安全浏览器直观的界面-综合报告界面其它关键界面一览其它关键界面一览其它关键界面一览典型案例专家介绍专家介绍公司简介公司简介RealSOIRealSOI AppExploreAppExplore & &APPS
54、ecurityAPPSecurity产品化特点产品化特点典型案例典型案例总结总结典型案例1使用使用REALSOIREALSOIAppExploreAppExplore来加强安全策略,从可操作化角度进一来加强安全策略,从可操作化角度进一步满足步满足GB18336GB18336的标准要求的标准要求AppExploreAppExplore能穿越多个入侵监测系统、防火墙,从电子政务网上应能穿越多个入侵监测系统、防火墙,从电子政务网上应用的前端系统一直渗透评估到后台数据库系统用的前端系统一直渗透评估到后台数据库系统自从使用自从使用AppExploreAppExplore系统进行全面评估之后,暴露了不计其
55、数的此系统进行全面评估之后,暴露了不计其数的此前根本没有关注的致命隐患前根本没有关注的致命隐患经过配套的安全编程知识强化培训,电子政务建设者普遍对应用安经过配套的安全编程知识强化培训,电子政务建设者普遍对应用安全的解决方案有了深刻理解,同时也对电子政务更加充满信心全的解决方案有了深刻理解,同时也对电子政务更加充满信心电子政务全国性网上政府公开网站安全大检阅:电子政务全国性网上政府公开网站安全大检阅:“自从开始使用REALSOI AppExplore评估系统, 电子政务应用平台有了一个强大的已知漏洞和未知漏洞的发掘机.”典型案例2能以很小的投入对多个大型企业客户的网站系统进行完整的应用安能以很小
56、的投入对多个大型企业客户的网站系统进行完整的应用安全评估,能较为彻底地发掘企业网站应用可能出现的已知和未知隐全评估,能较为彻底地发掘企业网站应用可能出现的已知和未知隐患,找出可能被应用型蠕虫利用的环节,阻止蠕虫患,找出可能被应用型蠕虫利用的环节,阻止蠕虫为重要客户组织技术讲座,重点培训应用安全知识,整体提升客户为重要客户组织技术讲座,重点培训应用安全知识,整体提升客户安全编码的意识和能力安全编码的意识和能力ISPISP为客户提供安全加固增值服务,用于提前评估客户网站应用系统安为客户提供安全加固增值服务,用于提前评估客户网站应用系统安全指数,阻止即将蔓延的应用型蠕虫:全指数,阻止即将蔓延的应用型
57、蠕虫:“如果没有REALSOI AppExplore对诸多网站应用节点的全面评估, 我们为客户提供的安全防御体系的整个投入不能算是完整的.”总结专家介绍专家介绍公司简介公司简介RealSOIRealSOI AppExploreAppExplore & &APPSecurityAPPSecurity产品化特点产品化特点典型案例典型案例总结总结正确的方向关注应用安全专注应用安全专注应用安全设计思路的选择设计思路的选择扮演出色的应用层未知安全漏洞发掘机的角色扮演出色的应用层未知安全漏洞发掘机的角色扮演应用层安全扮演应用层安全“ “黑箱子黑箱子” ”测试平台的角色测试平台的角色 填补国内空白填补国内空
58、白开发难度大攻关突破核心技术为核心技术为“ “智能探索智能探索” ”(SmartExploreSmartExplore),其特点在于能),其特点在于能够分析并且学习每一个够分析并且学习每一个WEBWEB应用的独特的个性,通过组合变应用的独特的个性,通过组合变化各种已知及未知、应用程序特有及普遍存在的漏洞之黑客化各种已知及未知、应用程序特有及普遍存在的漏洞之黑客攻击特征,测试并验证目标系统的脆弱性攻击特征,测试并验证目标系统的脆弱性。实现难点一:实现难点一:要求能够高效稳定地处理各种复杂要求能够高效稳定地处理各种复杂WEBWEB页面并且识别不同页面并且识别不同应用的独特个性。应用的独特个性。实现
59、难点二:实现难点二:根据不同应用的个性,动态地对应用嵌入经过组合的应用层根据不同应用的个性,动态地对应用嵌入经过组合的应用层黑客攻击特征,并统计分析得出评估定论,以此测试和验证目标系统的黑客攻击特征,并统计分析得出评估定论,以此测试和验证目标系统的应用安全脆弱性。应用安全脆弱性。 其它难点:其它难点:大量应用安全攻防技术尤其是黑客应用层攻击渗透技术的评大量应用安全攻防技术尤其是黑客应用层攻击渗透技术的评估和研究方法论建立估和研究方法论建立我们的领先地位根据根据FoundstoneFoundstoneFoundstoneFoundstone& & & &SanctumincSanctumincS
60、anctumincSanctuminc和和其他业界领先的分析家的分析,其他业界领先的分析家的分析, AppExploreAppExploreAppExploreAppExplore处在应用安全评估系处在应用安全评估系统的领先地位。统的领先地位。在亚洲以外,在亚洲以外,在亚洲以外,在亚洲以外,SanctumincSanctumincSanctumincSanctuminc主导着主导着主导着主导着应用安全评估工具的主流和方向应用安全评估工具的主流和方向应用安全评估工具的主流和方向应用安全评估工具的主流和方向在亚洲,在亚洲,在亚洲,在亚洲,REALSOIREALSOIREALSOIREALSOI主导
61、着应用安主导着应用安主导着应用安主导着应用安全评估工具的主流和方向全评估工具的主流和方向全评估工具的主流和方向全评估工具的主流和方向S S S Sanctumincanctumincanctumincanctuminc和和和和REALSOIREALSOIREALSOIREALSOI成功合作成功合作成功合作成功合作成功的实施建立在有组织的高效的评估体系基础上成功的实施建立在有组织的高效的评估体系基础上客户可以很快地很直接地看到由评估结果带来的价值客户可以很快地很直接地看到由评估结果带来的价值: :应用维护人员可以转做关键的任务应用维护人员可以转做关键的任务更快地评估新进入网站的各项功能和内容,并
62、更有效地响应更快地评估新进入网站的各项功能和内容,并更有效地响应更多高质量的应用安全培训更多高质量的应用安全培训 “ “很多安全服务提供商也尝试过他们的评估方案,但是失败了!很多安全服务提供商也尝试过他们的评估方案,但是失败了!”RealSOIRealSOI和和AnitsolutionAnitsolution联手在两个月中实施了联手在两个月中实施了超过超过2020个企业和组织个企业和组织我们的成功经历继续完善后续需要大量的人力、物力投入后续需要大量的人力、物力投入急待完善急待完善产品系列化产品系列化我们的客户金融金融业业/网上银行网上银行CmbchinaCmbchinaChinaChinaBa
63、nkBankThePeoplesBankOfCHINAThePeoplesBankOfCHINAChinaConstructionBankChinaConstructionBankBankOfShanghaiBankOfShanghaiShanghaiShanghaiPudongPudongDevelopmentBankDevelopmentBankChinaChinaMinshengMinshengBankingBankingBankOfCommunicationsBankOfCommunications电子政府电子政府EGOVSTDEGOVSTDECHINAGOVECHINAGOVChinaEGChinaEGBeijing-ChinaBeijing-ChinaBJRDBJRD我们的客户电信电信ChinaChinaTelecomTelecomDTTDTTBTABTA服务服务提供商提供商CHINAPUTIANCHINAPUTIAN制造业制造业SonySonyThanks!Q&A
