《网站应用层安全隐患评估系统课件》由会员分享,可在线阅读,更多相关《网站应用层安全隐患评估系统课件(97页珍藏版)》请在金锄头文库上搜索。
1、网站网站应用用层安全安全隐患患评估系估系统 AppExploreVersion1.0RealSOI Information Security R&D Lab业界专家论证会业界专家论证会FUNianDong(傅念东)NetworkSecurityResearcherREALSOIINFOTECHCISO网站应用层安全隐患评估系统目录专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结网站应用层安全隐患评估系统专家介绍高庆狮高庆狮院士院士卿斯汉卿斯汉中科院研究员中科院研究员贺也平贺也平中科院副研究员陈立杰陈立杰军方高工徐广方徐广方军方总工、高工江常青江常
2、青国家测评认证中心情报部主任网站应用层安全隐患评估系统网站应用层安全隐患评估系统目录专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结网站应用层安全隐患评估系统REALSOI INFO TECH瑞索讯杰信息技术(北京)有限公司是成立于2002年7月的高新技术型企业和“双软认证”企业公司位于中国北京,并在西安、上海设有研发合作小组,从事网络安全领先技术的研究和产品开发公司定位于AppSecurity和ComputerForensicsCertifiedInformationSystemsSecurityProfessional(CISSP)Certi
3、fiedInformationSystemsAuditor(CISA)CISPlecturerRealSOI-AnitsolutionInformationSecurityR&DLab一流的AppSecurityLab&ComputerForensicsLab网站应用层安全隐患评估系统Anitsolution北京华安永诚信息系统有限公司由资深信息技术、网络安全专家创建的专业服务公司公司致力于网络安全集成和专业的网络安全服务与瑞索讯杰共同出资组建信息安全积极防御实验室,专注应用安全和计算机取证技术、产品的研发与推广主流安全厂商良好的合作关系骨干员工来自国内外知名的网络安全公司网站应用层安全隐患评
4、估系统n n企业企业技术技术领导人于领导人于9 90 0年代中期开始致力于网络事年代中期开始致力于网络事业业n n开始于开始于19981998年,先后年,先后为国内两家一流安全企业创为国内两家一流安全企业创办办积极防御研究中心积极防御研究中心并担任技术负责人并担任技术负责人n n成功参与和负责国家信息安全项目的设计和监理成功参与和负责国家信息安全项目的设计和监理n n 国际国际CISSPCISSP认证认证/ /国内国内CISPCISP讲师讲师 认证认证n n成功参与过多起计算机犯罪专家取证成功参与过多起计算机犯罪专家取证n n成功领导多个行业安全风险评估工程成功领导多个行业安全风险评估工程中国
5、电信中国电信/ /中国移动中国移动/ /证券证券/ /银行银行REALSOI LEADER 网站应用层安全隐患评估系统REALSOI LEADERn n19991999年年创办中国最大的驱创办中国最大的驱动程序开发资源论坛动程序开发资源论坛- -”-”中国驱动开发网中国驱动开发网” ” n n著作著作JAVAJAVA高级开发指南高级开发指南;n n著作著作DriverStudioDriverStudio开发开发指南及库参考指南及库参考;n n著作著作WindriverWindriver开发指南开发指南及库参考及库参考;n n著作著作程序春秋程序春秋网站应用层安全隐患评估系统REALSOI成功案
6、例成功实施河南省济源市网上行政审批便民服务系统集成和网络安全整体工程,合作企业:国研股份安全知识培训服务中国保监会网站安全保障服务合作者:华安永诚中国国际招标网网站系统安全评估和保障服务中石化工程建设公司安全风险评估,合作者:江南科友对北京公安一局进行网络技术及FBI取证技术课程培训,周期一个月;国家质量监督检疫总局系统网络安全轮训;信息产业部安全培训;中央电视台央视网络安全培训;合作者:清华继续教育学院;网站应用层安全隐患评估系统成功案例成功地完成了中国电信31个省份网管人员的UNIX攻击和防御技术培训,为期3天;成功地完成了中国国家评测中心实验室的网络攻击和防御技术培训;荣幸地被中国国家评
7、测中心唯一免试特聘为UNIX安全管理课程讲师,并成功完成人民银行CISP认证培训网络攻击和防御技术培训以及UNIX安全管理培训; 并将于2003年4月14日参与该中心组织的民生银行CISE认证培训授课;协助西安市公安局信息大队公安人员进行电子信息犯罪取证现场技术专家分析,使用到我公司的信息犯罪取证智能决策和指导知识库系统,地点:宝鸡市AppExplore V1.0军用版技术培训和相关项目合作;AppExplore系我公司自主研发成功的国内首套大型网站应用层安全隐患测评系统,目前产品系列分析军用版/金融版/电子政务版/大型企业版为西安市电信局信息部门开发新一代IP地址分布式定位系统,即将投入使用
8、;与英国标准协会北京OFFICE(BSI BEIJING)协力推动BS7799标准在中国保险行业的应用;网站应用层安全隐患评估系统REALSOI 的安全研究历程安安全全硬硬件件平平台台动动态态安安全全资资源源管管理理与Anitsolution共同为用户提供一流的安全资源整合和企业风险管理FirewallIDSAnti VirusVPN CA非法途径拨号外联管理HTTP/HTTPS80/443黑客自由出入的通道?Middle-Ware APP SERVERWEB SERVERDATABASE当前当前70%70%的入侵来自的入侵来自WEBWEB应用层应用层企企业业级级应应用用层层安安全全隐隐患患评
9、评估估统计统计网站应用层安全隐患评估系统统计全球黑客利用应用层已知或者未知的安全隐患入侵破坏技术,对各类型网站应用平台构成巨大威胁:网站应用层安全隐患评估系统-新闻报道AtomicP alerts customers to breach CNetNMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityW Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 years Ecommer
10、ce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer information CNet Jan 22, 2001 U.S. Navy Hacked Security
11、W, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 网站应用层安全隐患评估系统-黑客已经无数次地造成:1. 网上电子商城业务系统遭受黑客完全访问网上电子商城业务系统遭受黑客完全访问2. 网上花市用户信用卡数据失窃网上花市用户信用卡数据失窃3. 网上电子书城重要数据被删除网上电子书城重要数据被删除4. 网上电子商务交易被黑客伪造等网上电子商务交易被黑客伪造等5. 政府网上形象站点页面被黑客涂抹政府网上形象站点页面被黑客涂抹6. 其它方面影响其它方面影响网站应用层安全隐
12、患评估系统统计根据美国联邦商务委员会(FederalTradeCommission)调查显示,2002年期间,全球与网络安全直接相关的经济损失高达18亿美金恶性蠕虫出现之后,损失将显著增加研究跟踪发现:近期将出现利用网站应用层漏洞如SQLINJECTION隐患进行破坏性攻击的新一代恶性蠕虫!60%的入侵者会考虑从Applicationlevel进行入侵,通常,网络中的加密手段和防火墙措施都被绕过事实上,WEB应用正逐渐成为网上商业的核心“SecurityisaBUSINESS DRIVER !”只有安全,网上商业才能有动力!专业针对应用中未被揭露的安全隐患自动化评估系统已经被成功研制,可以辅助
13、解决应用层大量已知和未知的安全问题网站应用层安全隐患评估系统最新动态瑞索咨询家网站应用层安全隐患评估系统AppExplore受到中国信息安全产品测评认证中心的关注,并在中心试用受到北京信息安全测评中心的关注,拟作为党政网站的应用安全评估工具网站应用层安全隐患评估系统Thanks!网站应用层安全隐患评估系统网站网站应用用层安全安全隐患患评估系估系统 AppExploreVersion1.0FUNianDong(傅念东)NetworkSecurityResearcherREALSOIINFOTECHCISORealSOI Information Security R&D Lab业界专家论证会业界专
14、家论证会网站应用层安全隐患评估系统关注应用安全-完善安全体系n大量黑客事件警示了防火墙和入侵监测系统在应用层攻击手段下往往无能为力n安装补丁不能完全解决应用安全问题n应用程序安全编码对于完善整个安全体系的重要性n采用科学的评估手段针对企业WEB系统进行“黑箱子测试”,实施多方位的应用层入侵技术模拟评估,揭露应用安全隐患迫在眉睫应用安全启示:应用安全启示:网站应用层安全隐患评估系统REALSOI 的安全定位nAppSecurity应用安全nComputerForensics计算机取证网站应用层安全隐患评估系统RealSOI AppExplore &APP Security专家介绍公司简介Real
15、SOIAppExplore&APPSecurity产品化特点典型案例总结网站应用层安全隐患评估系统REALSOI AppExplore 成熟产品化商业评估软件成熟产品化商业评估软件 专业应用层安全隐患揭露系统专业应用层安全隐患揭露系统 普通普通Scanner+AppExploreScanner+AppExplore形成形成完整有效的新一代测评组合完整有效的新一代测评组合 安全服务安全服务市场市场的主要切入点将会的主要切入点将会逐渐转向应用安全领域逐渐转向应用安全领域 应用层的专业评估将在完整的安应用层的专业评估将在完整的安全解决方案中担任重要角色全解决方案中担任重要角色AppExplore定位
16、:定位:网站应用层安全隐患评估系统AppExplore为谁服务? 电子商务电子商务应用平台和形象宣传平台应用平台和形象宣传平台 网上银行网上银行应用平台和形象宣传平台应用平台和形象宣传平台 电子政府电子政府应用平台应用平台和形象宣传平台和形象宣传平台 大中型企业大中型企业网站应用网站应用和和宣传平台宣传平台 ISP/ASPISP/ASP客户增值评估服务工具系客户增值评估服务工具系统统 第三方测评认证机构第三方测评认证机构工具系统工具系统 军方专用敌对网站打击渗透工具系军方专用敌对网站打击渗透工具系统(直接打击功能为特别定制)统(直接打击功能为特别定制) 其他任何具有应用层安全服务需求其他任何具
17、有应用层安全服务需求的客户群的客户群网站应用层安全隐患评估系统AppExplore思考的十大类安全问题APPLICATION BUFFER OVERFLOW 应用层缓冲区溢出(压力测试)应用层缓冲区溢出(压力测试)COOKIE POISONING cookie安全使用状况评估安全使用状况评估CROSS-SITE SCRIPTING 跨站脚本攻击风险评估跨站脚本攻击风险评估 HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估页面隐藏参数域篡改风险评估 STEALTH COMMANDING 系统隐蔽指令执行风险评估系统隐蔽指令执行风险评估 3RD PARTY MISCONFIGUR
18、ATION 第三方误配置安全隐患第三方误配置安全隐患 KNOWN VULNERABILITIES 各类型已知安全漏洞各类型已知安全漏洞 PARAMETER TAMPERING URL参数篡改攻击风险评估参数篡改攻击风险评估 BACKDOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患后门程序和调试选项遗留隐患 FORCEFUL BROWSING 网站内容强力浏览问题网站内容强力浏览问题网站应用层安全隐患评估系统应用安全方面的权威书籍权威资料参考:Web Hacking: Attacks and Defenseby Stuart McClure, Saumil Shah, Shr
19、eeraj ShahHacking Exposed (TM) Web Applications by Joel Scambray, Mike Shema 网站应用层安全隐患评估系统如果存在以上十大类问题,那么。1.由于COOKIE中毒安全隐患,导致黑客可能实施身份伪装攻击;2.由于隐藏字段信息篡改隐患,黑客可能实施电子欺骗;3.由于URL参数、表单变量存在安全隐患,黑客因此可能进行系统指令执行、逻辑认证绕过、后台数据库攻击等;4.由于应用程序缓冲区溢出隐患,黑客可能导致业务终止甚至获取非法权限;5.由于跨站点脚本执行隐患,导致黑客可能实施不同程度基于信息泄漏的攻击;6.由于第三方软件的错误设置
20、和典型的已知安全隐患存在,导致不同类型的黑客入侵破坏;网站应用层安全隐患评估系统AppExplore面对的市场背景1.用户普遍还停留在FW+IDS层次的安全防护意识;2.国内用户对应用安全知识了解不够,对应用安全隐患和风险认识不够,在国外,应用安全专家已经开始就应用安全问题进行普及宣传;3.面对网络级和系统级安全,多数用户”亡羊补牢”,而应用级安全迫在眉睫,需要的是”未雨绸缪”;4.应用层隐患普遍存在,一旦爆发蠕虫式恶意攻击,将形成”NIMDA现象”;这是一份来自台湾的调查统计:针对最为严重的SQLInjection漏洞的調查,由於國內九成以上網站皆使用SQL資料庫系統,因此,經警方測試,研判
21、國內八成以上的網站已面臨資料隱碼攻擊方式的嚴重威脅。5. 整体上,安全编程意识的不足导致不安全的应用不断出现网站应用层安全隐患评估系统应用安全风险之应用层缓冲区溢出应用层缓冲区溢出缓冲区溢出是一种很典型的软件漏洞,黑客通过输入超长的恶意参数,让缓冲区溢出是一种很典型的软件漏洞,黑客通过输入超长的恶意参数,让程序处理该参数时超过预设的缓冲区范围,导致难以预料的后果。此类漏程序处理该参数时超过预设的缓冲区范围,导致难以预料的后果。此类漏洞在洞在WebWeb应用程序中也时常出现应用程序中也时常出现 举例:对象是一个要求客户输入个人信息的页面。用户查看该页面的源代举例:对象是一个要求客户输入个人信息的
22、页面。用户查看该页面的源代码后发现,码后发现,“company name”“company name”字段的最大长度设为字段的最大长度设为3030(input type=“text” name=companyname ),这就可能意味着服务器端的这就可能意味着服务器端的CGICGI程序期望处理的最大字符串长度是程序期望处理的最大字符串长度是3030。如果。如果恶意用户修改了这个值,比如改成恶意用户修改了这个值,比如改成1000010000,然后在,然后在companynamecompanyname输入字段输入字段中填充大量的字符,提交给中填充大量的字符,提交给WebWeb服务器后,服务器后,C
23、GICGI程序很可能发生缓冲区溢出,程序很可能发生缓冲区溢出,WebWeb服务器将发生难以预料的后果。服务器将发生难以预料的后果。 网站应用层安全隐患评估系统应用安全风险之应用层缓冲区溢出应用层缓冲区溢出网站应用层安全隐患评估系统应用安全风险之应用层缓冲区溢出应用层缓冲区溢出网站应用层安全隐患评估系统应用安全风险之应用层缓冲区溢出应用层缓冲区溢出网站应用层安全隐患评估系统应用安全风险之应用层缓冲区溢出应用层缓冲区溢出网站应用层安全隐患评估系统应用安全风险之应用层缓冲区溢出应用层缓冲区溢出网站应用层安全隐患评估系统应用安全风险之cookie安全安全传统的传统的WebWeb应用系统,为了支持面向用
24、户的网页内容,通常都使用应用系统,为了支持面向用户的网页内容,通常都使用cookiescookies机制在客户端主机上保存某些信息,例如用户机制在客户端主机上保存某些信息,例如用户IDID、口令、时、口令、时戳等。这些戳等。这些cookiescookies可以用来维护可以用来维护WebWeb访问会话迁移过程中的状态信访问会话迁移过程中的状态信息,使服务器可以识别前一个会话过程的用户。因为息,使服务器可以识别前一个会话过程的用户。因为cookiescookies通常是通常是不经加密就保存在用户的桌面系统中,黑客能够很容易地篡改不经加密就保存在用户的桌面系统中,黑客能够很容易地篡改cookiesc
25、ookies内容,由此获取其他用户的账号,导致严重的后果。内容,由此获取其他用户的账号,导致严重的后果。举例:一个存在举例:一个存在cookiecookie毒害漏洞的例子。这是一个支持在线付费的毒害漏洞的例子。这是一个支持在线付费的网站。下面图例中,一个名为网站。下面图例中,一个名为AbacariusAbacarius的消费者(黑客?)登录网的消费者(黑客?)登录网站,需要提交几笔付费项目。该网站是通过保存在客户端的站,需要提交几笔付费项目。该网站是通过保存在客户端的cookiecookie信息来识别登录用户的,而客户端信息来识别登录用户的,而客户端cookiecookie文件中保存的文件中保
26、存的“abacariusabacarius”用户名只经过了简单的用户名只经过了简单的“加密加密”处理(将处理(将aa变成变成zz,bb变成变成yy,依此类推),依此类推),即即“ “zyzxzirfhzyzxzirfh” ”。黑客只需要替换掉这个字串内容,就可以冒名顶替其。黑客只需要替换掉这个字串内容,就可以冒名顶替其他用户进行付费操作了。他用户进行付费操作了。例如,将例如,将zyzxzirfhzyzxzirfh替换为替换为qlsmhlmqlsmhlm,也就是将,也就是将abacariusabacarius用户更名用户更名为为JohnsonJohnson。网站应用层安全隐患评估系统应用安全风险
27、之cookie中毒中毒网站应用层安全隐患评估系统应用安全风险之cookie中毒中毒网站应用层安全隐患评估系统应用安全风险之cookie中毒中毒网站应用层安全隐患评估系统应用安全风险之cookie中毒中毒网站应用层安全隐患评估系统应用安全风险之cookie中毒中毒网站应用层安全隐患评估系统应用安全风险之跨站脚本攻击跨站脚本攻击跨站脚本(跨站脚本(Cross-sitescriptingCross-sitescripting,CSSCSS)是一种向其他)是一种向其他WebWeb用户浏览用户浏览页面插入执行代码的方法。页面插入执行代码的方法。WebWeb服务器端应用程序要是接受客户端提交的表单信息而不
28、加验证审服务器端应用程序要是接受客户端提交的表单信息而不加验证审核,黑客很可能在其中插入可执行脚本的代码,例如核,黑客很可能在其中插入可执行脚本的代码,例如JavaScriptJavaScript、VBScriptVBScript等,如果客户端提交的内容不经过滤地返回给任意访问该网等,如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器,其中嵌入的脚本代码就会以该站的客户端浏览器,其中嵌入的脚本代码就会以该WebWeb服务器的可信服务器的可信级别被客户端浏览器执行,这就是级别被客户端浏览器执行,这就是CSSCSS漏洞的问题所在。漏洞的问题所在。存在这种漏洞的最典型的例子,就是某些网
29、络论坛,这些存在这种漏洞的最典型的例子,就是某些网络论坛,这些BBSBBS会向客会向客户端返回其他用户之前输入的内容,许多搜索引擎网站也存在此类问户端返回其他用户之前输入的内容,许多搜索引擎网站也存在此类问题。题。收到这些嵌入恶意代码内容的客户端浏览器,如果信任内容来源网站,收到这些嵌入恶意代码内容的客户端浏览器,如果信任内容来源网站,恶意代码就可能在客户端主机执行。恶意代码就可能在客户端主机执行。网站应用层安全隐患评估系统应用安全风险之跨站脚本攻击跨站脚本攻击跨站脚本漏洞的本质还在于Web应用程序没有对客户端输入进行严格校验。黑客利用此类漏洞,可能实施的攻击操作包括:窃取用户COOKIE,伪
30、造身份;伪造网页内容;客户端拒绝服务攻击和恶性病毒传播;执行系统命令 高级黑客入侵技术;等。网站应用层安全隐患评估系统应用安全风险之跨站脚本攻击跨站脚本攻击某个恶意用户就某个严重问题草拟报告如下正常内容大家好啊。img src= “10” height=“10”网站应用层安全隐患评估系统应用安全风险之跨站脚本攻击跨站脚本攻击 参考:参考:以上所贴的被证明包含有网页恶性病毒,理论上,所有信任该站点的重要客户都有可能由于浏览该页面文件而感染病毒。网站应用层安全隐患评估系统应用安全风险之操纵页面隐藏字段操纵页面隐藏字段隐藏字段即隐藏字段即HTMLHTML表单中表单中hiddenhidden类型的字段
31、。类型的字段。WebWeb系统本身是无状态的,为了维持客户端系统本身是无状态的,为了维持客户端/ /服务器之间的服务器之间的会话状态,会话状态,WebWeb应用系统最简单也最普遍采用的方法就是应用系统最简单也最普遍采用的方法就是用隐藏字段存储信息。但是,隐藏字段并非真正用隐藏字段存储信息。但是,隐藏字段并非真正 隐藏隐藏 ,它,它仅仅是不显示给用户而已,提供给客户端的静态页面源码仅仅是不显示给用户而已,提供给客户端的静态页面源码中就保存有隐藏字段的真实内容。许多基于中就保存有隐藏字段的真实内容。许多基于WebWeb的电子商的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等务应用程序用隐
32、藏字段来存储商品价格、用户名、密码等敏感内容,客户端浏览器只要用敏感内容,客户端浏览器只要用ViewSourceViewSource命令就可以命令就可以查看其真实的内容。例如:查看其真实的内容。例如: 心存恶意的用户,用浏览器简单地保存心存恶意的用户,用浏览器简单地保存HTMLHTML页面源代码,页面源代码,修改隐藏字段内容,重新提交给服务器端,修改隐藏字段内容,重新提交给服务器端,WebWeb服务器如服务器如果不对这种改变做进一步验证,就很容易用新的伪造的信果不对这种改变做进一步验证,就很容易用新的伪造的信息处理交易,这是一种非常危险的漏洞。息处理交易,这是一种非常危险的漏洞。网站应用层安全
33、隐患评估系统应用安全风险之操纵页面隐藏字段操纵页面隐藏字段在技术上使用隐藏字段来存储商品价格、用户名、密码等敏感内容,客户端浏览器只要用“View Source”命令就可以查看其真实的内容。网站应用层安全隐患评估系统应用安全风险之操纵页面隐藏字段操纵页面隐藏字段网站应用层安全隐患评估系统应用安全风险之操纵页面隐藏字段操纵页面隐藏字段修改修改Value=“1.95”,重新提交给服务器端处理,重新提交给服务器端处理网站应用层安全隐患评估系统应用安全风险之操纵页面隐藏字段操纵页面隐藏字段Web服务端服务端CGI如果不对这种改变做进一步验证,如果不对这种改变做进一步验证,就很容易用新的伪造的信息处理交
34、易。就很容易用新的伪造的信息处理交易。购物车CGI接受你以$1.95的价格购买$129.95的商品网站应用层安全隐患评估系统应用安全风险之隐蔽指令执行隐蔽指令执行(主要是指Unix服务器)服务器端include通过从本地硬盘驱动器中调用文档或其它对象,然后将这些元素自动包含在Web页面中。例如:#execcmd=“rmrf*”这个看起来象SSI,假如这条SSI成功执行且HTTPD正在根下运行,则删除的将是整个驱动器。大多数站点禁止使用SSI.举例:入侵者在本该填写StreetAddress的可输入区域填写敏感文件查看指令入侵者聪明地驱使WEBSERVER把SSLkey文件附加显示到网页上,从而
35、可让自己成功扮演服务器角色搜集各种客户重要信息网站应用层安全隐患评估系统应用安全风险之隐蔽指令执行隐蔽指令执行网站应用层安全隐患评估系统应用安全风险之隐蔽指令执行隐蔽指令执行 网站应用层安全隐患评估系统应用安全风险之隐蔽指令执行隐蔽指令执行入侵者驱使WEB 服务器把SSL key文件附加显示到网页上,从而可让自己成功扮演服务器角色搜集各种客户重要信息网站应用层安全隐患评估系统应用安全风险之已知安全漏洞已知安全漏洞许多操作系统及第三方应用软件(包括Web服务器和数据库服务器)都存在一些已知漏洞,如果管理员不及时安装已经发布了的软件补丁,这些漏洞就很可能被黑客利用。因为黑客只需要用简单的漏洞扫描器
36、和大量的漏洞披漏网站就可以知道该怎样实施攻击了。其实,许多已知漏洞都可以归类到前面介绍的几种典型漏洞当中举例:IIS服务器的ASPAlternateDataStreams漏洞,只要在ASP文件名后加上“:$DATA”后缀,就可以看到ASP文件源代码,这个漏洞就属于典型的CGI参数欺骗类型。而另一个此类漏洞IISUnicode漏洞,则可以让黑客查看敏感信息,执行系统命令,进行文件操作,后果将是非常严重的。:$DATA:网站应用层安全隐患评估系统应用安全风险之已知安全漏洞已知安全漏洞网站应用层安全隐患评估系统应用安全风险之已知安全漏洞已知安全漏洞网站应用层安全隐患评估系统应用安全风险之已知安全漏洞
37、已知安全漏洞网站应用层安全隐患评估系统应用安全风险之已知安全漏洞已知安全漏洞网站应用层安全隐患评估系统应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留在程序开发期间,程序员通常都会在代码中加入一些调试选项或功能,这是供在程序开发期间,程序员通常都会在代码中加入一些调试选项或功能,这是供程序测试使用的。不过,种种原因,这些调试功能往往会在软件的最终正式版程序测试使用的。不过,种种原因,这些调试功能往往会在软件的最终正式版中得以保留,这就给黑客或恶意程序员提供了极大的方便。通过激活这些调试中得以保留,这就给黑客或恶意程序员提供了极大的方便。通过激活这些调试选项,黑客可以进行某些特别的操作
38、。选项,黑客可以进行某些特别的操作。除了调试功能,程序中有时候还保留一些后门机制,例如让开发人员直接进行除了调试功能,程序中有时候还保留一些后门机制,例如让开发人员直接进行正常情况下应该禁止的操作,或者是不提供口令进行登录,或者可以直接访问正常情况下应该禁止的操作,或者是不提供口令进行登录,或者可以直接访问某个特殊的某个特殊的URLURL,这也给黑客提供了方便之门。,这也给黑客提供了方便之门。举例:一个网上银行客户帐务管理接口程序,客户可以方面通过举例:一个网上银行客户帐务管理接口程序,客户可以方面通过CGICGI程序进行程序进行各类帐务操作,但是,为方便引擎开发者在线调试和开发,后台引擎留下
39、各类帐务操作,但是,为方便引擎开发者在线调试和开发,后台引擎留下debugdebug类操作后门类操作后门,开发者或者是黑客可以通过向后台开发者或者是黑客可以通过向后台CGICGI传递传递debug=ondebug=on相关指令来越相关指令来越权控制任何客户个人信息权控制任何客户个人信息?debug=ondebug=on&from=987987-233&to=234232-234&amount=10000&from=987987-233&to=234232-234&amount=10000网站应用层安全隐患评估系统应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留网站应用层安全隐患评估系
40、统应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留网站应用层安全隐患评估系统应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留网站应用层安全隐患评估系统应用安全风险之强力浏览问题强力浏览问题存在这类型安全问题的网站通常采用某种技术方式来存储敏感文件,如:采用系统临时文件的方式来存储本该保密的用户资料,但是恶意入侵者通过对服务器返回给客户端浏览器的HTML源程序进行阅读和分析,将通过重组URL连接的方式直接获得这类敏感文件的访问权。举例:这是一个为儿童提供游戏娱乐和教育的网站,每个儿童都注册了自己的详细个人资料,如家庭住址,父母背景等,网站管理员把资料文件存放在服务器上,没有提
41、供直接的访问路经。但是,在网站某处的HTML源代码中,却留有一段写在注释中的信息-/private/kids.cvs任何人都可以轻易阅读到保密的kids.cvs网站应用层安全隐患评估系统应用安全风险之强力浏览问题强力浏览问题网站应用层安全隐患评估系统应用安全知识之强力浏览问题强力浏览问题网站应用层安全隐患评估系统应用安全风险之强力浏览问题强力浏览问题网站应用层安全隐患评估系统应用安全风险之参数篡改攻击参数篡改攻击如果如果WebWeb应用程序没有对客户端提交的参数进行严格校验,就有可能对客户应用程序没有对客户端提交的参数进行严格校验,就有可能对客户端参数中包含的某些特殊内容进行不适当的处理,导致
42、难以预料的后果。这端参数中包含的某些特殊内容进行不适当的处理,导致难以预料的后果。这类漏洞最常见于那些应用了类漏洞最常见于那些应用了SQLSQL数据库后端的数据库后端的WebWeb服务器,黑客通过向提交服务器,黑客通过向提交给给CGICGI程序的参数中程序的参数中“注射注射”某些特殊某些特殊SQLSQL语句,最终可能获取、篡改、控制语句,最终可能获取、篡改、控制WebWeb服务器端数据库中的内容。服务器端数据库中的内容。,当然,此类漏洞的另一种后果,就是泄漏某些敏感信息,许多当然,此类漏洞的另一种后果,就是泄漏某些敏感信息,许多WebWeb服务器及服务器及应用系统都曾经披漏过此类问题。利用此类
43、编程漏洞执行系统指令也是常用应用系统都曾经披漏过此类问题。利用此类编程漏洞执行系统指令也是常用的入侵方式。的入侵方式。举例:举例:(1)(1) or 1=1-or 1=1-or 1=1- 逻辑认证绕过逻辑认证绕过 SELECT * FROM tblUser WHERE UserName=SELECT * FROM tblUser WHERE UserName=SELECT * FROM tblUser WHERE UserName= or 1=1-or 1=1-or 1=1- AND AND AND Password=asdfPassword=asdfPassword=asdf(2)(2)利用
44、错误信息取得资料表内各栏位的资料形态利用错误信息取得资料表内各栏位的资料形态 UNION SELECT abc,1,1,1 FROM tblUser UNION SELECT abc,1,1,1 FROM tblUser UNION SELECT abc,1,1,1 FROM tblUser SELECT * FROM tblUser WHERE UserName=SELECT * FROM tblUser WHERE UserName=SELECT * FROM tblUser WHERE UserName= UNION SELECT abc,1,1,1 FROM tblUser -UNIO
45、N SELECT abc,1,1,1 FROM tblUser -UNION SELECT abc,1,1,1 FROM tblUser - AND Password=asdfAND Password=asdfAND Password=asdf网站应用层安全隐患评估系统应用安全风险之参数篡改攻击参数篡改攻击普通客户提交正常要求helloworld7777-8888-222Aaaaaaaaaaaaa-bbbbbbbbbbbbb不怀好意者在此栏提交各种测试代码,如 “ ”网站应用层安全隐患评估系统应用安全风险之参数篡改攻击参数篡改攻击网站应用层安全隐患评估系统应用安全风险之参数篡改攻击参数篡改攻击
46、,) select 123 -test111-111xxxx.xxxx.xxx.xxxx网站应用层安全隐患评估系统应用安全风险之参数篡改攻击参数篡改攻击AppExplore评估该类型的报告显示:SQL INJECTION攻击之简单符号匹配2模式测试类似于new.asp?id=255通常asp脚本程序访问SQL数据库的写法是SELECT * FROM newstable WHERE ID = valueAsp脚本程序员没有对value进行单引号等特殊符号校验,导致入侵者可以在value后面构造自定义的复杂SQL指令通过asp脚本程序传递给后台数据库执行,入侵者的操作权限等同于asp脚本程序访问数
47、据库对应的数据库账号映射到系统账号的权限!如果asp脚本程序调用的是sysadmin组的用户,将导致入侵者可以直接使用localsystem账号执行系统命令;例如:news.asp?id=255 exec master.dbo.xp_cmdshell “net user tmpuser /add” -news.asp?id=255 exec master.dbo.xp_cmdshell “net localgroup administrators tmpuser /add” -临时解决办法:对于所有用户提交的数据进行基本的特殊字符前台过滤和屏蔽;采用Replace(value,“ ,“ “ )
48、等方法防治入侵者的指令从字符串跳出演变成为具有危害性的SQL指令。 网站应用层安全隐患评估系统产品化特点专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结网站应用层安全隐患评估系统小投入、大作用网站应用层安全隐患评估系统小投入、大作用Anitsolution 2000论安全体系的完整性“AppExplore系列产品对整个网站应用平台的安全健康状况层次化的表示,使得安全管理员和评测员能切实看到网站的应用安全全貌和黑客入侵威胁点并作出正确响应,真正做到未雨绸缪.”网站应用层安全隐患评估系统极大降低应用安全服务成本n24小时/2位应用安全专家手工评测成果
49、小于等于20分钟/AppExplore+一名普通操作人员的评测效果n基于定制策略的定时评估,网段评估n公正的“黑箱子测试”使得程序员和系统安全分析员一目了然地知晓故障点和排除故障最简便的方法n评估结果报告将直接告诉用户“哪个文件的哪个参数出了问题,是什么类型的问题?”网站应用层安全隐患评估系统产品整体特点n n网站应用结构图分析功能:网站应用结构图分析功能:立足于网站系统应用的安全规划,多种手段相结合,完整而详细的分立足于网站系统应用的安全规划,多种手段相结合,完整而详细的分析出目标网站的目录结构和文件关系。析出目标网站的目录结构和文件关系。n n应用安全隐患分析功能:应用安全隐患分析功能:分
50、析来自网站结构图中的每一个网站功能脚本程序的应用状况,借助分析来自网站结构图中的每一个网站功能脚本程序的应用状况,借助于专用的知识数据库,针对所有可能为黑客所利用的入侵项目进行多于专用的知识数据库,针对所有可能为黑客所利用的入侵项目进行多样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性帮助的安全隐患报告。帮助的安全隐患报告。分析过程支持分析过程支持交互式策略交互式策略和和全自动策略全自动策略;支持代理;支持代理(proxy)(proxy)扫描;扫描;SSLSSL和客户端认证支持;和客户端认证支持;本评估系统广泛支持各种常见
51、应用系统或者引擎语言:本评估系统广泛支持各种常见应用系统或者引擎语言:ASP,PHP,ColdFusion,LotusDomino,BEAWebLogic,ASP,PHP,ColdFusion,LotusDomino,BEAWebLogic,Perl,NetscapeJavaServletPagesPerl,NetscapeJavaServletPages等等网站应用层安全隐患评估系统产品整体特点基于国际标准和行业规范的风险报告功能:形成通俗易懂的风险说明报告。图文并茂地展现出漏洞表、威胁表、风险比率图等报告,显示详细安全隐患来源和背景。使得使用该产品的人员能够在不断掌握新安全知识的情况下来抵
52、御应用层黑客的入侵。稳定快捷的在线升级功能:简单方便的网络在线升级功能,将不断的更新升级最新的专用知识数据库。独特的预警模式,将第一时间提醒您关注最新的安全风险。反盗版和反破解设计:避免该系列产品不会被未授权非法使用。网站应用层安全隐患评估系统严格的认证和授权-规避滥用安装序列号认证安装序列号认证基于硬件序列种子的基于硬件序列种子的网络认证网络认证管理员口令认证管理员口令认证网站应用层安全隐患评估系统直观的界面-主界面网站应用层安全隐患评估系统直观的界面-安全浏览器网站应用层安全隐患评估系统直观的界面-综合报告界面网站应用层安全隐患评估系统其它关键界面一览网站应用层安全隐患评估系统其它关键界面
53、一览网站应用层安全隐患评估系统其它关键界面一览网站应用层安全隐患评估系统典型案例专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结网站应用层安全隐患评估系统典型案例1使用REALSOIAppExplore来加强安全策略,从可操作化角度进一步满足GB18336的标准要求AppExplore能穿越多个入侵监测系统、防火墙,从电子政务网上应用的前端系统一直渗透评估到后台数据库系统自从使用AppExplore系统进行全面评估之后,暴露了不计其数的此前根本没有关注的致命隐患经过配套的安全编程知识强化培训,电子政务建设者普遍对应用安全的解决方案有了深刻理解,同
54、时也对电子政务更加充满信心电子政务全国性网上政府公开网站安全大检阅:电子政务全国性网上政府公开网站安全大检阅:“自从开始使用REALSOI AppExplore评估系统, 电子政务应用平台有了一个强大的已知漏洞和未知漏洞的发掘机.”网站应用层安全隐患评估系统典型案例2能以很小的投入对多个大型企业客户的网站系统进行完整的应用安全评估,能较为彻底地发掘企业网站应用可能出现的已知和未知隐患,找出可能被应用型蠕虫利用的环节,阻止蠕虫为重要客户组织技术讲座,重点培训应用安全知识,整体提升客户安全编码的意识和能力ISPISP为客户提供安全加固增值服务,用于提前评估客户网站应用系统安为客户提供安全加固增值服
55、务,用于提前评估客户网站应用系统安全指数,阻止即将蔓延的应用型蠕虫:全指数,阻止即将蔓延的应用型蠕虫:“如果没有REALSOI AppExplore对诸多网站应用节点的全面评估, 我们为客户提供的安全防御体系的整个投入不能算是完整的.”网站应用层安全隐患评估系统总结专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结网站应用层安全隐患评估系统正确的方向关注应用安全专注应用安全设计思路的选择扮演出色的应用层未知安全漏洞发掘机的角色扮演应用层安全“黑箱子”测试平台的角色填补国内空白网站应用层安全隐患评估系统开发难度大攻关突破核心技术为核心技术为“ “智能
56、探索智能探索” ”(SmartExploreSmartExplore),其特点在于能),其特点在于能够分析并且学习每一个够分析并且学习每一个WEBWEB应用的独特的个性,通过组合变应用的独特的个性,通过组合变化各种已知及未知、应用程序特有及普遍存在的漏洞之黑客化各种已知及未知、应用程序特有及普遍存在的漏洞之黑客攻击特征,测试并验证目标系统的脆弱性攻击特征,测试并验证目标系统的脆弱性。实现难点一:实现难点一:要求能够高效稳定地处理各种复杂要求能够高效稳定地处理各种复杂WEBWEB页面并且识别不同页面并且识别不同应用的独特个性。应用的独特个性。实现难点二:实现难点二:根据不同应用的个性,动态地对应
57、用嵌入经过组合的应用层根据不同应用的个性,动态地对应用嵌入经过组合的应用层黑客攻击特征,并统计分析得出评估定论,以此测试和验证目标系统的黑客攻击特征,并统计分析得出评估定论,以此测试和验证目标系统的应用安全脆弱性。应用安全脆弱性。 其它难点:其它难点:大量应用安全攻防技术尤其是黑客应用层攻击渗透技术的评大量应用安全攻防技术尤其是黑客应用层攻击渗透技术的评估和研究方法论建立估和研究方法论建立网站应用层安全隐患评估系统我们的领先地位n n根据根据FoundstoneFoundstoneFoundstoneFoundstone& & & &SanctumincSanctumincSanctuminc
58、Sanctuminc和和其他业界领先的分析家的分析,其他业界领先的分析家的分析, AppExploreAppExploreAppExploreAppExplore处在应用安全评估系处在应用安全评估系统的领先地位。统的领先地位。n n在亚洲以外,在亚洲以外,在亚洲以外,在亚洲以外,SanctumincSanctumincSanctumincSanctuminc主导着主导着主导着主导着应用安全评估工具的主流和方向应用安全评估工具的主流和方向应用安全评估工具的主流和方向应用安全评估工具的主流和方向n n在亚洲,在亚洲,在亚洲,在亚洲,REALSOIREALSOIREALSOIREALSOI主导着应用
59、安主导着应用安主导着应用安主导着应用安全评估工具的主流和方向全评估工具的主流和方向全评估工具的主流和方向全评估工具的主流和方向n nS S S Sanctumincanctumincanctumincanctuminc和和和和REALSOIREALSOIREALSOIREALSOI成功合作成功合作成功合作成功合作网站应用层安全隐患评估系统成功的实施建立在有组织的高效的评估体系基础上客户可以很快地很直接地看到由评估结果带来的价值:应用维护人员可以转做关键的任务更快地评估新进入网站的各项功能和内容,并更有效地响应更多高质量的应用安全培训“很多安全服务提供商也尝试过他们的评估方案,但是失败了!”Re
60、alSOIRealSOI和和AnitsolutionAnitsolution联手在两个月中实施了联手在两个月中实施了超过超过2020个企业和组织个企业和组织我们的成功经历网站应用层安全隐患评估系统继续完善后续需要大量的人力、物力投入急待完善产品系列化网站应用层安全隐患评估系统我们的客户金融金融业业/网上银行网上银行CmbchinaCmbchinaChinaChinaBankBankThePeoplesBankOfCHINAThePeoplesBankOfCHINAChinaConstructionBankChinaConstructionBankBankOfShanghaiBankOfShan
61、ghaiShanghaiPudongShanghaiPudongDevelopmentBankDevelopmentBankChinaMinshengBankingChinaMinshengBankingBankOfCommunicationsBankOfCommunications电子政府电子政府EGOVSTDEGOVSTDECHINAGOVECHINAGOVChinaEGChinaEGBeijing-ChinaBeijing-ChinaBJRDBJRD网站应用层安全隐患评估系统我们的客户电信电信ChinaChinaTelecomTelecomDTTDTTBTABTA服务服务提供商提供商CHINAPUTIANCHINAPUTIAN制造业制造业SonySony网站应用层安全隐患评估系统Thanks!网站应用层安全隐患评估系统Q&A网站应用层安全隐患评估系统
