信息系统安全机制-WEB应用安全

Web网站安全体系架构提纲网站工作原理网站架构网站与浏览器的交互Web应用攻击网页篡改注入式攻击跨站攻击Web应用安全体系架构分析输入验证网站备份恢复架构立体防护体系网站工作原理3Web攻击事件-篡改网页4常见Web攻击类型威胁手段后果注入式攻击通过构造SQL语句对数据库进行非法查询黑客可以访问后端数据库，偷窃和修改数据跨站脚本攻击通过受害网站在客户端显不正当的内容和执行非法命令黑客可以对受害者客户端进行控制，盗窃用户信息上传假冒文件绕过管理员的限制上传任意类型的文件黑客可以篡改网页、图片和下载文件等不安全本地存储偷窃cookie和sessiontoken信息黑客获取用户关键资料，冒充用户身份非法执行脚本执行系统默认的脚本或自行上传的WebShell脚本等黑客完全控制服务器非法执行系统命令利用Web服务器漏洞上执行Shell命令Execute等黑客获得服务器信息源代码泄漏利用Web服务器漏洞或应用漏洞获得脚本源代码黑客分析源代码从而更有针对性的对网站攻击URL访问限制失效黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网页9产生原因-客观操作系统的复杂性已公布超过1万多个系统漏洞漏洞与补丁系统漏洞从发现到被利用，平均5天最短0天系统补丁的平均发布时间为47天应用漏洞注入式攻击多个应用系统不同的开发者现有技术架构下，网站漏洞长期存在10产生原因-主观密码管理合格密码：8位以上，定期改变35％的人与其他人共享密码67％的人用同一密码访问多个程序漏洞补丁定期更新上网控制钓鱼、木马、间谍软件11攻击手段示例之一Unicode漏洞漏洞选介Unicode漏洞微软的IIS在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令可以复制、删除、列目录、系统配置等任何人利用普通浏览器即可发起攻击存在于WindowsNT/2000(IIS4.0/5.0)中2001年初发现，2001年8月修复13漏洞原理IIS对特殊字符URL请求的解码错误%c1%1c-(0xc1-0xc0)*0x40+0x1c=0x5c='/'%c0%2f-(0xc0-0xc0)*0x40+0x2f=0x2f='\'构造含有特殊字符的URL请求绕过IIS的路径检查可以执行或打开任意文件14测试方法测试URL:\badou是任意一台（未打补丁的）Windows2000主机的IIS服务器返回结果目标主机D盘下的文件目录15利用漏洞列目录16利用漏洞进行攻击简单修改主页在首页内添加文字“导弹袭击”导弹袭击+c:\inetpub\上传非法页面用tftp工具将hack.htm上传到目标主机:\\inetpub\\注入式攻击注入式攻击全称为“SQL注入式攻击”攻击者利用网站动态网页程序设计上的漏洞，在目标的Web服务器上运行SQL命令绕过登录身份检查、获得系统管理员密码、非法获取数据、非法篡改数据、生成非法文件、非法执行命令等19漏洞原理攻击者在表单输入或者URL请求中发送SQL语句片断，期望通过Web应用脚本合成为带有攻击目的的SQL语句应用脚本：ASP、JSP、PHP数据库：一切支持SQL的数据库系统SQL注入机理分析数据库应用程序服务器客户端（浏览器）请求响应查询结果集SQL注入机理分析（续）//构建SQL查询语句=“SELECTnameFROMtbUserInfoWHEREid=(用户输入的数据)”用户名：wc’or1=1--密码：xxxxSELECTnameFROMtbUserInfoWHEREid=’wc’or1=1--SQL注入攻击的一般过程探测注入点确定数据库类型和版本猜解数据库结构确定当前用户权限提取信息篡改数据…发起高级攻击使用特定存储过程遍历目录结构…修改注册码…SQL注入攻击的特点SQL注入是从正常的端口（80端口）访问，表面看起来跟一般的web页面访问没什么区别SQL注入漏洞是一个入口，攻击者通过它可以发动更高级的攻击，例如控制目标系统。隐蔽性后果严重性使用黑客工具NBSIHDSIDomainX-ScanPangolin25攻击手段示例之三跨站攻击防跨站攻击示例应用系统未对浏览器输入的参数进行检查和处理，直接返回给用户的浏览器。Bank.com请输入转账金额：Bank.com转账成功！URL:=转账成功!Bank.com银行破产！URL:=银行破产!Xxx’sblog:bank.com宣布破产请点击官方链接10000确定1.正常业务2.跨站攻击跨站攻击还能做什么在客户端执行脚本JavaScriptVBScript偷取和仿冒用户身份和信息cookiesession向其他站点提交信息跳转到其他站点28对策配置和管理配置网络和主机编写安全的应用程序安全扫描模拟渗透工具代码复查工具安全防护网页完整性检查应用防火墙29对策一配置和管理应用程序安全设计原则权限区域划分使用最少的特权应用深入的防御手段不要信任用户的输入在网关处进行检查出现故障时的安全性保证最脆弱的链接的安全创建安全的默认值减小受攻击的范围31应用程序安全关注点“如何安全地处理异常？”“如何保证开发人员工作站的安全性？”“如何编写具有最低权限的代码？”“如何限制文件I/O？”“如何防止SQL注入？”“如何防止跨站点脚本编写？”“如何管理机密？”“如何安全调用非托管代码？”“如何执行托管代码的安全复查？”“如何执行安全的输入验证？”“如何保证窗体身份验证的安全性？”32防范注入式攻击检查用户输入关键字过滤强数据类型服务器端检查最小权限原则使用存储过程使用parameters对象控制错误信息回显33防范跨站攻击检查用户输入scriptalert('xss')/scriptimgsrc=javascript:alert(/xss/)imgsrc=javascript:alert(/xss/)imgsrc=javascript:alert(/xss/)imgsrc=#onerror=alert(/xss/)imgsrc=”javascriSS');”/检查请求头中的referer34对策二安全扫描应用安全扫描测试方法黑盒测试（渗透和黑客工具）白盒测试（代码和开发生命周期）产品AppScan(IBM)WebInspect(HP)N-Stalker(N-Stalker)Acunetix(Acunetix)MatriXay(亚龙安恒,dbappsecurity)WebRavor(安域领创,SecDomain)36对策三安全防护应用安全防护网页防篡改系统保护网页和脚本的完整性安全容忍类产品iGuard应用防火墙防止针对主机和应用程序的威胁安全防护类产品华诚ImpervaiWall38网页防篡改系统设计思路网站工作的流程Web服务器收听请求解析url查找url对应的网页文件对于静态网页文件,发送给客户端;对于动态网页文件,服务器端执行脚本,生成页面文件发送给客户端.网页防篡改系统设计思路网站备份恢复结构设计网站文件备份网站文件在处理前先做完整性校验通过Hook函数修改web服务器（IIS），扩展完整性校验功能校验不通过，则从备份系统中恢复造篡改的文件为加速完整性校验，采用数字摘要技术预先生成原始文件的摘要（数字水印）实时比对网页防篡改系统设计思路网站备份恢复结构处理流程Web服务器收听请求解析url查找url对应的网页文件读取网页文件后，做完整性校验校验不通过，则从备份中恢复对于静态网页文件,发送给客户端;对于动态网页文件,服务器端执行脚本,生成页面文件发送给客户端.Web核心内嵌模块42硬件平台（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系统（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服务器软件(IIS/Apache/Weblogic/Websphere)安全核心内嵌模块requestresponse应用防护技术数字水印技术Web服务器防篡改技术43发布服务器Web服务器FTP/rsync一般发布过程篡改检测模块自动发布子系统监控和恢复子系统+篡改检测子系统SSL1.上传正常网页=X水印库2.浏览正常网页3.篡改网页4.浏览篡改网页5.自动恢复文件系统工作过程发布过程发布内嵌模块检测到文件创建/变化为文件产生加密和不可逆转数字水印通过加密通道传送到Web服务器检测过程公众发出请求浏览网页应用防护子系统检查请求的合法性页面保护子系统检查数字水印完整性其它网页篡改防护的技术路线外挂轮询制作网站备份定期抓取网页与相应的备份网页比对特点:可以是后台或前台无法做到实时恢复其它网页篡改防护的技术路线文件保护（事件触发）改造操作系统文件管理功能，监控和阻断文件写操作只有特权帐户才能作写操作Web服务器帐户权限只有读取权限特点:权限管理过于严格限制了web服务器功能，不能适应Web2.0技术的要求网页防篡改技术比较外挂轮询核心内嵌事件触发访问篡改网页可能不可能可能动态网页防护不支持支持不支持服务器负载中低极低带宽占用中无无检测时间分钟级实时毫秒绕过检测机制不可能不可能可能防范连续篡改不能支持不支持断线时检测不能能不能适用操作系统所有所有受限Web服务器内置的其它防护功能同完整性校验功能的实现类似，web服务器在结构上可以扩展其它防护模块SQL参数的校验处理用户提交数据中恶意脚本的检查过滤上述处理功能也可以在防火墙平台上实现不适用于HTTPS模式防注入攻击SELECT*FROMuserWHEREname=‘hack’or‘1’=‘1’SELECT*FROMuserWHEREname=‘zhangsan’XOWeb服务器软件应用防护模块输入用户名：zhangsan输入用户名：hack’or‘1’=‘1’or‘1.正常访问2.注入攻击防跨站攻击示例50Bank.com请输入转账金额：Bank.com转账成功！URL:=转账成功!Bank.com银行破产！URL:=银行破产!Xxx’sblog:bank.com宣布破产请点击官方链接URL:=????10000确定???X1.正常业务2.跨站攻击3.应用防护应用防火墙实现方式比较项目软件