您好,欢迎访问三七文档
网络与信息系统安全员培训Lecture:PanShengminCCKMUST.2008应用安全应用安全主讲:潘晟旻LecturedBy:PANShengminCH7Resume潘晟旻,昆明理工大学教师。云南省教育厅计算机考试专家组成员教育部剑桥办公管理国际证书培训师信息网络安全专业技术人员继续教育讲师研究方向:计算机网络与信息安全、WEB设计E-mail:panshengmin@sohu.comPhone:0871-5155033Address:昆明理工大学莲华校区计算中心何谓应用安全保护特定的应用为目的的安全技术,是为“应用安全”。应用安全技术与应用行业背景结合紧密。包括:垃圾邮件、网页篡改、网络钓鱼等等。垃圾邮件的定义(1)指用户未主动请求或者同意接受的电子刊物、电子广告和各种形式的电子宣传品等电子邮件;(2)没有明确发信人、发信地址、退信方式的电子邮件;(3)含有虚假信息源、发信地址、路由信息或收信人不存在的电子邮件。Spam(垃圾邮件)Spamisunwantedelectronicjunkmailthatarrivesinyouronlinemailbox.Globally,spamaccountsforabout75%ofalle-mailmessages.常见邮件服务器漏洞介绍(一)Open-Relay(开放转发或匿名转发)是指由于邮件服务器不理会邮件发送者或邮件接受者的是否为系统所设定的用户,而对所有的入站邮件一律进行转发(RELAY)的功能。通常,若邮件服务器的此功能开放,则我们一般称此邮件服务器是Open-Relay的。通常邮件服务器都提供认证功能来确认邮件用户的使用权限,而存在这个漏洞的Windows2000平台下的Exchange5.5邮件服务器不能正确提供额外检查用户权限的能力,其允许非认证用户使用邮件系统来发送邮件,因此,垃圾邮件制造者可能利用这个漏洞来使用SMTP服务发送他们的垃圾邮件而不经过认证。(解决方法:禁用SMTP服务或者将IIS“默认SMTP虚拟服务器”暂停;下载相应补丁:CAN-2002-0054)常见邮件服务器漏洞介绍(二)IIS4.0和IIS5.0下MicrosoftSMTPService的压缩SMTP地址存在一个漏洞,这个漏洞允许主机绕过反中继机制,未经授权而通过SMTP服务器将垃圾邮件和欺骗性邮件转发到外部域中,因此,垃圾邮件制造者可能利用这个漏洞来使用SMTP服务发送垃圾邮件。WindowsNT的邮件系统存在一个漏洞,当发件人为“”时SMTP服务器可以转任何收件人的邮件,因此,垃圾邮件制造者可能利用这个漏洞来使用SMTP服务发送垃圾邮件。(解决方法:禁用SMTP服务或者将IIS“默认SMTP虚拟服务器”暂停;下载相应补丁:CVE-2001-0504)WindowsNT的邮件系统存在一个漏洞,当发件人为“”时SMTP服务器可以转任何收件人的邮件,因此,垃圾邮件制造者可能利用这个漏洞来使用SMTP服务发送垃圾邮件。(对收件人做限制)Win2000中堵塞匿名转信等漏洞的方法可以采取以下措施:1.禁止SMTP服务;2.关闭邮件服务匿名转信;3.停止或者删除IIS的SMTP功能;禁止邮件服务的步骤1、打开电脑的“开始”“程序”“管理工具”“计算机管理”。2、展开左边“服务和应用程序”,选中其中的“服务”项。3、如果在右边发现“SimpleMailTransportProtocol(SMTP)”,则表明系统安装有邮件服务。4、可以直接双击该项,在弹出窗口中将“启动类型”改成“禁用”,按“确定”即禁止邮件服务。关闭邮件服务匿名转信功能1、打开电脑的“开始”“程序”“管理工具”“Internet服务管理器”。2、展开左边的树形结构,选中其中的“默认SMTP虚拟服务”项。3、按鼠标右键,在弹出菜单中选中“属性”项4、在弹出窗口中选“访问”页,按“身份验证”按钮,取消“匿名访问”复选框,按“确定”即可禁止匿名转信。推荐的网址中国反垃圾邮件联盟二、网页防篡改技术中国政府网政府门户网站的重要性政府门户网站成为政府应用信息技术履行职能的重要形式对促进政务公开,改进行政管理,提高行政效能具有重要意义互联网网站是电子政务建设的重要组成部分网页篡改事件典型事件-国内中国青少年基金会网站武汉市武昌区政府网站《北京青年报》网络版陕西省公安厅广州市物价局江民网站、金山、神州数码吉林市政府网站……典型事件-国外美国白宫主页美国司法部美国卫生部美国劳工部雅虎新闻网《今日美国报》主页韩国2300多个网站首页……05-06年安全事件分类统计(资料来源:国家计算机网络应急技术处理协调中心)事件类型05年数量06年数量蠕虫6730恶意代码25320木马109网络仿冒475563拒绝服务攻击3522网页篡改813024477僵尸网络315主机入侵459垃圾邮件161587其他15345403-06年网站篡改情况(资料来源:国家计算机网络应急技术处理协调中心)06年政府网站篡改情况(资料来源:国家计算机网络应急技术处理协调中心)网页篡改的动机和目的纯粹炫耀黑客技术增加自己网站点击率加入木马和病毒程序发布虚假信息获利骗取用户资料政治性的宣传网页篡改的特点和危害网页篡改的特点传播速度快、阅读人群多复制容易,事后消除影响难作案环境和工具相对简单预先检查和实时防范较难网页篡改的危害破坏政府和公共机构形象间接成为非法牟利的工具影响和谐社会的建设产生原因-客观操作系统的复杂性已公布超过1万多个系统漏洞漏洞与补丁系统漏洞从发现到被利用最短为5天系统补丁的平均发布时间为47天应用漏洞注入式攻击多个应用系统不同的开发者现有技术架构下,网站漏洞长期存在产生原因-主观密码管理合格密码:8位以上,定期改变35%的人与其他人共享密码67%的人用同一密码访问多个程序漏洞补丁定期更新上网控制钓鱼、木马、间谍软件为业务服务还是为安全服务?网页防篡改系统第二代核心内嵌技术数字水印技术:保护静态内容的完整性应用防护技术:保护动态内容的完整性可靠的防护效果杜绝非法网页被访问的可能性杜绝利用脚本实施注入式攻击跨平台全系列支持操作系统:支持Windows、Linux、UnixWeb服务器:支持IIS、Apache、J2EE核心内嵌-应用防护技术应用防护子系统Web服务器软件用户名:zhangsan用户名:hack’or‘1’=‘1√X…‘or‘…SELECT*FROMuserWHEREname=‘zhangsan’SELECT*FROMuserWHEREname=‘hack’or‘1’=‘1工作过程发布过程发布内嵌模块检测到文件创建/变化为文件产生加密和不可逆转数字水印通过加密通道传送到Web服务器检测过程公众发出请求浏览网页应用防护子系统检查请求的合法性页面保护子系统检查数字水印完整性辅助以增强型事件触发技术防护同步特性详述实时的文件检测,高效的上传同步发布端支持Windows/Linux操作系统接收端支持所有常见操作系统平台支持多服务器,镜像同步和非镜像同步支持多虚拟主机和多虚拟目录支持精确同步和增量同步支持自动重连,失败重传和任务断点续传支持企业级双机发布模式,主从自动切换支持应用/服务两种模式选择128位安全连接,通信双方数字证书认证完整和全面的日志查询防篡改特性详述可靠的实时网页篡改检测严密的安全水印密码算法内嵌式检查恶意请求即时的报警和页面恢复篡改网页快照留影支持所有操作平台和Web服务器支持各种动态网页技术支持特殊目录和文件忽略自定义出错页面邮件报警和第三方报警与安全管理平台整合网页防篡改系统网页防篡改技术外挂轮巡技术使用外部的网页读取和检测程序,以轮询方式读出和比对要监控的网页核心内嵌技术篡改检测模块内嵌于Web服务器软件,在每一个网页流出时进行完整性检查事件触发技术使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查美术馆大楼工作人员读者外挂轮巡技术优点:结构无关√缺点:忙不胜忙x核心内嵌技术优点:万无一失√缺点:影响效率x事件触发技术优点:反应迅速√缺点:小人难防x三网络钓鱼(Phishing)Scamtostealvaluableinformationsuchascreditcards,socialsecuritynumbers,userIDsandpasswords.复制一个官方网站的主页,诱使用户输入个人的机密信息,如银行账号,密码等等。实例常用钓鱼攻击手段复制图片和网页设计、相似的域名URL隐藏攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏的最后,例如“@211.112.228.2”。常用钓鱼攻击手段IP地址如。最简单,却很危险欺骗性的超链接弹出窗口在浏览器中显示的是真实的网页,但在页面上弹出了一个简单的窗口,要求用户输入个人信息。常用钓鱼攻击手段社会工程钓鱼攻击还使用非技术手段使用户坠入陷阱,其中的一个策略就是急迫性,从而使用户急于采取行动,而较少花时间去核实消息的真实性。另一个策略是威胁用户,如果不按照所要求的去做就会造成可怕的后果,如终止服务或关闭帐户,少数攻击还许诺将获得巨额回报(如“你中了一个大奖!”),但威胁攻击更为常见,用户往往会对不劳而获产生怀疑,这可能是人类的本能。钓鱼攻击的特点迷惑性目标性短暂性动态性防止Phishing攻击保护URL显示Phishing网页过滤器(Filter)
本文标题:应用层安全概述
链接地址:https://www.777doc.com/doc-7281764 .html