WEB安全防護資料課件

課程要點什么是Web安全風險為什么會存在Web安全風險為什么會面對Web安全風險如何防護Web安全網站篡改某銀行網站篡改敏感數(shù)據(jù)泄密泄密企業(yè)敏感信息泄密企業(yè)敏感信息泄密湖北車管所黑客入侵事件

曾經受聘為省公安廳交警總隊開發(fā)軟件，利用“超級管理員”的身份，用超級密碼進入公安廳車管系統(tǒng)，辦起了“地下車管所”，先后為126輛高檔小轎車辦理假證號牌，非法獲利1500余萬元

?！皬V告聯(lián)盟”放置“黑鏈”釣魚網站真正的中國工商銀行網站假冒的中國工商銀行網站wCSDN泄密門奧運網站訂票癱瘓１０月３０日，北京奧運會門票面向境內公眾第二階段預售正式啟動。上午一開始，公眾提交申請空前踴躍。上午９時至１０時，官方票務網站的瀏覽量達到了８００萬次，票務呼叫中心熱線從９時至１０時的呼入量超過了３８０萬人次。由于瞬間訪問數(shù)量過大，技術系統(tǒng)應對不暢，造成很多申購者無法及時提交申請。百度被黑百度被黑背景：5小時無法提供任何互聯(lián)網服務漏洞：DNS服務器被劫持影響：國內最大互聯(lián)網企業(yè)也在劫難逃！鐵路訂票網站蘋果手機預訂網站癱瘓思考安全，在信息系統(tǒng)規(guī)劃設計中就應該考慮！Web安全風險定義Web攻擊風險網頁篡改、SQL注入、跨站腳本Web泄密風險敏感數(shù)據(jù)泄密Web可用性風險DDOS攻擊政府網站安全防護薄弱據(jù)國家互聯(lián)網應急中心監(jiān)測,2011年中國大陸有近3.5萬個網站被黑客篡改,數(shù)量較2010年下降21.5%,但其中被篡改的政府網站高達4635個,比2010年上升67.6%。中央和省部級政府網站安全狀況明顯優(yōu)于地市以下級別的政府網站,但仍有約60%的部委級網站存在不同程度的安全隱患。政府網站安全性不高不僅影響了政府形象和電子政務工作的開展,還給不法分子發(fā)布虛假信息或植入網頁木馬以可乘之機,造成更大的危害。2011年第52周我國大陸被篡改網站數(shù)量被掛馬政府網站金融行業(yè)網站成為不法分子騙取錢財和竊取隱私的重點目標網絡違法犯罪行為的趨利化特征明顯,大型電子商務、金融機構、第三方在線支付網站成為網絡釣魚的主要對象,黑客仿冒上述網站或偽造購物網站誘使用戶登陸和交易,竊取用戶賬號密碼、造成用戶經濟損失。2010年,國家互聯(lián)網應急中心共接收網絡釣魚事件舉報1597件,較2009年增長33.1%;“中國反釣魚網站聯(lián)盟”處理釣魚網站事件20570起,較2009年增長140%。網絡安全事件的跨境化特點日益突出2010年,國家互聯(lián)網應急中心監(jiān)測發(fā)現(xiàn)共近48萬個木馬控制端IP,其中有22.1萬個位于境外,前三位分別是美國(占14.7%)、印度(占8.0%)和我國臺灣(占4.8%);共有13782個僵尸網絡控制端IP,有6531個位于境外,前三位分別是美國(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另據(jù)工業(yè)和信息化部互聯(lián)網網絡安全信息通報成員單位報送的數(shù)據(jù),2010年在我國實施網頁掛馬、網絡釣魚等不法行為所利用的惡意域名半數(shù)以上在境外注冊。。木馬或僵尸程序受控主機懲處黑客有法可依2009年2月28日十一屆全國人大常委會第七次會議表決通過刑法修正案（七），此前，刑法第285條規(guī)定，違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役鑒于上述情況，刑法修正案（七）在刑法第285條中增加兩款作為第二款、第三款《刑法》懲處黑客有法可依“違反國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！薄疤峁ｉT用于侵入、非法控制計算機信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴重的，依照前款的規(guī)定處罰?！薄缎谭ā?解讀《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知》為了貫徹落實《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27號），加強基礎信息網絡和重要信息系統(tǒng)安全保障，按照《國家電子政務工程建設項目管理暫行辦法》（國家發(fā)展和改革委員會令〔2007〕第55號）的有關規(guī)定，加強和規(guī)范國家電子政務工程建設項目信息安全風險評估工作《通知》-解讀

四、涉密信息系統(tǒng)的信息安全風險評估應按照《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》、《涉及國家秘密的信息系統(tǒng)審批管理規(guī)定》、《涉及國家秘密的信息系統(tǒng)分級保護測評指南》等國家有關保密規(guī)定和標準，進行系統(tǒng)測評并履行審批手續(xù)。

五、非涉密信息系統(tǒng)的信息安全風險評估應按照《信息安全等級保護管理辦法》、《信息系統(tǒng)安全等級保護定級指南》、《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》和《信息安全風險評估規(guī)范》等有關要求，可委托同一專業(yè)測評機構完成等級測評和風險評估工作，并形成等級測評報告和風險評估報告。等級測評報告參照公安部門制訂的格式編制，風險評估報告參考《國家電子政務工程建設項目非涉密信息系統(tǒng)信息安全風險評估報告格式》為什么會發(fā)生Web安全風險？C/S模式和B/S模式對比客戶端/服務器模式（C/S)專用端口專用協(xié)議專用端口專用協(xié)議瀏覽器/服務器模式（B/S)統(tǒng)一端口通用協(xié)議統(tǒng)一端口通用協(xié)議典型網絡攻擊示例黑客發(fā)現(xiàn)某web應用程序登陸界面，單擊login嘗試登陸系統(tǒng)提示需要輸入有效用戶名典型網絡攻擊示例黑客嘗試猜測有效用戶名系統(tǒng)提示需要輸入正確口令典型網絡攻擊示例黑客采用單引號‘作為口令嘗試登陸后臺數(shù)據(jù)庫報錯，通過分析可知數(shù)據(jù)庫查詢命令為：SQL查詢=SELECTUsernameFROMUsersWHEREUsername=‘donald’ANDPassword=‘‘’典型網絡攻擊示例系統(tǒng)反饋不存在名為dan的用戶，標明后臺查詢語句為SQL查詢=“SELECTUsernameFROMUsersWHEREUsername=‘dan’––后面所有的字符被作為注釋對待

口令有效性驗證被旁路黑客嘗試使用dan’—作為用戶名登陸

典型網絡攻擊示例黑客嘗試使用admin’—作為用戶名登陸

即猜測存在名為admin的管理員用戶成功登陸系統(tǒng)，黑客可以隨意讀取郵件、下載文件等操作。典型案例某政府單位網站后臺Web應用驗證缺失Web安全身份驗證瀏覽器端驗證缺失服務器端域名欺騙安全協(xié)議不夠完善序號內容說明1跨站腳本漏洞Web應用程序直接將來自使用者的執(zhí)行請求送回瀏覽器執(zhí)行，使得攻擊者可獲取使用者的Cookie或Session信息而直接以使用者身份登陸2注入類問題Web應用程序執(zhí)行在將用戶輸入變?yōu)槊罨虿樵冋Z句的一部分時沒有做過濾，SQL注入,命令注入等攻擊包括在內3任意文件執(zhí)行Web應用程序引入來自外部的惡意文件并執(zhí)行4不安全的對象直接引用攻擊者利用Web應用程序本身的文件操作功能讀取系統(tǒng)上任意文件或重要資料5跨站請求截斷攻擊已登入Web應用程序的合法使用者執(zhí)行惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執(zhí)行6信息泄露Web應用程序的執(zhí)行錯誤信息中包含敏感資料，可能包括系統(tǒng)文件路徑，內部IP地址等7用戶驗證和Session管理缺陷Web應用程序中自行撰寫的身份驗證相關功能有缺陷8不安全的加密存儲Web應用程序沒有對敏感性資料使用加密、使用較弱的加密演算法或將密鑰儲存于容易被獲取之處9不安全的通信Web應用經常在需要傳輸敏感信息時沒有使用加密協(xié)議10沒有對URL路徑進行限制某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取WEB面臨的安全威脅TOP102011年上半年CNCERT/CC處理事件類型51CTO的WEB威脅調查Sql注入及其危害所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。通過遞交參數(shù)構造巧妙的SQL語句，從而成功獲取想要的數(shù)據(jù)。分為字符型注入和數(shù)字型的注入，由于編程語言不同，所存在的注入類型也不同。危害：

--非法查詢其他數(shù)據(jù)庫資源，如管理員帳號。

--執(zhí)行系統(tǒng)命令

--獲取服務器root權限SQL注入-原理Test.asp文件代碼片段：sqlStr=“select*fromn_userwhereusername=‘”&username&”’andpassword=‘“&password&”’rs=conn.execute(sqlStr)正常的查詢：test.asp?username=test&password=123sqlStr=“select*fromn_userwhereusername=‘test’andpassword=‘123’“使password=123‘or‘1’=‘1：Sql語句到數(shù)據(jù)庫后：sqlStr=“select*fromn_userwhereusername=‘test’andpassword=‘123’or‘1’=‘1’“Or‘1’=‘1’始終成立。SQL注入-Asp表現(xiàn)存在數(shù)字型和字符型注入。ID=49這類注入的參數(shù)是數(shù)字型，SQL語句原貌大致如下：

Select*from表名where字段=49

注入的參數(shù)為ID=49And[查詢條件]，即是生成語句：

Select*from表名where字段=49And[查詢條件]Class=連續(xù)劇這類注入的參數(shù)是字符型，SQL語句原貌大致概如下：

Select*from表名where字段=’連續(xù)劇’

注入的參數(shù)為Class=連續(xù)劇’and[查詢條件]and‘’=’，即是生成語句：

Select*from表名where字段=’連續(xù)劇’and[查詢條件]and‘’=’’(C)搜索時沒過濾參數(shù)的，如keyword=關鍵字，SQL語句原貌大致如下：

Select*from表名where字段like’%關鍵字%’

注入的參數(shù)為keyword=’and[查詢條件]and‘%25’=’，即是生成語句：

Select*from表名where字段like’關鍵字’and[查詢條件]and‘%’=’%’SQL注入-Php中的表現(xiàn)Php的魔術引號(magic_quotes_gpc)。php.ini-dist默認是開啟此功能。如果安裝php時使用此文件，將不會產生字符型注入，主要是數(shù)字型注入。數(shù)字型注入：

http://localhost/www/admin/login.php?username=char(114,111,115,101)%23

查詢語句變?yōu)椋簊elect

*

from

example

where

username=char(114,111,115,101)#

and

password=’’

SQL注入-Jsp表現(xiàn)由于java語言是強類型語言，所有變量定義前必須聲明其類型，因而僅存在字符型的注入。字符型注入實例：

Stringsql="select*fromtb_namewherename='"+varname+"'andpasswd='"+varpasswd+"'"; stmt=conn.prepareStatement(sql);

構造參數(shù)varpasswd值為：'or'1'='1Sql語句經過解析后將是：

select*fromtb_name='隨意'andpasswd=''or'1'='1';

SQL注入-A表現(xiàn)開發(fā)語言常用的有：和C#,都屬于強類型語言，因而只存在字符型注入。注入原理，與asp的字符型注入一樣。SQL注入-工具演示跨站腳本-介紹跨站腳本攻擊(通常簡寫為XSS)是指攻者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。危害：

——盜取用戶cookie ——Xss蠕蟲

——掛馬，結合xss蠕蟲，危害巨大。WEB木馬病毒-利用漏洞類型瀏覽器本身缺陷第三方ActiveX控件漏洞文件格式漏洞WEB木馬病毒-盜號木馬和網頁木馬盜號木馬在傳統(tǒng)的遠程控制木馬基礎上發(fā)展出的以竊取敏感信息為目標的專用木馬。QQ盜號木馬:數(shù)十款，流行網游:均發(fā)現(xiàn)相應的盜號木馬免殺機制：繼承可執(zhí)行程序加殼/變形等技術方法網頁木馬本質上并非木馬，而是Web方式的滲透攻擊代碼一般以JavaScript,VBScript等腳本語言實現(xiàn)免殺機制通過大小寫變換、十六進制編碼、unicode編碼、base64編碼、escape編碼等方法對網頁木馬進行編碼混淆通過通用（screnc等）或定制的加密工具（xxtea等）對網頁木馬進行加密修改網頁木馬文件掩碼、混淆文件結構、分割至多個文件等WEB木馬病毒-典型網頁木馬MS06-014網馬MS06-014安全漏洞機理MDAC中的RDS.DataspaceActiveX控件遠程代碼執(zhí)行漏洞，沒有對通過該控件在宿主上的交互行為進行有效控制

MS06-014網馬程序WEB木馬病毒-ARP欺騙木馬ARP欺騙掛馬:危害度更高的掛馬網絡構建策略并不需要真正攻陷目標網站：知名網站通常防護嚴密ARP欺騙：對同一以太網網段中，通過ARP欺騙方法進行中間人攻擊，可劫持指定網絡流量并進行任意修改ARP欺騙掛馬:在Web請求反饋頁面中插入iframe等重定向鏈接代碼，從而使得目標網站被“虛擬”掛馬服務器端ARP欺騙掛馬在目標網站同一以太網中獲得訪問入口進行ARP欺騙掛馬目標網站雖未被攻陷，但所有網站訪問者遭受網頁木馬的威脅案例：07年10月份Nod32中國官方網站,C.I.S.R.T網站等掛馬服務器架構WEB木馬病毒-網站掛馬的的實現(xiàn)過程分布式拒絕攻擊(DDOS)-介紹分布式拒絕服務攻擊使用與普通的拒絕服務攻擊同樣的方法，但是發(fā)起攻擊的源是多個。通常，攻擊者使用下載的工具滲透無保護的主機，當獲得該主機的適當?shù)脑L問權限后，攻擊者在主機中安裝軟件的服務或進程（以下簡稱代理）。這些代理保持睡眠狀態(tài)，直到從它們的主控端得到指令。主控端命令代理對指定的目標發(fā)起拒絕服務攻擊。分布式拒絕服務攻擊是指主控端理由僵尸機器同時對一個目標發(fā)起幾千個攻擊。單個的拒絕服務攻擊的威力也許對帶寬較寬的站點沒有影響，而分布于全球的幾千個攻擊將會產生致命的效果。

分布式拒絕攻擊-攻擊步驟一ScanningProgram不安全的計算機Hacker攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。1Internet分布式拒絕攻擊-攻擊步驟二Hacker被控制的計算機(代理端)黑客設法入侵有安全漏洞的主機并獲取控制權。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。2Internet分布式拒絕攻擊-攻擊步驟三Hacker

黑客在得到入侵計算機清單后，從中選出滿足建立網絡所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。3被控制計算機（代理端）MasterServerInternet分布式拒絕攻擊-攻擊步驟四HackerUsingClientprogram,

黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊4被控制計算機（代理端）TargetedSystemMasterServerInternet分布式拒絕攻擊-攻擊步驟五InternetHacker

主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。5MasterServerTargetedSystem被控制計算機（代理端）分布式拒絕攻擊-攻擊步驟六TargetedSystemHacker

目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應，DDOS攻擊成功。6MasterServerUserRequestDeniedInternet被控制計算機（代理端）信息泄露-管理員的疏忽當我們輸入inurl:“ViewerFrame?Mode=”后……信息泄露-來自搜索引擎如何有效對WEB防護Web業(yè)務類型防護政務公開網上辦事政民互動業(yè)務類型網頁篡改敏感信息泄密業(yè)務中斷威脅類型非法入侵代碼加固網頁防篡改WAF身份鑒別訪問控制防護類型Web安全視圖InternetWebServerApplicationServerDatabasesBackendServer/SystemPortScanningDoSAnti-spoofingWebServerknowvulner-abilitiesPattern-BasedAttacks

SQLInjection

CrossSiteScripting

ParameterTamperingCookiePoisoningFirewall網絡端口訪問控制UDP/TCP狀態(tài)感知1IDS/IPS基于規(guī)則的異常檢測入侵防護已知漏洞管理2Web

ApplicationFirewallHTTP/S應用保護會話管理（Cookie安全）內容控制數(shù)據(jù)泄露管理3企業(yè)數(shù)據(jù)中心從運維管理者而言

檢測與發(fā)現(xiàn)----事前預警防護與阻擊----事中防護安全監(jiān)控與安全恢復----事后恢復、監(jiān)控典型安全產品保障方向產品名稱檢測WEB掃描器Web安全審計系統(tǒng)（WAS）防護WEB應用防火墻（WAF）網頁防篡改安全監(jiān)控與恢復WEB應用防護系統(tǒng)（HWAF）Web安全掃描器十大Web安全掃描器NiktoParosproxyWebScarabWebInspectWhisker/LibwhiskerBurpsuiteWiktoAcunetixWebVelnerabilityScannerWatchfireAppscanN-Stealth網頁防篡改Web應用防火墻應用代碼安全才是真正的WEB安全！Asp注入的預防對于用戶端輸入的任意字符，包括GET提交，POST提交，Cookie提交，SERVER提交的都需要做嚴格過濾。對于數(shù)字型參數(shù)判斷是否為數(shù)字：可用函數(shù)isNumeric來判斷，返回值為true和false。對于字符型參數(shù)過濾單引號，使其無法閉合當前sql語句的單引號。例外：base64編碼Sql通用防注入Php注入的預防(一)確認GPC開啟，若沒開啟則用addslashes函數(shù)過濾之，如下代碼。

if(!get_magic_quotes_gpc()){

$lastname=addslashes($_POST['lastname']);

}else{

$lastname=$_POST['lastname'];

}對于數(shù)字型參數(shù)可使用intval或floatval強制轉換為數(shù)字型。注意mysql的版本以及默認字符集，Mysql>4.1字符集連接字符串: mysql_query("SETcharacter_set_connection=$dbcharset, character_set_results=$dbcharset,character_set_client=binary;")Php注入的預防(二)Php5以上版本Mysqli擴展預防，參數(shù)化查詢$city="Amersfoort";

/*createapreparedstatement*/

$stmt=$mysqli->prepare("SELECTDistrictFROMCityWHEREName=?")

$stmt->bind_param("s",$city);

$stmt->execute();

$stmt->bind_result($district);

$stmt->fetch();

printf("%sisindistrict%s\n",$city,$district);

$stmt->clo