網(wǎng)站應(yīng)用層安全隱患評估系統(tǒng)

網(wǎng)站應(yīng)用層平安隱患評估系統(tǒng)

AppExploreVersion1.0RealSOIInformationSecurityR&DLab業(yè)界專家論證會FUNianDong〔傅念東〕NetworkSecurityResearcherREALSOIINFOTECHCISO目錄專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結(jié)專家介紹高慶獅院士卿斯?jié)h中科院研究員賀也平中科院副研究員陳立杰軍方高工徐廣方軍方總工、高工江常青國家測評認(rèn)證中心情報部主任目錄專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結(jié)REALSOIINFOTECH瑞索訊杰信息技術(shù)〔北京〕是成立于2002年7月的高新技術(shù)型企業(yè)和“雙軟認(rèn)證〞企業(yè)公司位于中國北京，并在西安、上海設(shè)有研發(fā)合作小組，從事網(wǎng)絡(luò)平安領(lǐng)先技術(shù)的研究和產(chǎn)品開發(fā)公司定位于AppSecurity和ComputerForensicsCertifiedInformationSystemsSecurityProfessional(CISSP?)CertifiedInformationSystemsAuditor(CISA?)CISPlecturer?RealSOI-AnitsolutionInformationSecurityR&DLab一流的AppSecurityLab&ComputerForensicsLabAnitsolution北京華安永誠信息系統(tǒng)由資深信息技術(shù)、網(wǎng)絡(luò)平安專家創(chuàng)立的專業(yè)效勞公司公司致力于網(wǎng)絡(luò)平安集成和專業(yè)的網(wǎng)絡(luò)平安效勞與瑞索訊杰共同出資組建信息平安積極防御實驗室，專注應(yīng)用平安和計算機取證技術(shù)、產(chǎn)品的研發(fā)與推廣主流平安廠商良好的合作關(guān)系骨干員工來自國內(nèi)外知名的網(wǎng)絡(luò)平安公司企業(yè)技術(shù)領(lǐng)導(dǎo)人于90年代中期開始致力于網(wǎng)絡(luò)事業(yè)開始于1998年，先后為國內(nèi)兩家一流平安企業(yè)創(chuàng)辦積極防御研究中心并擔(dān)任技術(shù)負(fù)責(zé)人成功參與和負(fù)責(zé)國家信息平安工程的設(shè)計和監(jiān)理[國際CISSP認(rèn)證/國內(nèi)CISP講師]認(rèn)證成功參與過多起計算機犯罪專家取證成功領(lǐng)導(dǎo)多個行業(yè)平安風(fēng)險評估工程—中國電信/中國移動/證券/銀行REALSOILEADERREALSOILEADER1999年創(chuàng)辦中國最大的驅(qū)動程序開發(fā)資源論壇〞中國驅(qū)動開發(fā)網(wǎng)〞

著作?JAVA高級開發(fā)指南?；著作?DriverStudio開發(fā)指南及庫參考?；著作?Windriver開發(fā)指南及庫參考?；著作?程序春秋?REALSOI成功案例

成功實施河南省濟(jì)源市網(wǎng)上行政審批便民服務(wù)系統(tǒng)集成和網(wǎng)絡(luò)安全整體工程，合作企業(yè)：國研股份安全知識培訓(xùn)服務(wù)中國保監(jiān)會網(wǎng)站安全保障服務(wù)合作者：華安永誠中國國際招標(biāo)網(wǎng)網(wǎng)站系統(tǒng)安全評估和保障服務(wù)

中石化工程建設(shè)公司安全風(fēng)險評估，合作者：江南科友對北京公安一局進(jìn)行網(wǎng)絡(luò)技術(shù)及FBI取證技術(shù)課程培訓(xùn)，周期一個月；國家質(zhì)量監(jiān)督檢疫總局系統(tǒng)網(wǎng)絡(luò)安全輪訓(xùn)；信息產(chǎn)業(yè)部安全培訓(xùn)；中央電視臺央視網(wǎng)絡(luò)安全培訓(xùn)；合作者：清華繼續(xù)教育學(xué)院；成功案例成功地完成了中國電信31個省份網(wǎng)管人員的UNIX攻擊和防御技術(shù)培訓(xùn)，為期3天；成功地完成了中國國家評測中心實驗室的網(wǎng)絡(luò)攻擊和防御技術(shù)培訓(xùn)；榮幸地被中國國家評測中心唯一免試特聘為UNIX安全管理課程講師，并成功完成人民銀行CISP認(rèn)證培訓(xùn)網(wǎng)絡(luò)攻擊和防御技術(shù)培訓(xùn)以及UNIX安全管理培訓(xùn)；并將于2003年4月14日參與該中心組織的民生銀行CISE認(rèn)證培訓(xùn)授課；協(xié)助西安市公安局信息大隊公安人員進(jìn)行電子信息犯罪取證現(xiàn)場技術(shù)專家分析，使用到我公司的信息犯罪取證智能決策和指導(dǎo)知識庫系統(tǒng)，地點：寶雞市AppExploreV1.0軍用版技術(shù)培訓(xùn)和相關(guān)項目合作；AppExplore系我公司自主研發(fā)成功的國內(nèi)首套大型網(wǎng)站應(yīng)用層安全隱患測評系統(tǒng)，目前產(chǎn)品系列分析軍用版/金融版/電子政務(wù)版/大型企業(yè)版為西安市電信局信息部門開發(fā)新一代IP地址分布式定位系統(tǒng)，即將投入使用；與英國標(biāo)準(zhǔn)協(xié)會北京OFFICE(BSIBEIJING)協(xié)力推動BS7799標(biāo)準(zhǔn)在中國保險行業(yè)的應(yīng)用；REALSOI的平安研究歷程安全硬件平臺動態(tài)安全資源管理與Anitsolution共同為用戶提供一流的平安資源整合和企業(yè)風(fēng)險管理FirewallIDSAntiVirusVPN

CA非法途徑撥號外聯(lián)管理HTTP/HTTPS80/443黑客自由出入的通道？Middle-Ware

APPSERVERWEBSERVERDATABASE當(dāng)前>70%的入侵來自WEB應(yīng)用層企業(yè)級應(yīng)用層平安隱患評估統(tǒng)計統(tǒng)計全球黑客利用應(yīng)用層或者未知的平安隱患入侵破壞技術(shù)，對各類型網(wǎng)站應(yīng)用平臺構(gòu)成巨大威脅：--新聞報道AtomicPalertscustomerstobreach—CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—SecurityWDec27,2000APSiteHacked

—InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—Newsbytes,Nov3,2000

NTremainshackers'favorite

—VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—CNetJan22,2001

U.S.NavyHacked

—SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—LATImes,Mar15,2001

--黑客已經(jīng)無數(shù)次地造成：1.網(wǎng)上電子商城業(yè)務(wù)系統(tǒng)遭受黑客完全訪問2.網(wǎng)上花市用戶信用卡數(shù)據(jù)失竊3.網(wǎng)上電子書城重要數(shù)據(jù)被刪除4.網(wǎng)上電子商務(wù)交易被黑客偽造等5.政府網(wǎng)上形象站點頁面被黑客涂抹6.其它方面影響統(tǒng)計根據(jù)美國聯(lián)邦商務(wù)委員會(FederalTradeCommission)調(diào)查顯示，2002年期間，全球與網(wǎng)絡(luò)平安直接相關(guān)的經(jīng)濟(jì)損失高達(dá)18億美金惡性蠕蟲出現(xiàn)之后，損失將顯著增加–研究跟蹤發(fā)現(xiàn)：近期將出現(xiàn)利用網(wǎng)站應(yīng)用層漏洞如SQLINJECTION隱患進(jìn)行破壞性攻擊的新一代惡性蠕蟲！！60%的入侵者會考慮從Applicationlevel進(jìn)行入侵，通常，網(wǎng)絡(luò)中的加密手段和防火墻措施都被繞過事實上，WEB應(yīng)用正逐漸成為網(wǎng)上商業(yè)的核心“SecurityisaBUSINESSDRIVER!〞–只有平安，網(wǎng)上商業(yè)才能有動力！專業(yè)針對應(yīng)用中未被揭露的平安隱患自動化評估系統(tǒng)已經(jīng)被成功研制，可以輔助解決應(yīng)用層大量和未知的平安問題

最新動態(tài)瑞索咨詢家網(wǎng)站應(yīng)用層平安隱患評估系統(tǒng)－－－AppExplore受到中國信息平安產(chǎn)品測評認(rèn)證中心的關(guān)注，并在中心試用受到北京信息平安測評中心的關(guān)注，擬作為黨政網(wǎng)站的應(yīng)用平安評估工具Thanks!網(wǎng)站應(yīng)用層平安隱患評估系統(tǒng)

AppExploreVersion1.0FUNianDong〔傅念東〕NetworkSecurityResearcherREALSOIINFOTECHCISORealSOIInformationSecurityR&DLab業(yè)界專家論證會關(guān)注應(yīng)用平安-完善平安體系大量黑客事件警示了防火墻和入侵監(jiān)測系統(tǒng)在應(yīng)用層攻擊手段下往往無能為力安裝補丁不能完全解決應(yīng)用平安問題[應(yīng)用程序平安編碼]對于完善整個平安體系的重要性采用科學(xué)的評估手段針對企業(yè)WEB系統(tǒng)進(jìn)行“黑箱子測試〞，實施多方位的應(yīng)用層入侵技術(shù)模擬評估，揭露應(yīng)用平安隱患迫在眉睫應(yīng)用平安啟示：REALSOI的平安定位AppSecurity應(yīng)用平安ComputerForensics計算機取證RealSOIAppExplore&APPSecurity專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結(jié)REALSOIAppExplore成熟產(chǎn)品化商業(yè)評估軟件專業(yè)應(yīng)用層平安隱患揭露系統(tǒng)普通Scanner+AppExplore形成完整有效的新一代測評組合平安效勞市場的主要切入點將會逐漸轉(zhuǎn)向應(yīng)用平安領(lǐng)域應(yīng)用層的專業(yè)評估將在完整的平安解決方案中擔(dān)任重要角色AppExplore定位：AppExplore為誰效勞？電子商務(wù)應(yīng)用平臺和形象宣傳平臺網(wǎng)上銀行應(yīng)用平臺和形象宣傳平臺電子政府應(yīng)用平臺和形象宣傳平臺大中型企業(yè)網(wǎng)站應(yīng)用和宣傳平臺ISP/ASP客戶增值評估效勞工具系統(tǒng)第三方測評認(rèn)證機構(gòu)工具系統(tǒng)軍方專用敵對網(wǎng)站打擊滲透工具系統(tǒng)〔直接打擊功能為特別定制〕其他任何具有應(yīng)用層平安效勞需求的客戶群AppExplore思考的十大類平安問題APPLICATIONBUFFEROVERFLOW應(yīng)用層緩沖區(qū)溢出〔壓力測試〕COOKIEPOISONINGcookie平安使用狀況評估CROSS-SITESCRIPTING跨站腳本攻擊風(fēng)險評估HIDDENMANIPULATION頁面隱藏參數(shù)域篡改風(fēng)險評估STEALTHCOMMANDING系統(tǒng)隱蔽指令執(zhí)行風(fēng)險評估3RDPARTYMISCONFIGURATION第三方誤配置平安隱患KNOWNVULNERABILITIES各類型平安漏洞PARAMETERTAMPERINGURL參數(shù)篡改攻擊風(fēng)險評估BACKDOOR&DEBUGOPTIONS后門程序和調(diào)試選項遺留隱患FORCEFULBROWSING網(wǎng)站內(nèi)容強力瀏覽問題應(yīng)用平安方面的權(quán)威書籍權(quán)威資料參考：?WebHacking:AttacksandDefense?byStuartMcClure,SaumilShah,ShreerajShah?HackingExposed(TM)WebApplications?byJoelScambray,MikeShema

如果存在以上十大類問題，那么。。由于COOKIE中毒平安隱患，導(dǎo)致黑客可能實施身份偽裝攻擊；由于隱藏字段信息篡改隱患，黑客可能實施電子欺騙；由于URL參數(shù)、表單變量存在平安隱患，黑客因此可能進(jìn)行系統(tǒng)指令執(zhí)行、邏輯認(rèn)證繞過、后臺數(shù)據(jù)庫攻擊等；由于應(yīng)用程序緩沖區(qū)溢出隱患，黑客可能導(dǎo)致業(yè)務(wù)終止甚至獲取非法權(quán)限；由于跨站點腳本執(zhí)行隱患，導(dǎo)致黑客可能實施不同程度基于信息泄漏的攻擊；由于第三方軟件的錯誤設(shè)置和典型的平安隱患存在，導(dǎo)致不同類型的黑客入侵破壞；AppExplore面對的市場背景用戶普遍還停留在FW+IDS層次的平安防護(hù)意識；國內(nèi)用戶對應(yīng)用平安知識了解不夠，對應(yīng)用平安隱患和風(fēng)險認(rèn)識不夠，在國外，應(yīng)用平安專家已經(jīng)開始就應(yīng)用平安問題進(jìn)行普及宣傳；面對網(wǎng)絡(luò)級和系統(tǒng)級平安，多數(shù)用戶〞亡羊補牢〞，而應(yīng)用級平安迫在眉睫，需要的是〞未雨綢繆〞；應(yīng)用層隱患普遍存在，一旦爆發(fā)蠕蟲式惡意攻擊，將形成〞NIMDA現(xiàn)象〞；這是一份來自臺灣的調(diào)查統(tǒng)計：針對最為嚴(yán)重的SQLInjection漏洞的調(diào)查，由於國內(nèi)九成以上網(wǎng)站皆使用SQL資料庫系統(tǒng)，因此，經(jīng)警方測試，研判國內(nèi)八成以上的網(wǎng)站已面臨「資料隱碼」攻擊方式的嚴(yán)重威脅。5.整體上，平安編程意識的缺乏導(dǎo)致不平安的應(yīng)用不斷出現(xiàn)應(yīng)用平安風(fēng)險之應(yīng)用層緩沖區(qū)溢出緩沖區(qū)溢出是一種很典型的軟件漏洞，黑客通過輸入超長的惡意參數(shù)，讓程序處理該參數(shù)時超過預(yù)設(shè)的緩沖區(qū)范圍，導(dǎo)致難以預(yù)料的后果。此類漏洞在Web應(yīng)用程序中也時常出現(xiàn)舉例：對象是一個要求客戶輸入個人信息的頁面。用戶查看該頁面的源代碼后發(fā)現(xiàn)，“companyname〞字段的最大長度設(shè)為30〔<inputtype=“text〞name=companynamemaxsize=30>〕，這就可能意味著效勞器端的CGI程序期望處理的最大字符串長度是30。如果惡意用戶修改了這個值，比方改成10000，然后在"companyname"輸入字段中填充大量的字符，提交給Web效勞器后，CGI程序很可能發(fā)生緩沖區(qū)溢出，Web效勞器將發(fā)生難以預(yù)料的后果。應(yīng)用平安風(fēng)險之應(yīng)用層緩沖區(qū)溢出應(yīng)用平安風(fēng)險之應(yīng)用層緩沖區(qū)溢出應(yīng)用平安風(fēng)險之應(yīng)用層緩沖區(qū)溢出應(yīng)用平安風(fēng)險之應(yīng)用層緩沖區(qū)溢出應(yīng)用平安風(fēng)險之應(yīng)用層緩沖區(qū)溢出應(yīng)用平安風(fēng)險之cookie平安傳統(tǒng)的Web應(yīng)用系統(tǒng)，為了支持面向用戶的網(wǎng)頁內(nèi)容，通常都使用cookies機制在客戶端主機上保存某些信息，例如用戶ID、口令、時戳等。這些cookies可以用來維護(hù)Web訪問會話遷移過程中的狀態(tài)信息，使效勞器可以識別前一個會話過程的用戶。因為cookies通常是不經(jīng)加密就保存在用戶的桌面系統(tǒng)中，黑客能夠很容易地篡改cookies內(nèi)容，由此獲取其他用戶的賬號，導(dǎo)致嚴(yán)重的后果。舉例：一個存在cookie毒害漏洞的例子。這是一個支持在線付費的網(wǎng)站。下面圖例中，一個名為Abacarius的消費者〔黑客？〕登錄網(wǎng)站，需要提交幾筆付費工程。該網(wǎng)站是通過保存在客戶端的cookie信息來識別登錄用戶的，而客戶端cookie文件中保存的“abacarius〞用戶名只經(jīng)過了簡單的“加密〞處理〔將a變成z，b變成y，依此類推〕，即“zyzxzirfh〞。黑客只需要替換掉這個字串內(nèi)容，就可以冒名頂替其他用戶進(jìn)行付費操作了。例如，將"zyzxzirfh"替換為"qlsmhlm"，也就是將"abacarius"用戶更名為"Johnson"。應(yīng)用平安風(fēng)險之cookie中毒應(yīng)用平安風(fēng)險之cookie中毒應(yīng)用平安風(fēng)險之cookie中毒應(yīng)用平安風(fēng)險之cookie中毒應(yīng)用平安風(fēng)險之cookie中毒應(yīng)用平安風(fēng)險之跨站腳本攻擊跨站腳本〔Cross-sitescripting，CSS〕是一種向其他Web用戶瀏覽頁面插入執(zhí)行代碼的方法。Web效勞器端應(yīng)用程序要是接受客戶端提交的表單信息而不加驗證審核，黑客很可能在其中插入可執(zhí)行腳本的代碼，例如JavaScript、VBScript等，如果客戶端提交的內(nèi)容不經(jīng)過濾地返回給任意訪問該網(wǎng)站的客戶端瀏覽器，其中嵌入的腳本代碼就會以該Web效勞器的可信級別被客戶端瀏覽器執(zhí)行，這就是CSS漏洞的問題所在。

存在這種漏洞的最典型的例子，就是某些網(wǎng)絡(luò)論壇，這些BBS會向客戶端返回其他用戶之前輸入的內(nèi)容，許多搜索引擎網(wǎng)站也存在此類問題。收到這些嵌入惡意代碼內(nèi)容的客戶端瀏覽器，如果信任內(nèi)容來源網(wǎng)站，惡意代碼就可能在客戶端主機執(zhí)行。

應(yīng)用平安風(fēng)險之跨站腳本攻擊跨站腳本漏洞的本質(zhì)還在于Web應(yīng)用程序沒有對客戶端輸入進(jìn)行嚴(yán)格校驗。黑客利用此類漏洞，可能實施的攻擊操作包括：竊取用戶COOKIE，偽造身份；偽造網(wǎng)頁內(nèi)容；客戶端拒絕效勞攻擊和惡性病毒傳播；執(zhí)行系統(tǒng)命令–高級黑客入侵技術(shù)；等。應(yīng)用平安風(fēng)險之跨站腳本攻擊某個惡意用戶就某個嚴(yán)重問題草擬報告如下正常內(nèi)容—大家好啊。<imgsrc=://width=“10〞height=“10〞></img>應(yīng)用平安風(fēng)險之跨站腳本攻擊參考：以上所貼的被證明包含有網(wǎng)頁惡性病毒，理論上，所有信任該站點的重要客戶都有可能由于瀏覽該頁面文件而感染病毒。

應(yīng)用平安風(fēng)險之操縱頁面隱藏字段隱藏字段即HTML表單中hidden類型的字段。

Web系統(tǒng)本身是無狀態(tài)的，為了維持客戶端/效勞器之間的會話狀態(tài)，Web應(yīng)用系統(tǒng)最簡單也最普遍采用的方法就是用隱藏字段存儲信息。但是，隱藏字段并非真正"隱藏"，它僅僅是不顯示給用戶而已，提供給客戶端的靜態(tài)頁面源碼中就保存有隱藏字段的真實內(nèi)容。許多基于Web的電子商務(wù)應(yīng)用程序用隱藏字段來存儲商品價格、用戶名、密碼等敏感內(nèi)容，客戶端瀏覽器只要用"ViewSource"命令就可以查看其真實的內(nèi)容。例如：

<inputtype="hidden"name="Price"value="10.50">

心存惡意的用戶，用瀏覽器簡單地保存HTML頁面源代碼，修改隱藏字段內(nèi)容，重新提交給效勞器端，Web效勞器如果不對這種改變做進(jìn)一步驗證，就很容易用新的偽造的信息處理交易，這是一種非常危險的漏洞。應(yīng)用平安風(fēng)險之操縱頁面隱藏字段在技術(shù)上使用隱藏字段來存儲商品價格、用戶名、密碼等敏感內(nèi)容，客戶端瀏覽器只要用“ViewSource〞命令就可以查看其真實的內(nèi)容。應(yīng)用平安風(fēng)險之操縱頁面隱藏字段<inputtype="hidden"name="Price"value="10.50">應(yīng)用平安風(fēng)險之操縱頁面隱藏字段修改Value=“1.95〞，重新提交給效勞器端處理應(yīng)用平安風(fēng)險之操縱頁面隱藏字段Web效勞端CGI如果不對這種改變做進(jìn)一步驗證，就很容易用新的偽造的信息處理交易。購物車CGI接受你以$1.95的價格購置$129.95的商品應(yīng)用平安風(fēng)險之隱蔽指令執(zhí)行〔主要是指Unix效勞器〕效勞器端include通過從本地硬盤驅(qū)動器中調(diào)用文檔或其它對象，然后將這些元素自動包含在Web頁面中。

例如：#execcmd=“rm–rf*〞這個看起來象SSI,假設(shè)這條SSI成功執(zhí)行且HTTPD正在根下運行，那么刪除的將是整個驅(qū)動器。大多數(shù)站點禁止使用SSI.舉例：入侵者在本該填寫StreetAddress的可輸入?yún)^(qū)域填寫敏感文件查看指令<!–#exec/bin/cat/etc/ssl/private.pem-->入侵者聰明地驅(qū)使WEBSERVER把SSLkey文件附加顯示到網(wǎng)頁上，從而可讓自己成功扮演效勞器角色搜集各種客戶重要信息應(yīng)用平安風(fēng)險之隱蔽指令執(zhí)行應(yīng)用平安風(fēng)險之隱蔽指令執(zhí)行<!--#includefile="/export/home-c1/jkzki6/htdocs/test.txt--><!--#includevirtual="/test/test.txt"--><!--#execcgi="/export/home-c1/jzki6/cgi-bin/test.cgi"--><!--#execcmd="./date.sh"--><!--#execcmd="test/test.pl"-->

應(yīng)用平安風(fēng)險之隱蔽指令執(zhí)行入侵者驅(qū)使WEB效勞器把SSLkey文件附加顯示到網(wǎng)頁上，從而可讓自己成功扮演效勞器角色搜集各種客戶重要信息應(yīng)用平安風(fēng)險之平安漏洞許多操作系統(tǒng)及第三方應(yīng)用軟件〔包括Web效勞器和數(shù)據(jù)庫效勞器〕都存在一些漏洞，如果管理員不及時安裝已經(jīng)發(fā)布了的軟件補丁，這些漏洞就很可能被黑客利用。因為黑客只需要用簡單的漏洞掃描器和大量的漏洞披漏網(wǎng)站就可以知道該怎樣實施攻擊了。其實，許多漏洞都可以歸類到前面介紹的幾種典型漏洞當(dāng)中舉例：IIS效勞器的ASPAlternateDataStreams漏洞，只要在ASP文件名后加上“::$DATA〞后綴，就可以看到ASP文件源代碼，這個漏洞就屬于典型的CGI參數(shù)欺騙類型。而另一個此類漏洞IISUnicode漏洞，那么可以讓黑客查看敏感信息，執(zhí)行系統(tǒng)命令，進(jìn)行文件操作，后果將是非常嚴(yán)重的。://bugsites/login.asp::$DATA

://www/_vti_bin/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

應(yīng)用平安風(fēng)險之平安漏洞應(yīng)用平安風(fēng)險之平安漏洞應(yīng)用平安風(fēng)險之平安漏洞應(yīng)用平安風(fēng)險之平安漏洞應(yīng)用平安風(fēng)險之后門程序和調(diào)試選項遺留在程序開發(fā)期間，程序員通常都會在代碼中參加一些調(diào)試選項或功能，這是供程序測試使用的。不過，種種原因，這些調(diào)試功能往往會在軟件的最終正式版中得以保存，這就給黑客或惡意程序員提供了極大的方便。通過激活這些調(diào)試選項，黑客可以進(jìn)行某些特別的操作。除了調(diào)試功能，程序中有時候還保存一些后門機制，例如讓開發(fā)人員直接進(jìn)行正常情況下應(yīng)該禁止的操作，或者是不提供口令進(jìn)行登錄，或者可以直接訪問某個特殊的URL，這也給黑客提供了方便之門。舉例：一個網(wǎng)上銀行客戶帳務(wù)管理接口程序，客戶可以方面通過CGI程序進(jìn)行各類帳務(wù)操作，但是，為方便引擎開發(fā)者在線調(diào)試和開發(fā)，后臺引擎留下debug類操作后門,開發(fā)者或者是黑客可以通過向后臺CGI傳遞debug=on相關(guān)指令來越權(quán)控制任何客戶個人信息

debug=on&from=987987-233&to=234232-234&amount=10000

應(yīng)用平安風(fēng)險之后門程序和調(diào)試選項遺留應(yīng)用平安風(fēng)險之后門程序和調(diào)試選項遺留應(yīng)用平安風(fēng)險之后門程序和調(diào)試選項遺留應(yīng)用平安風(fēng)險之強力瀏覽問題存在這類型平安問題的網(wǎng)站通常采用某種技術(shù)方式來存儲敏感文件，如：采用系統(tǒng)臨時文件的方式來存儲本該保密的用戶資料，但是惡意入侵者通過對效勞器返回給客戶端瀏覽器的HTML源程序進(jìn)行閱讀和分析，將通過重組URL連接的方式直接獲得這類敏感文件的訪問權(quán)。舉例：這是一個為兒童提供游戲娛樂和教育的網(wǎng)站，每個兒童都注冊了自己的詳細(xì)個人資料，如家庭住址，父母背景等，網(wǎng)站管理員把資料文件存放在效勞器上，沒有提供直接的訪問路經(jīng)。但是，在網(wǎng)站某處的HTML源代碼中，卻留有一段寫在注釋中的信息--/private/kids.cvs任何人都可以輕易閱讀到保密的kids.cvs應(yīng)用平安風(fēng)險之強力瀏覽問題應(yīng)用平安知識之強力瀏覽問題應(yīng)用平安風(fēng)險之強力瀏覽問題應(yīng)用平安風(fēng)險之參數(shù)篡改攻擊如果Web應(yīng)用程序沒有對客戶端提交的參數(shù)進(jìn)行嚴(yán)格校驗，就有可能對客戶端參數(shù)中包含的某些特殊內(nèi)容進(jìn)行不適當(dāng)?shù)奶幚恚瑢?dǎo)致難以預(yù)料的后果。這類漏洞最常見于那些應(yīng)用了SQL數(shù)據(jù)庫后端的Web效勞器，黑客通過向提交給CGI程序的參數(shù)中“注射〞某些特殊SQL語句，最終可能獲取、篡改、控制Web效勞器端數(shù)據(jù)庫中的內(nèi)容。,當(dāng)然，此類漏洞的另一種后果，就是泄漏某些敏感信息，許多Web效勞器及應(yīng)用系統(tǒng)都曾經(jīng)披漏過此類問題。利用此類編程漏洞執(zhí)行系統(tǒng)指令也是常用的入侵方式。舉例：(1)'or1=1--邏輯認(rèn)證繞過SELECT*FROMtblUserWHEREUserName=''or1=1--'ANDPassword='asdf‘(2)利用錯誤信息取得資料表內(nèi)各欄位的資料形態(tài)

‘UNIONSELECT'abc',1,1,1FROMtblUser–

SELECT*FROMtblUserWHEREUserName=

'‘UNIONSELECT'abc',1,1,1FROMtblUser--'

ANDPassword='asdf'應(yīng)用平安風(fēng)險之參數(shù)篡改攻擊普通客戶提交正常要求helloworld7777-8888-222Aaaaaaaaaaaaa-bbbbbbbbbbbbb不懷好意者在此欄提交各種測試代碼，如“‘〞應(yīng)用平安風(fēng)險之參數(shù)篡改攻擊應(yīng)用平安風(fēng)險之參數(shù)篡改攻擊'','','','')select123--test111-111應(yīng)用平安風(fēng)險之參數(shù)篡改攻擊AppExplore評估該類型的報告顯示：SQLINJECTION攻擊之簡單符號匹配[2]模式測試

類似于new.asp?id=255

通常asp腳本程序訪問SQL數(shù)據(jù)庫的寫法是SELECT*FROM[newstable]WHERE[ID]=‘@value’

Asp腳本程序員沒有對@value進(jìn)行單引號等特殊符號校驗，導(dǎo)致入侵者可以在@value后面構(gòu)造自定義的復(fù)雜SQL指令通過asp腳本程序傳遞給后臺數(shù)據(jù)庫執(zhí)行，入侵者的操作權(quán)限等同于asp腳本程序訪問數(shù)據(jù)庫對應(yīng)的數(shù)據(jù)庫賬號映射到系統(tǒng)賬號的權(quán)限！

如果asp腳本程序調(diào)用的是sysadmin組的用戶，將導(dǎo)致入侵者可以直接使用localsystem賬號執(zhí)行系統(tǒng)命令；

例如:

news.asp?id=255’exec“netusertmpuser/add〞--

news.asp?id=255’exec“netlocalgroupadministratorstmpuser/add〞--

臨時解決方法:

對于所有用戶提交的數(shù)據(jù)進(jìn)行根本的特殊字符前臺過濾和屏蔽；

采用Replace(@value,“‘",“'‘“)等方法防治入侵者的指令從字符串跳出演變成為具有危害性的SQL指令。產(chǎn)品化特點專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結(jié)小投入、大作用小投入、大作用Anitsolution2000?論平安體系的完整性?“AppExplore系列產(chǎn)品對整個網(wǎng)站應(yīng)用平臺的平安健康狀況層次化的表示，使得平安管理員和評測員能切實看到網(wǎng)站的應(yīng)用平安全貌和黑客入侵威脅點并作出正確響應(yīng)，真正做到未雨綢繆.〞極大降低應(yīng)用平安效勞本錢24小時/2位應(yīng)用平安專家手工評測成果小于等于20分鐘/AppExplore+一名普通操作人員的評測效果基于定制策略的定時評估，網(wǎng)段評估公正的“黑箱子測試〞使得程序員和系統(tǒng)平安分析員一目了然地知曉故障點和排除故障最簡便的方法評估結(jié)果報告將直接告訴用戶“哪個文件的哪個參數(shù)出了問題，是什么類型的問題？〞產(chǎn)品整體特點網(wǎng)站應(yīng)用結(jié)構(gòu)圖分析功能：立足于網(wǎng)站系統(tǒng)應(yīng)用的平安規(guī)劃，多種手段相結(jié)合，完整而詳細(xì)的分析出目標(biāo)網(wǎng)站的目錄結(jié)構(gòu)和文件關(guān)系。應(yīng)用平安隱患分析功能：分析來自網(wǎng)站結(jié)構(gòu)圖中的每一個網(wǎng)站功能腳本程序的應(yīng)用狀況，借助于專用的知識數(shù)據(jù)庫，針對所有可能為黑客所利用的入侵工程進(jìn)行多樣化多層次的探測和分析。最終得到真正對管理者做出決策有實質(zhì)性幫助的平安隱患報告。分析過程支持交互式策略和全自動策略；支持代理(proxy)掃描；SSL和客戶端認(rèn)證支持；

本評估系統(tǒng)廣泛支持各種常見應(yīng)用系統(tǒng)或者引擎語言：ASP,PHP,ColdFusion,LotusDomino,BEAWebLogic,Perl,NetscapeJavaServletPages等產(chǎn)品整體特點基于國際標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的風(fēng)險報告功能：

形成通俗易懂的風(fēng)險說明報告。圖文并茂地展現(xiàn)出漏洞表、威脅表、風(fēng)險比率圖等報告，顯示詳細(xì)平安隱患來源和背景。使得使用該產(chǎn)品的人員能夠在不斷掌握新平安知識的情況下來抵御應(yīng)用層黑客的入侵。穩(wěn)定快捷的在線升級功能：

簡單方便的網(wǎng)絡(luò)在線升級功能，將不斷的更新升級最新的專用知識數(shù)據(jù)庫。獨特的預(yù)警模式，將第一時間提醒您關(guān)注最新的平安風(fēng)險。

反盜版和反破解設(shè)計：

防止該系列產(chǎn)品不會被未授權(quán)非法使用。嚴(yán)格的認(rèn)證和授權(quán)-躲避濫用安裝序列號認(rèn)證基于硬件序列種子的網(wǎng)絡(luò)認(rèn)證管理員口令認(rèn)證直觀的界面-主界面直觀的界面-平安瀏覽器直觀的界面-綜合報告界面其它關(guān)鍵界面一覽其它關(guān)鍵界面一覽其它關(guān)鍵界面一覽典型案例專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結(jié)典型案例1使用REALSOIAppExplore來加強平安策略，從可操作化角度進(jìn)一步滿足GB18336的標(biāo)準(zhǔn)要求AppExplore能穿越多個入侵監(jiān)測系統(tǒng)、防火墻，從電子政務(wù)網(wǎng)上應(yīng)用的前端系統(tǒng)一直滲透評估到后臺數(shù)據(jù)庫系統(tǒng)自從使用AppExplore系統(tǒng)進(jìn)行全面評估之后，暴露了不計其數(shù)的此前根本沒有關(guān)注的致命隱患經(jīng)過配套的平安編程知識強化培訓(xùn)，電子政務(wù)建設(shè)者普遍對應(yīng)用平安的解決方案有了深刻理解，同時也對電子政務(wù)更加充滿信心電子政務(wù)全國性網(wǎng)上政府公開網(wǎng)站平安大檢閱：“自從開始使用REALSOIAppExplore評估系