web业务防御解决方案.pptVIP

当前web发展状况 而域名数量更是达到了惊人的1200万 媒体报道的一些安全事件 成都市档案局网站：2007年，主页篡改 eNET硅谷动力网站：2007年1月11日，网页挂马 赛迪网：:2007年2月10日，网页挂马 天极网：2007年3月20日，网页挂马 东方卫士网站：2007年3月30日，网页挂马 新浪汽车频道：2007年5月22日，网页挂马 海尔官方网站：2007年8月11日，网页挂马 木蚂蚁绿色软件园：2007年10月25日，网页挂马 千千静听官方网站 ： 2007年12月22日，网页挂马 Pchome电脑之家网站：2007年12月28日，网页挂马 绿色软件网：2008年1月11日，网页挂马 酷狗网：2008年4月16日，网页挂马 红心中国我赛网事件:2008.4.19，主页篡改 …… 网站被攻击的一些后果 主页篡改 被嵌入或替换首页图片 网页挂马 几个数据 3407 2007年被攻击政府网站的数量 7%和3.5% 2007年被攻击政府网站占所有被攻击网站的比例是7%，明显高于政府网站在所有cn站点中所占的3.5%，说明政府网站的安全性仍需提高 1800000 Google上有哪些信誉好的足球投注网站“黑客工具”所得到的结果数量 获得攻击工具越来越容易 为什么会有网站被攻击？ Web威胁 Web威胁的根源是业务编写不完善 SQL注入 XSS …… Web威胁的直接后果是权限泄露 添加账号 网站挂马 SQL注入简介 SQL注入的概念 本质入侵后台服务器 攻击后果：SQL注入成功后，攻击者拥有Web的最高权限，可以修改页面、数据，在网页中添加恶意代码。 原理：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。入侵者可以通过恶意SQL命令的执行，获得想得知的数据。 SQL注入原理 利用web页面文件对提交字符串的处理不完备，导致绕过权限验证的攻击行为。 正常访问 比如 user=admin and passwd=123456，当密码不是123456时，这个逻辑表达式为假，将无法获得通过。 异常提交 但逻辑表达式 user=admin and passwd=123456 or 1=1，将为真，后继操作就可以进行 SQL注入特点 数量繁多 06年发现SQL注入漏洞1083个 据OWASP Foundation的调查数据，60%的受访客户存在SQL注入隐患 而据Symantec的一份报告指出，2/3的web攻击是由SQL注入引起的 难以防范 不是操作系统问题，而是web服务编写问题 变种多样，参数可无限变化，手法相当灵活 攻击实例 某省级政府机构网站被注入，经启明星辰公司分析，有如下结论 攻击者首先设置游标，轮询网站后台数据库中所有可以写入字符串的字段（哪些地方可以插入如 or 1=1的字段）(SQL注入) 挨个尝试这些注入点，使用exec操作，updata了一段脚本到网页，在这个案例里是挂上网马，这个网马利用多个漏洞，可以偷窃用户的私密信息. web业务防御 源码级更改 既然web漏洞的根源是编写不完善，那就完善它。 2007年6月，微软英国官方站点被SQL注入 一般稍微大一些的网站都有上万个页面 对代码编写人员的要求太高 安全产品防范 不需要对网站进行代码级的修改 修补或升级不影响网络 天清入侵防御系统 采用专利技术算法，对SQL注入、XSS攻击有很好的防御能力 天清IPS中VSID算法工作体系 典型案例介绍一 人事部 曾被攻击 07年公考报名前测试天清IPS 发现并阻断攻击 实际上线 典型案例介绍二 某省农业信息网 5月4日发现网站被攻击 联系启明星辰，并提供web日志 启明星辰分析日志后，发现是SQL注入后的挂马 IPS产品上线 典型案例介绍三 某市地税网站 省里下了命令，确保奥运期间网站安全 购买安全服务对网站进行检查（安星远程网站检查服务） 发现存在SQL注入漏洞 部署IPS产品 再次进行安全检查，没有发现漏洞 谢谢 * Web威胁现状 Web威胁分类 启明星辰的web业务防御 07年中国大陆被篡改网页统计 CNCERT/CC的2007年度安全报告 2007 年，CNCERT/CC监测到中国大陆被篡改网站总数累积达 61228 个，比2006年增加了 1.5 倍 以上统计数据均基于报案事件，且只是网页被篡改，未报案、或者网站挂马事件不包含在其中。 成都市档案局网站被黑客篡改成土耳其国旗的图片 当用户点击网页后，系统就会自动从恶意网站上下载并运行多个恶意程序。首先下载/worm.exe（Trojan-Dropper.Win32.Delf.or）到本地系统，衍生到系统的临时目录，改名为svch0st.exe，然后复制副本到%system%\下，并改名为spoclsv.exe 　　 WE