三、攻防原理.ppt

WEB攻击与防护技术 徐 震 信息安全国家重点实验室 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.2.安全威胁 1.2.安全威胁 SANS年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL注入及跨站脚本 根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)上半年的工作报告显示，网站漏洞百出，被篡改的大陆网站数量明显上升，总数达到28367个，比去年全年增加近16% 1.3. 相关政策、法规（1） PCI DSS 美国，2008年PCI法案通过之后，要求提供信用卡网上支付超过一定营业额的企业，都需要配置Web应用防火墙或进行代码级应用安全加固。 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 典型攻击 注入类（以其人之道还治其人之身） SQL注入 OS命令注入 LDAP注入 远程文件包含 绕过防御类（凌波微步） 目录遍历 不安全对象引用 跨站类（隔山打牛） 跨站脚本 跨站请求伪造 应用安全问题根源 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 风险 盗取各类用户帐号，如网银、管理员等帐号 欺骗浏览器访问钓鱼网站，以骗取账号密码等个人信息 将使用者浏览器导向恶意网站，向使用者计算机下载并安装恶意后门程序 风险 系统服务中断 网络服务中断 互联网关键基础设施故障（如DNS等），进而造成大范围网络中断 概述 Broken Authentication and Session Management Web应用程序中的身份验证相关功能存在缺陷，可能导致认证信息或会话管理数据泄漏，造成使用者或管理者的身份被盗用 典型攻击类型：Session Fixation、Session Hijack 原理 Session存储在服务器端，并通过Session ID与各个用户关联。对于大部分的WEB应用，除非程序通知服务器删除一个Session，否则服务器会一直保留。程序一般都是在用户点击退出按钮时发出指令去删除Session，而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器很少有机会知道浏览器已经关闭。 因此，Session ID就自然成为了攻击者诱人的目标，他们通过获得Session ID，就有机会劫持用户身份。攻击者往往通过窃取Cookei、Session ID冒充会话用户，继续使用前面会话，从事攻击行为。 原理 会话劫持（Session Hijack） 攻击者通过窃取SessionID进而劫持合法用户的会话 概述 Insecure direct object references 当开发者向用户暴露一个对网站内部部署对象的引用时，如一个文件、目录、数据库键值等，若系统没有访问控制检查或者其他的保护措施，攻击者则能伪造引用实现对未授权数据的访问 防护方法 验证信息架构 识别所有的敏感数据； 识别这些数据存放的所有位置； 确保所应用的威胁模型能够应付这些攻击； 使用加密手段来应对威胁 使用一定的机制来进行保护 文件加密、数据库加密、数据元素加密 正确的使用这些机制 使用标准的强算法； 合理地生成、分发和保护密钥； 准备密钥的变更 原理 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 客户端加固 主要针对XSS、仿冒、网页木马等攻击对客户端浏览器进行加固防护。 代表性产品 360安全浏览器 Chrome安全插件 卡卡上网安全插件 …… WEB应用主机加固 WEB应用主机加固工具主要实时截取和分析软件的执行流或交互的协议流，实时发现和过滤攻击。 代表性产品： Real Time Analyzer (RTA) 主机级WEB防火墙（WebKnight） WEB应用代码分析 WEB应用代码安全分析软件，通过对软件进行代码扫描，可以找出潜在的风险，从内对软件进行检测，提高代码的安全性。主要通过数据流分析、语义分析、结构分析、控制流分析等手段，结合软件安全规则和知识库，最大程度上降低代码风险 代表性产品 Fortify SCA(Source Code Analysis) Checkmarx CxSuite Armorize CodeSecure 风险 制造虚假、恶意订单 获取敏感数据 * 防护方法 * 加密隐藏域 对隐藏域进行合理的保护，如进行hash等 防护产品体系 客户端 服务器 Internet 应用系统开发 WEB漏洞扫描系统 WEB应用防火墙 DDoS防护系统 WEB应用主机加固 客户端加固 WEB应用代码 分析工具 采用基于规则的匹配技术，即基于一套基于专家经验事先定义的规则的匹配系统，但有其局限性。 结构的扫描器：用户发出扫描命令后，扫描模块接到请求启动相应的子功能模块，对被扫描主