1、.,1,Web安全及架構(gòu)加固,.,2,開場白 隨著Web應(yīng)用的日益發(fā)展，網(wǎng)站所面臨的威脅日益顯著，Web服務(wù)器已經(jīng)成為黑客攻擊的首選目標。在不可避免會受到攻擊的前提下，如何有效的保護Web應(yīng)用是IT部門必須認真考慮的問題。在進行加固之前，我們需要先知道攻擊中所常用的招數(shù)，這樣才能更有針對性的進行防護。,.,3,防范Web攻擊的幾點基本原則, 采用最新的技術(shù)或軟件版本 永遠把訪問者想象成可能是惡意的 只允許合理的請求，而不是嘗試禁止不合 理的請求（白名單，而非黑名單） 考慮如何在限制最小權(quán)限的情況下提供網(wǎng) 頁內(nèi)容，而不是以最方便的方式提供網(wǎng)頁 內(nèi)容 對于包含敏感信息內(nèi)容，一定要進行足夠 強度的加

2、密,.,4,什么是Web安全風險 為什么會存在Web安全風險 如何面對Web安全風險 如何防護Web安全,.,5,網(wǎng)站篡改,.,6,某銀行網(wǎng)站篡改,.,7,敏感數(shù)據(jù)泄密泄密,.,8,企業(yè)敏感信息泄密,.,9,企業(yè)敏感信息泄密,.,10,湖北車管所黑客入侵事件,曾經(jīng)受聘為省公安廳交警總隊開發(fā)軟件，利用“超級管理員”的身份，用超級密碼進入公安廳車管系統(tǒng)，辦起了“地下車管所”，先后為126輛高檔小轎車辦理假證號牌，非法獲利1500余萬元。,.,11,“廣告聯(lián)盟”放置“黑鏈”,.,12,釣魚網(wǎng)站,真正的中國工商銀行網(wǎng)站 ,假冒的中國工商銀行網(wǎng)站 ,.,13,CSDN泄密門,.,14,百度被黑,百度被黑

3、,背景：5小時無法提供任何互聯(lián)網(wǎng)服務(wù) 漏洞：DNS服務(wù)器被劫持 影響：國內(nèi)最大互聯(lián)網(wǎng)企業(yè)也在劫難逃！,.,15,網(wǎng)站癱瘓思考,安全，在信息系統(tǒng)規(guī)劃設(shè)計中就應(yīng)該考慮！,.,16,Web安全風險定義,.,17,政府網(wǎng)站安全防護薄弱,據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測,2016年中國大陸有近3.5萬個網(wǎng)站被黑客篡改,數(shù)量較2015年下降21.5%,但其中被篡改的政府網(wǎng)站高達4635個,比2015年上升67.6%。中央和省部級政府網(wǎng)站安全狀況明顯優(yōu)于地市以下級別的政府網(wǎng)站,但仍有約60%的部委級網(wǎng)站存在不同程度的安全隱患。政府網(wǎng)站安全性不高不僅影響了政府形象和電子政務(wù)工作的開展,還給不法分子發(fā)布虛假信息或植入網(wǎng)

4、頁木馬以可乘之機,造成更大的危害。,.,18,.,19,.,20,被掛馬政府網(wǎng)站,.,21,網(wǎng)絡(luò)安全事件的跨境化特點日益突出,2016年,國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測發(fā)現(xiàn)共近48萬個木馬控制端IP,其中有22.1萬個位于境外,前三位分別是美國(占14.7%)、印度(占8.0%)和我國臺灣(占4.8%);共有13782個僵尸網(wǎng)絡(luò)控制端IP,有6531個位于境外,前三位分別是美國(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報送的數(shù)據(jù),2010年在我國實施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名半數(shù)以上在境外注冊。,.,22,為什么會發(fā)生

5、Web安全風險？,.,23,C/S模式和B/S模式對比,客戶端/服務(wù)器模式（C/S),專用端口專用協(xié)議,專用端口專用協(xié)議,瀏覽器/服務(wù)器模式（B/S),統(tǒng)一端口通用協(xié)議,統(tǒng)一端口通用協(xié)議,.,24,典型網(wǎng)絡(luò)攻擊示例,黑客嘗試使用admin作為用戶名登陸 即猜測存在名為admin的管理員用戶,成功登陸系統(tǒng)，黑客可以隨意讀取郵件、下載文件等操作。,.,25,典型案例,.,26,某政府單位網(wǎng)站后臺,.,27,Web應(yīng)用驗證缺失,.,28,2016年上半年CNCERT/CC處理事件類型,.,29,51CTO的WEB威脅調(diào)查,.,30,十大Web應(yīng)用安全風險,注入 - Injection 跨站腳本 -

6、Cross-Site Scripting （XSS） 失效的驗證和會話管理 - Broken Authentication and Session Management 不安全的直接對象訪問 - Insecure Direct Object References 跨站請求偽造 - Cross-Site Request Forgery（CSRF） 不正確的安全設(shè)置 - Security Misconfiguration 不安全的加密存儲 - Insecure Cryptographic Storage URL訪問限制缺失 - Failure to Restrict URL Access 沒有足夠

7、的傳輸層防護 - Insufficient Transport Layer Protection 未驗證的重定向和跳轉(zhuǎn) - Unvalidated Redirects and Forwards,.,31,1. 注入 - Injection, 雖然還有其他類型的注入攻擊，但絕大多數(shù) 情況下，問題涉及的都是SQL注入。 攻擊者通過發(fā)送SQL操作語句，達到獲取信 息、篡改數(shù)據(jù)庫、控制服務(wù)器等目的。是目 前非常流行的Web攻擊手段。 流行性：常見；危害性：嚴重 示例 網(wǎng)頁中使用如下SQL查詢，其中MyUser和MyPassword需要用戶輸入： SELECT * FROM accounts WHERE

8、 username = MyUser and PASSWORD = MyPassword 攻擊者可以輸入任意用戶名，并輸入 or 1=1 作為密碼，實現(xiàn)如下查詢： SELECT * FROM accounts WHERE username = Andy and PASSWORD = or 1=1,.,32,1. 注入 - Injection, 主要防范措施： 嚴格檢查用戶輸入，注意特殊字符： “”“;”“”“-”“xp_” 轉(zhuǎn)義用戶輸入內(nèi)容 拒絕已經(jīng)經(jīng)過轉(zhuǎn)義的輸入 使用參數(shù)化的查詢 使用SQL存儲過程 最小化SQL權(quán)限（禁用SA帳號） 防止錯誤頁面信息泄露,.,33,2. 跨站腳本 - Cro

9、ss-Site Scripting （XSS）, 影響面最廣的Web安全漏洞。 攻擊者通過向URL或其他提交內(nèi)容插入腳 本，來實現(xiàn)客戶端腳本執(zhí)行的目的。 可分為三種類型：反射、存儲和DOM 流行性：極為廣泛；危害性：中等 示例 反射型XSS：在搜索引擎中輸入含腳本的查詢內(nèi)容后，查詢結(jié)果頁面中會出現(xiàn)腳本內(nèi)容。 通常要結(jié)合社會工程學(xué)欺騙用戶執(zhí)行。 存儲型XSS：在某論壇中攻擊者新建一個帖子，在提交文本框時輸入了腳本內(nèi)容。當其 他用戶打開這個帖子時，其中包含的腳本內(nèi)容被執(zhí)行。 DOM型XSS：網(wǎng)頁中包含如下腳本內(nèi)容，其中含有window.location.href對象 document.write(

10、); 攻擊者可以直接在原始地址后添加腳本內(nèi)容,.,34,2. 跨站腳本 - Cross-Site Scripting （XSS）, 主要防范措施： 嚴格檢查用戶輸入 盡量限制在HTML代碼中插入不可信的內(nèi)容 （可被用戶輸入或修改的內(nèi)容） 對于需要插入的不可信內(nèi)容必須先進行轉(zhuǎn)義 （尤其對特殊字符、語法符合必須轉(zhuǎn)義或重 新編碼） 將Cookie設(shè)置為HttpOnly，防止被腳本獲取,.,35,3. 失效的驗證和會話管理 - Broken Authentication and Session Management,用戶憑證和Session ID是Web應(yīng)用中最敏 感的部分，也是攻擊者最想獲取的信息。

11、 攻擊者會采用網(wǎng)絡(luò)嗅探、暴力破解、社會 工程等手段嘗試獲取這些信息。 流行性：常見；危害性：嚴重 示例 1. 某航空票務(wù)網(wǎng)站將用戶Session ID包含在URL中： QSNDLPSKHCJUN2JV?dest=Hawaii 一位用戶為了讓她朋友看到這個促銷航班的內(nèi)容，將上述鏈接發(fā)送給朋友，導(dǎo)致他人 可以看到她的會話內(nèi)容。 2. 一位用戶在公用電腦上沒有登出他訪問的網(wǎng)站，導(dǎo)致下一位使用者可以看到他的網(wǎng)站 會話內(nèi)容。 3. 登錄頁面沒有進行加密，攻擊者通過截取網(wǎng)絡(luò)包，輕易發(fā)現(xiàn)用戶登錄信息。,.,36,3. 失效的驗證和會話管理 - Broken Authentication and Sessio

12、n Management, 主要防范措施： 用戶密碼強度（普通：6字符以上；重要：8 字符以上；極其重要：使用多種驗證方式） 不使用簡單或可預(yù)期的密碼恢復(fù)問題 登錄出錯時不給過多提示 登錄頁面需要加密 對多次登錄失敗的帳號進行短時鎖定 驗證成功后更換Session ID 使用128位以上有足夠隨機性的Session ID 設(shè)置會話閑置超時（可選會話絕對超時） 保護Cookie（Secure flag/HTTPOnly flag) 不在URL中顯示Session ID,.,37,4. 不安全的直接對象訪問 - Insecure Direct Object References, 服務(wù)器上具體文件

13、名、路徑或數(shù)據(jù)庫關(guān)鍵 字等內(nèi)部資源被暴露在URL或網(wǎng)頁中，攻 擊者可以此來嘗試直接訪問其他資源。 所有Web應(yīng)用都會受此問題影響。 流行性：常見；危害性：中等 示例 某網(wǎng)站的新聞檢索功能可搜索指定日期的新聞，但其返回的URL中包含了指定日期新聞 頁面的文件名： 攻擊者可以嘗試不同的目錄層次來獲得系統(tǒng)文件win.ini: 2000年澳大利亞稅務(wù)局網(wǎng)站曾經(jīng)發(fā)生一位用戶通過修改其URL中ABN ID號而直接訪 問到17000家公司稅務(wù)信息的事件。,.,38,4. 不安全的直接對象訪問 - Insecure Direct Object References, 主要防范措施： 避免在URL或網(wǎng)頁中直接引

14、用內(nèi)部文件名或 數(shù)據(jù)庫關(guān)鍵字 可使用自定義的映射名稱來取代直接對象名 鎖定網(wǎng)站服務(wù)器上的所有目錄和文件夾，設(shè) 置訪問權(quán)限 驗證用戶輸入和URL請求，拒絕包含./或./的 請求,.,39,5. 跨站請求偽造 - Cross-Site Request Forgery（CSRF）, 攻擊者構(gòu)造惡意URL請求，然后誘騙合法用 戶訪問此URL鏈接，以達到在Web應(yīng)用中以 此用戶權(quán)限執(zhí)行特定操作的目的。 和反射型XSS的主要區(qū)別是：反射型XSS的 目的是在客戶端執(zhí)行腳本；CSRF的目的是 在Web應(yīng)用中執(zhí)行操作。 流行性：廣泛；危害性：中等 示例 某網(wǎng)銀在執(zhí)行用戶轉(zhuǎn)賬時會提交如下URL請求： 攻擊者向用戶

15、發(fā)送郵件，其中包含如下鏈接： V iew my Pictures!,.,40,5. 跨站請求偽造 - Cross-Site Request Forgery（CSRF）, 主要防范措施： 避免在URL中明文顯示特定操作的參數(shù)內(nèi)容 使用同步令牌（Synchronizer Token）,檢查 客戶端請求是否包含令牌及其有效性 檢查Referer Header，拒絕來自非本網(wǎng)站的 直接URL請求,.,41,6. 不正確的安全設(shè)置 - Security Misconfiguration, 管理員在服務(wù)器安全配置上的疏忽，通常 會導(dǎo)致攻擊者非法獲取信息、篡改內(nèi)容， 甚至控制整個系統(tǒng)。 流行性：常見；危害性

16、：中等 示例,1. 服務(wù)器沒有及時安裝補丁 2. 網(wǎng)站沒有禁止目錄瀏覽功能 3. 網(wǎng)站允許匿名用戶直接上傳文件 4. 服務(wù)器上文件夾沒有設(shè)置足夠權(quán)限要求，允許匿名用戶寫入文件 5. Web網(wǎng)站安裝并運行并不需要的服務(wù)，比如FTP或SMTP 6. 出錯頁面向用戶提供太過具體的錯誤信息，比如call stack 7. Web應(yīng)用直接以SQL SA帳號進行連接，并且SA帳號使用默認密碼 8. SQL服務(wù)器沒有限制系統(tǒng)存儲過程的使用，比如xp_cmdshell,.,42,6. 不正確的安全設(shè)置 - Security Misconfiguration, 主要防范措施： 安裝最新版本的軟件及補丁 最小化安

17、裝（只安裝需要的組件） Web文件/SQL數(shù)據(jù)庫文件不存放在系統(tǒng)盤上 不在Web/SQL服務(wù)器上運行其他服務(wù) 嚴格檢查所有與驗證和權(quán)限有關(guān)的設(shè)定 權(quán)限最小化 不使用默認路徑和預(yù)設(shè)帳號 按照微軟的最佳安全實踐進行加固 ,.,43,7. 不安全的加密存儲 - Insecure Cryptographic Storage, 對重要信息不進行加密處理或加密強度不 夠，或者沒有安全的存儲加密信息，都會 導(dǎo)致攻擊者獲得這些信息。 此風險還涉及Web應(yīng)用以外的安全管理。 流行性：不常見；危害性：嚴重 示例,1. 對于重要信息，比如銀行卡號、密碼等，直接以明文寫入數(shù)據(jù)庫 2. 使用自己編寫的加密算法進行簡單加

18、密 3. 使用MD5, SHA-1等低強度的算法 4. 將加密信息和密鑰存放在一起,.,44,7. 不安全的加密存儲 - Insecure Cryptographic Storage, 主要防范措施： 對所有重要信息進行加密 僅使用足夠強度的加密算法，比如AES、 RSA 存儲密碼時，用SHA-256等健壯哈希算法進 行處理 產(chǎn)生的密鑰不能與加密信息一起存放 嚴格控制對加密存儲的訪問,.,45,8. URL訪問限制缺失 - Failure to Restrict URL Access, 某些Web應(yīng)用包含一些“隱藏”的URL， 這些URL不顯示在網(wǎng)頁鏈接中，但管理員 可以直接輸入URL訪問到這

19、些“隱藏”頁 面。如果我們不對這些URL做訪問限制， 攻擊者仍然有機會打開它們。 流行性：不常見；危害性：中等 示例 1. 某商品網(wǎng)站舉行內(nèi)部促銷活動，特定內(nèi)部員工可以通過訪問一個未公開的URL鏈接登 錄公司網(wǎng)站，購買特價商品。此URL通過某員工泄露后，導(dǎo)致大量外部用戶登錄購買。 2. 某公司網(wǎng)站包含一個未公開的內(nèi)部員工論壇（ 擊者可以進行一些簡單嘗試就找到這個論壇的入口地址。,.,46,8. URL訪問限制缺失 - Failure to Restrict URL Access, 主要防范措施： 對于網(wǎng)站內(nèi)的所有內(nèi)容（不論公開的還是未 公開的），都要進行訪問控制檢查 只允許用戶訪問特定的文件類

20、型，比 如.html, .asp, .php等，禁止對其他文件類型 的訪問 進行滲透測試,.,47,9. 沒有足夠的傳輸層防護 - Insufficient Transport Layer Protection, 攻擊者可以嘗試抓取客戶端與Web服務(wù) 器的網(wǎng)絡(luò)包，來獲取用戶憑據(jù)、Session ID等重要信息。 流行性：常見；危害性：中等 示例 1. 某網(wǎng)站的登錄頁面沒有進行加密，攻擊者在截取網(wǎng)絡(luò)包后，可以獲得用戶的登錄憑據(jù) 信息。 2. 某網(wǎng)站的HTTPS網(wǎng)頁內(nèi)容中還包含一些HTTP網(wǎng)頁的引用。攻擊者在截取網(wǎng)絡(luò)包后， 可以從HTTP請求中發(fā)現(xiàn)客戶端的Session ID。,.,48,9. 沒

21、有足夠的傳輸層防護 - Insufficient Transport Layer Protection, 主要防范措施： 對所有驗證頁面都使用SSL或TLS加密 對所有敏感信息的傳輸都使用SSL/TLS加密 在網(wǎng)頁中不要混雜HTTP和HTTPS內(nèi)容 對Cookie使用Secure標簽 保持服務(wù)器證書的有效性/合法性 只允許SSL 3.0或TLS 1.0以上版本協(xié)議 有需要的情況下，要求客戶端證書,.,49,10. 未驗證的重定向和跳轉(zhuǎn) - Unvalidated Redirects and Forwards, 攻擊者可能利用未經(jīng)驗證的重定向目標來 實現(xiàn)釣魚欺騙，誘騙用戶訪問惡意站點。 攻擊者可

22、能利用未經(jīng)驗證的跳轉(zhuǎn)目標來繞 過網(wǎng)站的訪問控制檢查。 流行性：不常見；危害性：中等 示例 利用重定向的釣魚鏈接： 更為隱蔽的重定向釣魚鏈接： %3F%3Dhttp%3A/ 利用跳轉(zhuǎn)繞過網(wǎng)站的訪問控制檢查： ,.,50,10. 未驗證的重定向和轉(zhuǎn)發(fā) - Unvalidated Redirects and Forwards, 主要防范措施： 盡量不用重定向和跳轉(zhuǎn) 對重定向或跳轉(zhuǎn)的參數(shù)內(nèi)容進行檢查，拒絕 站外地址或特定站內(nèi)頁面 不在URL中顯示目標地址，以映射的代碼表 示（,.,51,如何有效對Web防護,.,52,Web業(yè)務(wù)類型防護,政務(wù)公開,網(wǎng)上辦事,政民互動,業(yè)務(wù)類型,網(wǎng)頁篡改,敏感信息泄密,

23、業(yè)務(wù)中斷,威脅類型,非法入侵,代碼加固,網(wǎng)頁防篡改,WAF,身份鑒別 訪問控制,防護類型,.,53,Web安全視圖,Internet,Web Server,Application Server,Databases,Backend Server/System,企業(yè)數(shù)據(jù)中心,.,54,從運維管理者而言,檢測與發(fā)現(xiàn)-事前預(yù)警 防護與阻擊-事中防護 安全監(jiān)控與安全恢復(fù)-事后恢復(fù)、監(jiān)控,.,55,網(wǎng)頁防篡改,.,56,Web應(yīng)用防火墻,.,57,應(yīng)用代碼安全才是真正的Web安全！,.,58,ASP安全加固建議,編寫安全代碼（參考微軟Building Secure ASP.NET Applications

24、） 避免使用免費代碼，或照抄示范代碼，如需 使用必須進行完整的安全檢查并進行修改 使用Best Practice Analyzer for ASP.NET 必須對所有用戶輸入進行檢查，以白名單方 式僅允許可被處理的內(nèi)容，可同時采用客戶 端腳本檢查和服務(wù)器端檢查 轉(zhuǎn)義用戶的輸入 在所有Web.config中禁止trace和debug 構(gòu)建開發(fā)測試環(huán)境來模擬生產(chǎn)環(huán)境,.,59,ASP安全加固建議, 不在ASP頁面中存放明文的帳號信息 使用128位的Session ID，并設(shè)置超時 使用Secure Cookie和HTTPOnly Cookie 使用同步令牌 對上傳文件需做類型檢查，防范ASP木馬上 傳，同時在IIS里只允許