1、Web安全及架构加固,开场白 随着Web应用的日益发展,网站所面临的威胁日益显著,Web服务器已经成为黑客攻击的首选目标。在不可避免会受到攻击的前提下,如何有效的保护Web应用是IT部门必须认真考虑的问题。在进行加固之前,我们需要先知道攻击中所常用的招数,这样才能更有针对性的进行防护。,防范Web攻击的几点基本原则, 采用最新的技术或软件版本 永远把访问者想象成可能是恶意的 只允许合理的请求,而不是尝试禁止不合 理的请求(白名单,而非黑名单) 考虑如何在限制最小权限的情况下提供网 页内容,而不是以最方便的方式提供网页 内容 对于包含敏感信息内容,一定要进行足够 强度的加密,什么是Web安全风险
2、 为什么会存在Web安全风险 如何面对Web安全风险 如何防护Web安全,网站篡改,某银行网站篡改,敏感数据泄密泄密,企业敏感信息泄密,企业敏感信息泄密,湖北车管所黑客入侵事件,曾经受聘为省公安厅交警总队开发软件,利用“超级管理员”的身份,用超级密码进入公安厅车管系统,办起了“地下车管所”,先后为126辆高档小轿车办理假证号牌,非法获利1500余万元。,“广告联盟”放置“黑链”,钓鱼网站,真正的中国工商银行网站 ,假冒的中国工商银行网站 ,CSDN泄密门,百度被黑,百度被黑,背景:5小时无法提供任何互联网服务 漏洞:DNS服务器被劫持 影响:国内最大互联网企业也在劫难逃!,网站瘫痪思考,安全,
3、在信息系统规划设计中就应该考虑!,Web安全风险定义,政府网站安全防护薄弱,据国家互联网应急中心监测,2016年中国大陆有近3.5万个网站被黑客篡改,数量较2015年下降21.5%,但其中被篡改的政府网站高达4635个,比2015年上升67.6%。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站,但仍有约60%的部委级网站存在不同程度的安全隐患。政府网站安全性不高不仅影响了政府形象和电子政务工作的开展,还给不法分子发布虚假信息或植入网页木马以可乘之机,造成更大的危害。,被挂马政府网站,网络安全事件的跨境化特点日益突出,2016年,国家互联网应急中心监测发现共近48万个木马控制端IP,
4、其中有22.1万个位于境外,前三位分别是美国(占14.7%)、印度(占8.0%)和我国台湾(占4.8%);共有13782个僵尸网络控制端IP,有6531个位于境外,前三位分别是美国(占21.7%)、印度(占7.2%)和土耳其(占5.7%)。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2010年在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。,为什么会发生Web安全风险?,C/S模式和B/S模式对比,客户端/服务器模式(C/S),专用端口专用协议,专用端口专用协议,浏览器/服务器模式(B/S),统一端口通用协议,统一端口通用协议,典型网络攻击示例,黑客尝
5、试使用admin作为用户名登陆 即猜测存在名为admin的管理员用户,成功登陆系统,黑客可以随意读取邮件、下载文件等操作。,典型案例,某政府单位网站后台,Web应用验证缺失,2016年上半年CNCERT/CC处理事件类型,51CTO的WEB威胁调查,十大Web应用安全风险,注入 - Injection跨站脚本 - Cross-Site Scripting (XSS)失效的验证和会话管理 - Broken Authentication and Session Management 不安全的直接对象访问 - Insecure Direct Object References 跨站请求伪造 - Cr
6、oss-Site Request Forgery(CSRF) 不正确的安全设置 - Security Misconfiguration 不安全的加密存储 - Insecure Cryptographic Storage URL访问限制缺失 - Failure to Restrict URL Access 没有足够的传输层防护 - Insufficient Transport Layer Protection 未验证的重定向和跳转 - Unvalidated Redirects and Forwards,1. 注入 - Injection, 虽然还有其他类型的注入攻击,但绝大多数 情况下,问题涉
7、及的都是SQL注入。 攻击者通过发送SQL操作语句,达到获取信 息、篡改数据库、控制服务器等目的。是目 前非常流行的Web攻击手段。 流行性:常见;危害性:严重 示例 网页中使用如下SQL查询,其中MyUser和MyPassword需要用户输入: SELECT * FROM accounts WHERE username = MyUser and PASSWORD = MyPassword攻击者可以输入任意用户名,并输入 or 1=1 作为密码,实现如下查询: SELECT * FROM accounts WHERE username = Andy and PASSWORD = or 1=1,
8、1. 注入 - Injection, 主要防范措施: 严格检查用户输入,注意特殊字符: “”“;”“”“-”“xp_” 转义用户输入内容 拒绝已经经过转义的输入 使用参数化的查询 使用SQL存储过程 最小化SQL权限(禁用SA帐号) 防止错误页面信息泄露,2. 跨站脚本 - Cross-Site Scripting (XSS), 影响面最广的Web安全漏洞。 攻击者通过向URL或其他提交内容插入脚 本,来实现客户端脚本执行的目的。 可分为三种类型:反射、存储和DOM 流行性:极为广泛;危害性:中等 示例 反射型XSS:在搜索引擎中输入含脚本的查询内容后,查询结果页面中会出现脚本内容。 通常要结
9、合社会工程学欺骗用户执行。 存储型XSS:在某论坛中攻击者新建一个帖子,在提交文本框时输入了脚本内容。当其 他用户打开这个帖子时,其中包含的脚本内容被执行。 DOM型XSS:网页中包含如下脚本内容,其中含有window.location.href对象 document.write(“); 攻击者可以直接在原始地址后添加脚本内容,2. 跨站脚本 - Cross-Site Scripting (XSS), 主要防范措施: 严格检查用户输入 尽量限制在HTML代码中插入不可信的内容 (可被用户输入或修改的内容) 对于需要插入的不可信内容必须先进行转义 (尤其对特殊字符、语法符合必须转义或重 新编码)
10、 将Cookie设置为HttpOnly,防止被脚本获取,3. 失效的验证和会话管理 - Broken Authentication and Session Management,用户凭证和Session ID是Web应用中最敏 感的部分,也是攻击者最想获取的信息。 攻击者会采用网络嗅探、暴力破解、社会 工程等手段尝试获取这些信息。 流行性:常见;危害性:严重 示例 1. 某航空票务网站将用户Session ID包含在URL中: http:/ QSNDLPSKHCJUN2JV?dest=Hawaii 一位用户为了让她朋友看到这个促销航班的内容,将上述链接发送给朋友,导致他人 可以看到她的会话内容
11、。 2. 一位用户在公用电脑上没有登出他访问的网站,导致下一位使用者可以看到他的网站 会话内容。 3. 登录页面没有进行加密,攻击者通过截取网络包,轻易发现用户登录信息。,3. 失效的验证和会话管理 - Broken Authentication and Session Management, 主要防范措施: 用户密码强度(普通:6字符以上;重要:8 字符以上;极其重要:使用多种验证方式) 不使用简单或可预期的密码恢复问题 登录出错时不给过多提示 登录页面需要加密 对多次登录失败的帐号进行短时锁定 验证成功后更换Session ID 使用128位以上有足够随机性的Session ID 设置会话
12、闲置超时(可选会话绝对超时) 保护Cookie(Secure flag/HTTPOnly flag) 不在URL中显示Session ID,4. 不安全的直接对象访问 - Insecure Direct Object References, 服务器上具体文件名、路径或数据库关键 字等内部资源被暴露在URL或网页中,攻 击者可以此来尝试直接访问其他资源。 所有Web应用都会受此问题影响。 流行性:常见;危害性:中等 示例 某网站的新闻检索功能可搜索指定日期的新闻,但其返回的URL中包含了指定日期新闻 页面的文件名: http:/ 攻击者可以尝试不同的目录层次来获得系统文件win.ini: htt
13、p:/ ID号而直接访 问到17000家公司税务信息的事件。,4. 不安全的直接对象访问 - Insecure Direct Object References, 主要防范措施: 避免在URL或网页中直接引用内部文件名或 数据库关键字 可使用自定义的映射名称来取代直接对象名 http:/ 锁定网站服务器上的所有目录和文件夹,设 置访问权限 验证用户输入和URL请求,拒绝包含./或/的 请求,5. 跨站请求伪造 - Cross-Site Request Forgery(CSRF), 攻击者构造恶意URL请求,然后诱骗合法用 户访问此URL链接,以达到在Web应用中以 此用户权限执行特定操作的目的
14、。 和反射型XSS的主要区别是:反射型XSS的 目的是在客户端执行脚本;CSRF的目的是 在Web应用中执行操作。 流行性:广泛;危害性:中等 示例 某网银在执行用户转账时会提交如下URL请求: http:/ 攻击者向用户发送邮件,其中包含如下链接: V iew my Pictures!,5. 跨站请求伪造 - Cross-Site Request Forgery(CSRF), 主要防范措施: 避免在URL中明文显示特定操作的参数内容 使用同步令牌(Synchronizer Token),检查 客户端请求是否包含令牌及其有效性 检查Referer Header,拒绝来自非本网站的 直接URL请
15、求,6. 不正确的安全设置 - Security Misconfiguration, 管理员在服务器安全配置上的疏忽,通常 会导致攻击者非法获取信息、篡改内容, 甚至控制整个系统。 流行性:常见;危害性:中等 示例,1. 服务器没有及时安装补丁 2. 网站没有禁止目录浏览功能 3. 网站允许匿名用户直接上传文件 4. 服务器上文件夹没有设置足够权限要求,允许匿名用户写入文件 5. Web网站安装并运行并不需要的服务,比如FTP或SMTP 6. 出错页面向用户提供太过具体的错误信息,比如call stack 7. Web应用直接以SQL SA帐号进行连接,并且SA帐号使用默认密码 8. SQL服
16、务器没有限制系统存储过程的使用,比如xp_cmdshell,6. 不正确的安全设置 - Security Misconfiguration, 主要防范措施: 安装最新版本的软件及补丁 最小化安装(只安装需要的组件) Web文件/SQL数据库文件不存放在系统盘上 不在Web/SQL服务器上运行其他服务 严格检查所有与验证和权限有关的设定 权限最小化 不使用默认路径和预设帐号 按照微软的最佳安全实践进行加固 ,7. 不安全的加密存储 - Insecure Cryptographic Storage, 对重要信息不进行加密处理或加密强度不 够,或者没有安全的存储加密信息,都会 导致攻击者获得这些信息
17、。 此风险还涉及Web应用以外的安全管理。 流行性:不常见;危害性:严重 示例,1. 对于重要信息,比如银行卡号、密码等,直接以明文写入数据库 2. 使用自己编写的加密算法进行简单加密 3. 使用MD5, SHA-1等低强度的算法 4. 将加密信息和密钥存放在一起,7. 不安全的加密存储 - Insecure Cryptographic Storage, 主要防范措施: 对所有重要信息进行加密 仅使用足够强度的加密算法,比如AES、 RSA 存储密码时,用SHA-256等健壮哈希算法进 行处理 产生的密钥不能与加密信息一起存放 严格控制对加密存储的访问,8. URL访问限制缺失 - Failu
18、re to Restrict URL Access, 某些Web应用包含一些“隐藏”的URL, 这些URL不显示在网页链接中,但管理员 可以直接输入URL访问到这些“隐藏”页 面。如果我们不对这些URL做访问限制, 攻击者仍然有机会打开它们。 流行性:不常见;危害性:中等 示例 1. 某商品网站举行内部促销活动,特定内部员工可以通过访问一个未公开的URL链接登 录公司网站,购买特价商品。此URL通过某员工泄露后,导致大量外部用户登录购买。2. 某公司网站包含一个未公开的内部员工论坛(http:/ 击者可以进行一些简单尝试就找到这个论坛的入口地址。,8. URL访问限制缺失 - Failure
19、to Restrict URL Access, 主要防范措施: 对于网站内的所有内容(不论公开的还是未 公开的),都要进行访问控制检查 只允许用户访问特定的文件类型,比 如.html, .asp, .php等,禁止对其他文件类型 的访问 进行渗透测试,9. 没有足够的传输层防护 - Insufficient Transport Layer Protection, 攻击者可以尝试抓取客户端与Web服务 器的网络包,来获取用户凭据、Session ID等重要信息。 流行性:常见;危害性:中等 示例 1. 某网站的登录页面没有进行加密,攻击者在截取网络包后,可以获得用户的登录凭据 信息。2. 某网站
20、的HTTPS网页内容中还包含一些HTTP网页的引用。攻击者在截取网络包后, 可以从HTTP请求中发现客户端的Session ID。,9. 没有足够的传输层防护 - Insufficient Transport Layer Protection, 主要防范措施: 对所有验证页面都使用SSL或TLS加密 对所有敏感信息的传输都使用SSL/TLS加密 在网页中不要混杂HTTP和HTTPS内容 对Cookie使用Secure标签 保持服务器证书的有效性/合法性 只允许SSL 3.0或TLS 1.0以上版本协议 有需要的情况下,要求客户端证书,10. 未验证的重定向和跳转 - Unvalidated R
21、edirects and Forwards, 攻击者可能利用未经验证的重定向目标来 实现钓鱼欺骗,诱骗用户访问恶意站点。 攻击者可能利用未经验证的跳转目标来绕 过网站的访问控制检查。 流行性:不常见;危害性:中等 示例 利用重定向的钓鱼链接: http:/ 更为隐蔽的重定向钓鱼链接: http:/ %3F%3Dhttp%3A/利用跳转绕过网站的访问控制检查: http:/ 未验证的重定向和转发 - Unvalidated Redirects and Forwards, 主要防范措施: 尽量不用重定向和跳转 对重定向或跳转的参数内容进行检查,拒绝 站外地址或特定站内页面 不在URL中显示目标地址
22、,以映射的代码表 示(http:/ 访问控制,防护类型,Web安全视图,Internet,Web Server,Application Server,Databases,Backend Server/System,企业数据中心,从运维管理者而言,检测与发现-事前预警防护与阻击-事中防护安全监控与安全恢复-事后恢复、监控,网页防篡改,Web应用防火墙,应用代码安全才是真正的Web安全!,ASP安全加固建议,编写安全代码(参考微软Building Secure ASP.NET Applications) 避免使用免费代码,或照抄示范代码,如需 使用必须进行完整的安全检查并进行修改 使用Best P
23、ractice Analyzer for ASP.NET 必须对所有用户输入进行检查,以白名单方 式仅允许可被处理的内容,可同时采用客户 端脚本检查和服务器端检查 转义用户的输入 在所有Web.config中禁止trace和debug 构建开发测试环境来模拟生产环境,ASP安全加固建议, 不在ASP页面中存放明文的帐号信息 使用128位的Session ID,并设置超时 使用Secure Cookie和HTTPOnly Cookie 使用同步令牌 对上传文件需做类型检查,防范ASP木马上 传,同时在IIS里只允许ASP文件执行 修改Wscript.Shell和Shell.Application
24、等注册 表名 小心使用ASP探针类免费软件 小心使用UltraEdit等文本编辑器来修改ASP 文件(会自动备份原始文件),SQL安全加固建议, 推荐使用最新版本的SQL 尽量减少SQL服务器上的instance数量 移除或禁用不是必需的组件 为SQL查询创建特定的用户帐号,并使用 Windows验证,同时为这些帐号配置所 需的最小权限(严禁db_owner和 sysadmin) 妥善保管数据库密钥 使用SQL审计,其他安全加固建议, 及时安装最新的安全更新和补丁集 使用杀毒软件并保持更新 使用含HTTP过滤功能的防火墙(如微软 Forefront TMG)发布Web应用 进行渗透测试 服务器
25、定期备份 使用网站同步安全软件实时监控网页改动 在内部防火墙上限制Web服务器访问内 部网络(如禁止连接3389端口),渗透测试基础概念,渗透测试(Penetration Test)安全工程师尽可能完整地在内网中模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统、网络环境中脆弱的环节的过程,通过渗透测试能够直观的让管理人员知道自己网络所面临的问题。,渗透测试基础概念,明确目前安全现状,增强信息安全的认知程度,渗透测试,渗透测试能给企业带来什么?,渗透测试流程,渗透测试流程,在渗透测试过程中,由于测试人员模拟黑客进行攻击,所以不可避免地会对应用系统本身产生风险,因此如何进行风险规避是进行渗透测试前的必需工作。,渗透测试工具介绍,总结 Web应用的安全包含中间件加固、SQL加固、ASP代码安全、主机安全和网络安全等方面。我们必须考虑到整个架构中的各个方面,做到全面防护,才能确保安全。,
