1、深度WEB应用安全防御,绿盟冰之眼WAF,绿盟科技 2008-06-20,WEB应用安全现状攻击分析绿盟ICEYE WAF成功故事,议题,2,WEB应用安全现状,危机四伏,3,国内互联网发展态势良好,Source: http:/ 中国域名总数是1193万个,年增长率达到190.4%。 中国网站数量已有150万。 中国网页总数已经有84.7亿个,年增长率达到89.4%,是2007年互联网基础资源中增长最快的一项。 中国互联网国际出口带宽数达到368,927Mbps,年增长率为43.7%。,Source:CNNIC2008年1月中国互联网络发展状况统计报告,4,欣喜之余的声音,Mass SQL i
2、njection attack targets Chinese Web sites Network World 2008年5月 http:/ 2007年,中国大陆被篡改网站总数累积达61228个,比去年增加了1.5倍。其中,中国大陆政府网站被篡改各月累计达4234个。 CNCERT/CC 2008年4月 http:/ 过去10个月中,Google通过对互联网上几十亿URL进行抓取分析,发现有300多万个恶意URL。其中,中国的恶意站点占到了总数的67%。 Google 2008年2月 http:/ * FROM users WHERE login = victor AND password =
3、 123ASP/MS SQL Server login 语法 var sql = “SELECT * FROM users WHERE login = “ + formusr + “ AND password = “ + formpwd + “;,用户:,密码:,确认,变量formusr,formusr = or 1=1 formpwd = anything查询结果被解释为: SELECT * FROM users WHERE username = or 1=1 AND password = anything,变量formpwd,11,“器”之跨站脚本,1. 攻击者向服务器插入恶意代码,2.
4、数据库存储恶意代码,姚明,3. 互联网用户点击主题,4. 数据传送给互联网用户,5. 浏览器执行恶意代码,Attacker,Client,Web Server,免费赠送奥运门票!attack code ,! attack code !,刘翔,郑智,郭晶晶,中国队 .,攻击者、弱点网站、互联网用户的互动游戏,Source:绿盟北分工程师,cookies,12,开展实战,仇恨政治颠覆经济利益,数据操纵系统访问提升权限,收集信息公开的数据来源扫描和探测,实际攻击阶段SQL注入 XSS,分析信息和准备攻击正在使用的服务已知操作系统或应用漏洞已知网络协议的安全脆弱性网络拓扑,13,战果(I),2007年
5、4月到5月间,爱沙尼亚的银行、政府部门网站遭遇长达数周、有组织的DDoS攻击。期间,政府网站被大肆篡改,上面充斥“反爱沙尼亚”口号。 2007年8月联合国网站被篡改,秘书长潘基文发表声明的网页遭到篡改 2008年4月,某券商网站被法轮功分子篡改发布非法内容,14,战果(II),网页挂马,用户端恶意程序被执行 盗窃虚拟财产,收集敏感信息 主动扫描感染内网机器 发起ARP欺骗,挂更多的马 连接外部的控制端,加入僵尸俱乐部,绿盟ICEYE WAF,开启一个新的安全时代,15,传统安全架构局限性,16,Web客户端,防火墙,端口80/443,什么是WAF,WAF - Web Application F
6、irewall一类新兴的信息安全技术 在世界范围安全市场内有明确功能定义(NSS/WASC) 国外WAF定义未结合中国国情WAF工作在应用层,防护对象为WEB服务器 基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性。,17,18,产品设计理念,NPRS(NSFOCUS Proactive and Reactive Security)安全建模,绿盟冰之眼WAF,国内领先WAF产品关注当前主要WEB应用安全问题并结合中国国情世界首创的WEB应用安全解决方案针对安全事件发生时序进行安全建模集成了绿盟科技多年研究的核心技术漏洞扫描
7、技术入侵防御技术抗拒绝服务攻击技术绿盟冰之眼WAF必将开启一个新的安全时代,19,产品特性,集成领先WEB应用漏洞扫描技术,提供预防解决方案 应用多维防护体系,有效应对SQL注入、跨站脚本及应用层DDoS攻击 实时检测网页篡改,降低网站安全风险 提供挂马检测功能,维护网站公信度 提供High Availability(HA),有效避免网络单点故障,20,21,客户受益,高效扫描 低漏报、零误报,22,特性1 - WEB应用漏洞扫描,降低客户运维成本;为客户解决根本问题及时提供技术依据,网页遍历,分析站点架构、表以及参数,发送测试包,基于规则库进行判断,23,特性2 有效应对各类威胁,精准性:防
8、护90%攻击 高处理性能,确保WEB业务的连续性和高可用性,24,特性2 精准SQL注入防护,HTTP请求,HTTP协议解码,二次解码,基于规则,进行检测、识别,25,特性2 - 应用层细粒度DDoS攻击防护,26,特性3 - 网页篡改防护,从事前、事中及事后综合考虑问题,提供最佳安全-成本平衡点 支持对动态、静态网页的实时检测和防护 发生网页篡改安全事件时,ICEYE WAF提供专业、谨慎的处理方式 网关设备优势,特性4 - 网页挂马诊断,当前鲜有安全厂商考虑Web服务器在挂马事件中的损失 打齐操作系统(MS)补丁 终端安全更多考虑终端用户的安全 提供主动扫描功能,全面检查网站各级页面中是否
9、被植入恶意代码,27,WAF弥补当前市场网页挂马解决方案对Web服务器防护的缺失,最大维护网站公信度,特性5 - HA (High Availability),网络状态冗余 Active/Standby Active/Active 对网络协议透明,28,29,冰之眼WAF与传统防火墙/IPS异同,30,冰之眼WAF产品系列,ICEYE WAF 200,小型网站 百兆网络,ICEYE WAF 600,中型网站/IDC 百兆网络,安全中心,管理,冰之眼WAF产品系列,Web控制台,31,典型部署,DMZ区,办公区域,服务器区,WEB,事前预防,事中识别、阻断攻击手段,事后网页篡改/挂马诊断,成功故事,击退5月SQL注入自动化攻击浪潮,32,某市级人民政府网站()是该市电子政务建设的重要组成部分,作为当地政府面向社会的窗口,是公众与政府互动的重要渠道。 5月某日清晨,绿盟工程师接到客户的紧急求助电话,网站页面遭到破坏,请求绿盟安全工程师现场应急。该网站遭遇网页篡改,正常网页内容被替换为大量的/或/title,且持续发生“网页被篡改-手工恢复-再次被篡改-再次恢复”的现象。,33,背景,34,页面被大肆破坏,自动化SQL注入攻击工具所为,35,攻击分析,有效阻断SQL注入攻击,客户业务恢复正常,赢得客户赞誉,36,WAF紧急上线,谢 谢 !,
