网络信息安全培训——网站安全管理

三、网站面临的主要攻击风险
什么是DOS攻击：
•Denial of Service (DoS) 拒绝服务攻击
–攻击者利用大量的数据包“淹没”目标主机，耗尽可用资源 乃至系统崩溃，而无法对合法用户作出响应。
•Distributed Denial of Service (DDoS)分布式拒绝服 务攻击
– 攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主 机，对攻击目标发动威力巨大的拒绝服务攻击。
1、黑客攻击行为
4、针对网站服务器操作系统溢出漏洞、组件漏洞等 实施攻击入侵；
5、针对WEB应用系统、中间件、数据库和操作系统 的配置隐患导致的漏洞实施攻击；
6、针对网站系统周边存在的脆弱性，迂回实施攻击， 如同一网段、同一主机等；
7、针对脆弱的网络协议和系统机制实施Dos，甚至 DDos（分布式拒绝服务攻击），造成系统资源耗尽或网 络堵塞，导致网站无法访问，甚至长时间无法恢复服务；
外因
威胁 (攻击)
拒绝服务攻击 (syn/ack/icmp flood http get flood……) Sniffer/arpspoof/……
密码猜测 缓冲区溢出
Sql注入攻击 跨站脚本攻击 目录遍历攻击
文件操控
信息探测 密码窃取/突破授权
/……
结果 风险 (损害)
拒绝服务 非法入侵
恶意代码
跨站脚本
网页篡改，挂马，暗链，数据泄漏 Page. 13
• 公开渠道看到的仅仅只是冰山一角
• 安全事件层出不穷 • 安全观滞后于互联网发展 • 普遍缺乏安全体系和人员
无处不在的信息泄漏
Page . 14
• 8.6亿条个人信息全泄露
Hillary vs Trump
Page . 15
• 希拉里使用私人邮件服务器处理工作邮件 • 罗马尼亚出租车司机Lazar入侵希拉里邮件服务器 • 民主党全国委员会（DNC）内部邮件泄漏数万封 • WikiLeaks 公开了大量敏感内部邮件，影响美国大选
1、黑客攻击行为
1、踩点 踩点就是收集与目标（网站）有关的信息。比如IP地址、
域名注册信息、电话号码、电子邮箱、QQ号码、管理员名字、 其他敏感信息等等
踩点目的： （1）获得ຫໍສະໝຸດ Baidu多的攻击渠道； （2）提供猜解密码、后台等信息的依据； （3）为实施社工攻击提供更丰富的信息；
1、黑客攻击行为
注意事项
1、黑客攻击行为
来自国内不法分子或敌对国家黑客的网络恶意攻击和 入侵，列举可能的攻击情形如下：
1、针对WEB应用程序存在注入漏洞、跨站脚本漏洞、 身份认证绕过等安全漏洞实施入侵攻击；
2、针对Web应用中间件（IIS、Apache、Tomcat、 Jboss等）存在的安全漏洞实施入侵攻击；
3、针对网站服务器开放的其他网络端口实施入侵攻击， 如21、445、3306、3389等应用服务端口；
网站健康 信息内容 功能渠道 保障能力
二、网站安全背景
❖ 以网站为载体的信息服务已全面融入生活、工作中 ❖ 带来巨大工作服务模式变革
❖ 是一把双刃剑 ❖ 带来巨大的安全威胁
三、全国网络安全态势
三、全国网络安全态势
三、全国网络安全态势
四、全国网站安全态势
被篡改网站数量为 3248 个，其中政府网站74个； 被植入后门的网站数量为1919 个，其中政府网站48个。
1、黑客攻击行为
如何去理解黑客攻击行为？
日常生活中存在各种各样的黑客攻击行为,例如使用 卡片撬开门锁，利用的门锁鞘的设计漏洞，打开门锁; 路边的消防栓的开关设计成五边形，防止有人盗用消防 用水。
门锁鞘
卡片
消防栓开关
1、黑客攻击行为
黑客入侵网站的一般过程
1、踩点（FootPrint） 2、扫描（Scan） 3、漏洞利用 4、获得更高权限 5、留下后门，打扫痕迹
案例：
（2）暴雪DDoS攻击
今年4月，Lizard Squad组织对暴雪公司战网服务器发起DDoS攻 击，包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重 要游戏作品离线宕机，玩家无法登陆。名为“Poodle Corp”黑客组织 也曾针对暴雪发起多次DDoS攻击，8月三起，另一起在9月。
三、网站面临的主要攻击风险
▪ 对网站安全不重视 由于网站的公益性 ，被入侵和篡改网页造成的损失不太明显，网站安全往
往得不到重视
▪ 网站信息保护意识差 弱口令、信息泄露随处可见
▪ 软件系统漏洞 软件或系统漏洞没有及时打补丁或更新
▪ 服务器漏洞 技术能力不足或者服务商能力不足，服务器端安全服务差
五、网站面临的黑客攻击行为
五、网站面临的黑客攻击行为
<iframe src=‘目标网页’, height=0,width=0></iframe>
（2）、获取浏览者或站点管理员的cookie信息
例子：<script>alert(document.cookie)</script>
（3）、执行恶意代码
例子：<script>while(ture)alert(‘炸死你’)</script>
三、网站面临的主要攻击风险
DdoS攻击过程 黑客 主控主机
被非控安主全机主机
扫描程序
Internet
应用服务器
四、网站存在的安全隐患
▪ 网站建设和管理不统一 内部建设各类网站数量多，建设部门杂，安全管理困难
▪ 网站日常维护缺失 网站重建设、重功能，日常安全维护较差，一些已公布的安全漏洞常常得不
到修复
三、网站面临的主要攻击风险
网站入侵 • 网页篡改、SQL注入、跨站脚本、钓鱼、黑链等 数据泄密风险 • 敏感数据泄密 可用性风险 • DDOS攻击
三、网站面临的主要攻击风险
▪ 网站入侵： 网站遭篡改、暗链、挂马，贴反动标语
三、网站面临的主要攻击风险
▪ 业务数据泄漏： 业务数据等敏感数据遭篡改、窃取，谋取商业利
案例： （3）美国大半个互联网下线事件
今年10月21日，提供动态DNS服务的Dyn DNS遭到了大规模DDoS 攻击，攻击主要影响其位于美国东区的服务。
此次攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中 包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、 SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪， Twitter甚至出现了近24小时0访问的局面。
据报道，由于当时该医院的网络无法使用，还被迫将病人转送到 其他医院，并希望在联邦调查局的帮助下恢复被锁定系统。但是一周 之后问题依然没有解决，最终医院支付了攻击者17000美元才得以重 新访问系统。这次事件虽然不能算是一次真正的DDoS攻击，但是却 无疑是一场巨大的针对“可用性”的攻击活动。
三、网站面临的主要攻击风险
一、网站安全威胁
OWASP TOP 10-2010
序号
网站安全漏洞
1
A1-注入
2
A2-跨站脚本（XSS）
3
A3-错误的认证和会话管理
4
A4-不正确的直接对象引用
5
A5-伪造跨站请求（CSRF）
6
A6-安全性误配置
7
A7-限制远程访问失败
8
A8-未验证的重定向和传递
9
A9-不安全的加密存储
10
A10-不足的传输层保护
益
▪ 重要信息泄密：重要信息系统防护不到位遭攻破、保密意识淡薄
引发泄密
三、网站面临的主要攻击风险
▪ DDos攻击：服务中断、无法正常提供服务
案例：
（1）猖獗的勒索软件 2016年勒索软件确实带来了很多麻烦，最广为人知的就是好莱坞
长老会医学中心的事件。今年2月，攻击者通过勒索工具入侵了医院 网络系统，锁定医务人员的电脑并勒索9000比特币(约360万美元)作 为解锁条件。
网站使用开源代码或开源组件
注意事项
网站使用开源代码或开源组件（eWebEditor、FCKEditor、KindEditor 等）
2、黑客攻击方式
常见被利用的WEB应用漏洞 1、 SQL注入漏洞 2、跨站脚本执行漏洞 3、登录绕过漏洞 4、不安全的http方式，put上传文件 5、Tomcat、Jboss、apache等中间件安全漏洞 6、脚本上传漏洞（不限制文件类型或者容易绕过） 7、管理后台无验证 8、编辑器漏洞 9、网站目录遍历漏洞 10、源代码泄露（备份文件）
黑色产业链和专业攻击团队专业化 Page. 16
• 低成本、高技术、高回报
2 第二部分
网站面临的主要安全威胁
17
一、网站安全威胁
拒绝服务攻击
（系统瘫痪、停止服务)
非法入侵
（网页被篡改、被挂马)
恶意代码 （破坏、盗取） 跨站脚本 （盗取、挂马）
诚信？和谐？… …
一、网站安全威胁
OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性 组织，它提供有关计算机和互联网应用程序的公正、实际、 有成本效益的信息。其目的是协助个人、企业和机构来发 现和使用可信赖软件。目前全球有130个分会近万名会员， 其主要目标是研议协助解决Web软体安全之标准、工具与 技术文件，长期 致力于协助政府或企业了解并改善网页 应用程式与网页服务的安全性。
2、黑客攻击方式
（1）SQL注入漏洞 程序员在编写代码的时候，没有对用户输入数据的合
法性进行判断，使应用程序存在安全隐患。用户可以提 交一段数据库查询代码，根据程序返回的结果，获得某 些他想得知的数据，这就是所谓的SQL Injection，即 SQL注入。
2、黑客攻击方式
2、黑客攻击方式
SQL注入漏洞危害性 例如：
操作系统
(windows/Linux)
应用软件
(Iis/apache/sqlserve r)
Web程序
(第三方/自开发)
TCP/IP 协议的 漏洞
系统级 别的漏
洞
内因
脆弱性 (漏洞)
Tcp三次握手 http无连接控制
…… 明文传输 arp认证
……
弱口令
缓冲区溢出
程序漏 洞
未经验证的输入 安全架构不合理 安全功能不足
网站安全问题及策略
目录
1 当前网站安全形式形势 2 网站面临的主要安全威胁 3 网站常见安全问题及整改策略
1 第一部分
当前网站安全形势
3
一、门户网站绩效评估
2016年全省政府网站绩效评估紧密 围绕国务院办公厅和省政府办公厅政府 网站建设有关文件的部署要求，以用户 需求为中心，加强对网站政务公开、公 共服务和政民互动等方面的考察，引导 各级政府网站加强信息内容建设，进一 步提升服务能力，解决政府网站存在的 不及时、不准确、不回应、不实用等突 出问题，加强对网站可用情况和更新维 护情况的考察，确保网站健康发展。
四、全国网站安全态势
被篡改网站数量为 3248 个，其中政府网站86个； 被植入后门的网站数量为1919 个，其中政府网站36个。
四、全国网站安全态势
五、行业网站安全态势
二季度，通报成员单位安全防护设备检测到的行业门户网 站受攻击次数为3985786次，环比第一季度增加12.6%。
三季度，通报成员单位安全防护设备检测到的行业门户网 站受攻击次数为3882306次，环比第二季度减少2.6%。
原理：未检查用户输入到数据库的数据合法性； 未检查从数据库中读出的数据合法性；
2、黑客攻击方式
跨站脚本执行漏洞的危害：
（1）、网页隐藏访问（增加访问量或钓鱼）
例子：<script>windows.open(‘目标页 面’,’’,’top=10000’,left=10000,height=0,width=0’)</script>
2、黑客攻击方式
（3）登录绕过漏洞和无验证
实例：登陆页面账号填上 ‘ or 1=1# 密码一样，或随便写
2、黑客攻击方式
2、黑客攻击方式
（4）不安全的http方式（WEBDAV无安全验证），put上传文件
防范方法：关闭IIS上的WEBDAV组件
2、黑客攻击方式
通过获得的账户和密码登录网站后台
2、黑客攻击方式
（2）跨站脚本执行漏洞
即Cross Site Script Execution(通常简写为XSS)指入侵者在远 程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为 该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将 被解释执行。
二、网站安全威胁产生原因
缺乏代码的安全检查
缺乏安全规划和意识的培养
缺乏网站的安全测试
运营维护期
规划阶段
开发阶段
测试阶段
运行阶段
✓网页存在代码漏洞 ✓缺乏对用户提交数据核查 ✓缺乏对返回网页内容过滤 ✓缺乏对被篡改网页的恢复
二、网站安全威胁产生原因
对象
资产 (web服务系统)
网络
(物理/链路/网络)