02-高校网站安全建设方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
骗子造假录取通知书发给考生 骗子雇佣黑客篡改招生网数据,修改考生 录取信息
最终骗子被武汉警方抓获
Case3:政府网上验证事件
2008年6月,某省政务网站使用单位向监管部门报案,他们的网站数据库被人篡改,有 人借此造假、牟取暴利。犯罪团伙利用网站存在的漏洞,使用黑客工具攻击政府部门网 站,篡改多个省份政府网站数据库资料,其中一人两个月牟利达200多万元 。
Restrict URL Access)
– Unvalidated
Redirects
RaendidrecFtsoarnwd Faorrwdasr)ds((新NEW加) 入)
* AA98 ––In不sec安ure全Cry的pto密gra码phic存St储orag(eInsecure CryptoA9g–raInpsheciucreSCtryoprtaoggraep)hic Storage
对访问者则意味着什么?
导致学生和其他访问者中毒 被植入木马而受到黑客控制 重要数据被窃取 在线交易行为被偷窥 网游、网银等账号信息被窃取 虚拟财产被盗的威胁
对学校意味着什么?
导致数据丢失 导致学校声誉下降 丧失评优资格 网站被第三方列入“黑名单”
有可能网站被整体屏蔽
影响正常的招生工作
被教育主管单位通报批评
* *
A<4wa–s T对10 资200源4 A不10 –安In全sec的ure直Con接fig引ura用tion AM5an–age跨me站nt>伪造请求 (Cross Site
(Insecure Direct Object References) Reques+t FA6o–rgSeecruyrity(CMiSscRonFfi)g)uration (NEW)
* A1 – 注入 (Injection)
* AA24 ––In跨sec站ure脚Dir本ect O(bCjercot RsesfeSreintcee Scripting (X=SS)) A4 – Insecure Direct Object References
* AA35 ––Cr无oss效Site的Re验qu证est 和Forg会ery话(C管SRF理) (Broken A=utAh5e–nCrtoiscsaStitieoRneqaunesdt FoSregesrsy i(oCSnRFM) anagement)
教育网站安全建设方案
——网站安全专家
绿盟科技 2010年6月
nsfocus.com
限制分发
© 2010 绿盟科技
1 教育网站安全事件 2 事件影响分析 3 攻击原理分析 4 网站安全建设方案
1、教育网站安全事件
Case1:国内某知名大学网站被篡改
Case2:武汉某高校招生网被篡改
骗子忽悠考生家长可以帮忙进入理想高校 骗子收取家长手续费
入侵 网站
修改数 据库
办理 假证
贩卖 假证
使用 假证
办理从 业许可
证
修改相关数据700余个.每上 传一个客户的信息数据,就收 取 1200至2000元不等费用
先后入侵了江西省卫生厅、湖 北省卫生厅、贵州省人事厅、 四川省人事厅、江苏省教育厅、 辽宁省建设厅、湖北省荆州市 人事局等11个网站;每开一个 “后门”2700元的价格成交
* AA610–– F错ailu误re t的o R安est全rict配UR置L Acc(eSssecurity MisconfigAu7 r–aFtaiilourne)to(R新est加rict入UR)L Access
* *
AA<78no––t in失未T1败 经0 20的 验07网 证> 址 的访 网问 址权 重限 定限向制(U(nFvaailliudraet+etAod8
安徽省教育网络安全通知
3、攻击原理分析
网站所面临的各种挑战
Mapping from 2007 to 2010 Top 10
OWASP Top 10 – 2007 (Previous)
OWASP Top 10 – 2010 (New)
A2 – Injection Flaws
A1 – Injection
《四wenku.baidu.com六级英语考试成绩单》 《医师资格证书》 《建筑师证书》 《教师资格证》
高考前后挂马严重
2、事件影响分析
教育主题网站
学校门户网站很重要
学校
门户
电子
网站
教务
眼睛是心灵的窗户
眼睛里揉不得沙子
要像人的眼睛一样保护起来
被攻击后果很严重
高校网站被挂马是个比较普遍的现象,占挂马网站总量的20%以 上。高校网站频繁被黑客入侵,应引起校方的足够重视。
对网络监管者意味着什么?
大量计算机被控制也对互联网的安全运行带来潜在威胁
教育部很重视教育信息安全
第十八条 教育网站和网校应遵循国家有关法律、法规,不得在网络上制作、发布、传播下列信息 内容: (一)泄露国家秘密危害国家安全的; (二)违反国家民族、宗教与教育政策的; (三)煽动暴力,宣扬封建迷信、邪教、黄色淫秽制品、违反社会公德、以及赌博和教唆犯罪等; (四)煽动暴力; (五)散布谣言、扰乱社会秩序、鼓动聚众滋事; (六)暴露个人隐私和攻击他人与损害他人合法权益; (七)损害社会公共利益; (八)计算机病毒; (九)法律和法规禁止的其他有害信息。 如发现上述有害信息内容,应及时向有关主管部门报告,并采取有效措施制止其扩散。
A1 – Cross Site Scripting (XSS)
A2 – Cross Site Scripting (XSS)
A7 – Broken Authentication and Session Management
A3 – Broken Authentication and Session Management
* AA19 0– I–nse薄cur弱e C的omm传un输ica层tion保s 护 (Insufficient TrAa1n0s–pInosrutffiLciaenyteTrranPsproortteLacyteiroPnro)tection
A3 – Malicious
- <dropped from T10 2010>
- A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>
最终骗子被武汉警方抓获
Case3:政府网上验证事件
2008年6月,某省政务网站使用单位向监管部门报案,他们的网站数据库被人篡改,有 人借此造假、牟取暴利。犯罪团伙利用网站存在的漏洞,使用黑客工具攻击政府部门网 站,篡改多个省份政府网站数据库资料,其中一人两个月牟利达200多万元 。
Restrict URL Access)
– Unvalidated
Redirects
RaendidrecFtsoarnwd Faorrwdasr)ds((新NEW加) 入)
* AA98 ––In不sec安ure全Cry的pto密gra码phic存St储orag(eInsecure CryptoA9g–raInpsheciucreSCtryoprtaoggraep)hic Storage
对访问者则意味着什么?
导致学生和其他访问者中毒 被植入木马而受到黑客控制 重要数据被窃取 在线交易行为被偷窥 网游、网银等账号信息被窃取 虚拟财产被盗的威胁
对学校意味着什么?
导致数据丢失 导致学校声誉下降 丧失评优资格 网站被第三方列入“黑名单”
有可能网站被整体屏蔽
影响正常的招生工作
被教育主管单位通报批评
* *
A<4wa–s T对10 资200源4 A不10 –安In全sec的ure直Con接fig引ura用tion AM5an–age跨me站nt>伪造请求 (Cross Site
(Insecure Direct Object References) Reques+t FA6o–rgSeecruyrity(CMiSscRonFfi)g)uration (NEW)
* A1 – 注入 (Injection)
* AA24 ––In跨sec站ure脚Dir本ect O(bCjercot RsesfeSreintcee Scripting (X=SS)) A4 – Insecure Direct Object References
* AA35 ––Cr无oss效Site的Re验qu证est 和Forg会ery话(C管SRF理) (Broken A=utAh5e–nCrtoiscsaStitieoRneqaunesdt FoSregesrsy i(oCSnRFM) anagement)
教育网站安全建设方案
——网站安全专家
绿盟科技 2010年6月
nsfocus.com
限制分发
© 2010 绿盟科技
1 教育网站安全事件 2 事件影响分析 3 攻击原理分析 4 网站安全建设方案
1、教育网站安全事件
Case1:国内某知名大学网站被篡改
Case2:武汉某高校招生网被篡改
骗子忽悠考生家长可以帮忙进入理想高校 骗子收取家长手续费
入侵 网站
修改数 据库
办理 假证
贩卖 假证
使用 假证
办理从 业许可
证
修改相关数据700余个.每上 传一个客户的信息数据,就收 取 1200至2000元不等费用
先后入侵了江西省卫生厅、湖 北省卫生厅、贵州省人事厅、 四川省人事厅、江苏省教育厅、 辽宁省建设厅、湖北省荆州市 人事局等11个网站;每开一个 “后门”2700元的价格成交
* AA610–– F错ailu误re t的o R安est全rict配UR置L Acc(eSssecurity MisconfigAu7 r–aFtaiilourne)to(R新est加rict入UR)L Access
* *
AA<78no––t in失未T1败 经0 20的 验07网 证> 址 的访 网问 址权 重限 定限向制(U(nFvaailliudraet+etAod8
安徽省教育网络安全通知
3、攻击原理分析
网站所面临的各种挑战
Mapping from 2007 to 2010 Top 10
OWASP Top 10 – 2007 (Previous)
OWASP Top 10 – 2010 (New)
A2 – Injection Flaws
A1 – Injection
《四wenku.baidu.com六级英语考试成绩单》 《医师资格证书》 《建筑师证书》 《教师资格证》
高考前后挂马严重
2、事件影响分析
教育主题网站
学校门户网站很重要
学校
门户
电子
网站
教务
眼睛是心灵的窗户
眼睛里揉不得沙子
要像人的眼睛一样保护起来
被攻击后果很严重
高校网站被挂马是个比较普遍的现象,占挂马网站总量的20%以 上。高校网站频繁被黑客入侵,应引起校方的足够重视。
对网络监管者意味着什么?
大量计算机被控制也对互联网的安全运行带来潜在威胁
教育部很重视教育信息安全
第十八条 教育网站和网校应遵循国家有关法律、法规,不得在网络上制作、发布、传播下列信息 内容: (一)泄露国家秘密危害国家安全的; (二)违反国家民族、宗教与教育政策的; (三)煽动暴力,宣扬封建迷信、邪教、黄色淫秽制品、违反社会公德、以及赌博和教唆犯罪等; (四)煽动暴力; (五)散布谣言、扰乱社会秩序、鼓动聚众滋事; (六)暴露个人隐私和攻击他人与损害他人合法权益; (七)损害社会公共利益; (八)计算机病毒; (九)法律和法规禁止的其他有害信息。 如发现上述有害信息内容,应及时向有关主管部门报告,并采取有效措施制止其扩散。
A1 – Cross Site Scripting (XSS)
A2 – Cross Site Scripting (XSS)
A7 – Broken Authentication and Session Management
A3 – Broken Authentication and Session Management
* AA19 0– I–nse薄cur弱e C的omm传un输ica层tion保s 护 (Insufficient TrAa1n0s–pInosrutffiLciaenyteTrranPsproortteLacyteiroPnro)tection
A3 – Malicious
- <dropped from T10 2010>
- A6 – Information Leakage and Improper Error Handling <dropped from T10 2010>