WEB安全防护资料

网络安全事件的跨境化特点日益突出
2010年,国家互联网应急中心监测发现共近48万个木 马控制端IP,其中有22.1万个位于境外,前三位分别是 美国(占14.7%)、印度(占8.0%)和我国台湾(占 4.8%);共有13782个僵尸网络控制端IP,有6531个位 于境外,前三位分别是美国(占21.7%)、印度(占 7.2%)和土耳其(占5.7%)。另据工业和信息化部互联 网网络安全信息通报成员单位报送的数据,2010年在 我国实施网页挂马、网络钓鱼等不法行为所利用的 恶意域名半数以上在境外注册。。
内部IP地址等
7 用户验证和Session管理缺 Web应用程序中自行撰写的身份验证相关功能有缺陷 陷 8 不安全的加密存储 Web应用程序没有对敏感性资料使用加密、使用较弱的加密演算法或将
密钥储存于容易被获取之处
9 10 不安全的通信 没有对URL路径进行限制 Web应用经常在需要传输敏感信息时没有使用加密协议 某些网页因为没有权限控制，使得攻击者可透过网址直接存取
《通知》-解读
四、涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信 息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规 定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保 密规定和标准，进行系统测评并履行审批手续。 五、非涉密信息系统的信息安全风险评估应按照《信息安全等级保 护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安 全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信 息安全风险评估规范》等有关要求，可委托同一专业测评机构完成等 级测评和风险评估工作，并形成等级测评报告和风险评估报告。等级 测评报告参照公安部门制订的格式编制，风险评估报告参考《国家电 子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》
典型网络攻击示例
黑客尝试使用dan’—作 为用户名登陆
系统反馈不存在名为dan的 用户，标明后台查询语句为 SQL查询 = “SELECT Username FROM Users WHERE Username = ‘dan’– – 后面所有的字符被作为注 释对待 口令有效性验证被旁 路
典型网络攻击示例
2011年第52周我国大陆被篡改网站数量
被挂马政府网站
金融行业网站成为不法分子骗取钱财和窃取隐私的重点目标
网络违法犯罪行为的趋利化特征明显,大型电 子商务、金融机构、第三方在线支付网站成 为网络钓鱼的主要对象,黑客仿冒上述网站或 伪造购物网站诱使用户登陆和交易,窃取用户 账号密码、造成用户经济损失。2010年,国家 互联网应急中心共接收网络钓鱼事件举报 1597件,较2009年增长33.1%;“中国反钓鱼网 站联盟”处理钓鱼网站事件20570起,较2009 年增长140%。
黑客尝试猜测有效 用户名
系统提示需要输入正确口令
典型网络攻击示例
黑客采用单引号‘作为口 令尝试登陆
后台数据库报错，通过 分析可知数据库查询命 令为： SQL查询 = SELECT
Username FROM Users WHERE Username = ‘donald’ AND Password = ‘‘’
为什么会发生Web安全风险？
C/S模式和B/S模式对比
专用端口专用协议 客户端/ 服务器模 式（C/S)
专用端口专用协议
浏览器/ 服务器 模式 （B/S)
统一端口通用协议
统一端口通用协议
典型网络攻击示例
黑客发现某web应用 程序登陆界面，单 击login尝试登陆
系统提示需要输入有效用户名
典型网络攻击示例
SQL注入-原理
Test.asp文件代码片段： sqlStr = “select * from n_user where username=‘”&username&”’ and password=‘“&password&”’ rs = conn.execute(sqlStr) 正常的查询：test.asp?username=test&password=123 sqlStr = “select * from n_user where username=‘test’ and password=‘123’“ 使password=123 ‘ or ‘1’=‘1： Sql语句到数据库后： sqlStr = “select * from n_user where username=‘test’ and password=‘123’ or ‘1’=‘1’“何互联网服务 • 漏洞：DNS服务器 被劫持 • 影响：国预订
网站瘫痪思考
安全，在信息系统规 划设计中就应该考虑！
Web安全风险定义
Web攻击风险 • 网页篡改、SQL注入、跨站脚本 Web泄密风险 • 敏感数据泄密 Web可用性风险
• DDOS攻击
政府网站安全防护薄弱
据国家互联网应急中心监测,2011年中国大陆 有近3.5万个网站被黑客篡改,数量较2010年 下降21.5%,但其中被篡改的政府网站高达 4635个,比2010年上升67.6%。中央和省部级 政府网站安全状况明显优于地市以下级别的 政府网站,但仍有约60%的部委级网站存在不 同程度的安全隐患。政府网站安全性不高不 仅影响了政府形象和电子政务工作的开展,还 给不法分子发布虚假信息或植入网页木马以 可乘之机,造成更大的危害。
黑客尝试使用admin’— 作为用户名登陆 即猜测 存在名为admin的管理 员用户
成功登陆系统，黑客可 以随意读取邮件、下载 文件等操作。
典型案例
某政府单位网站后台
Web应用验证缺失
服务器端 域名欺骗 浏览器端 验来自缺失Web安 全身份 验证
安全协议 不够完善
WEB面临的安全威胁TOP10
木马或僵尸程序受控主机
《刑法》惩处黑客有法可依
2009年2月28日十一届全国人大常委会第七次会议表决通过刑法 修正案（七），此前，刑法第285条规定，违反国家规定，侵入 国家事务、国防建设、尖端科学技术领域的计算机信息系统的，
处三年以下有期徒刑或者拘役
鉴于上述情况，刑法修正案（七）在刑法第285条中增加两款作 为第二款、第三款
SQL注入-Asp表现
存在数字型和字符型注入。
(A)ID=49 这类注入的参数是数字型，SQL语句原貌大致如下： Select * from 表名 where 字段=49 注入的参数为ID=49 And [查询条件]，即是生成语句： Select * from 表名 where 字段=49 And [查询条件] (B)Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下： Select * from 表名 where 字段=’连续剧’ 注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ，即是生成语句： Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’ (C) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下： Select * from 表名 where 字段like ’%关键字%’ 注入的参数为keyword=’ and [查询条件] and ‘%25’=’， 即是生成语句： Select * from 表名 where字段like ’关键字’ and [查询条件] and ‘%’=’%’
他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，
者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而
为其提供程序、工具，情节严重的，依照前款的规定处罚。”
《关于加强国家电子政务工程建设项目信息安全 风险评估工作的通知》
为了贯彻落实《国家信息化领导小组关于加强信息安 全保障工作的意见》（中办发〔2003〕27号），加强 基础信息网络和重要信息系统安全保障，按照《国家 电子政务工程建设项目管理暂行办法》（国家发展和 改革委员会令〔2007〕第55号）的有关规定，加强和 规范国家电子政务工程建设项目信息安全风险评估工 作
序号 1 内容 跨站脚本漏洞 说明 Web应用程序直接将来自使用者的执行请求送回浏览器执行，使得攻击 者可获取使用者的Cookie或Session信息而直接以使用者身份登陆 2 注入类问题 Web应用程序执行在将用户输入变为命令或查询语句的一部分时没有做 过滤，SQL 注入, 命令注入等攻击包括在内 3 4 任意文件执行 不安全的对象直接引用 Web应用程序引入来自外部的恶意文件并执行 攻击者利用Web应用程序本身的文件操作功能读取系统上任意文件或重 要资料 5 跨站请求截断攻击 已登入Web应用程序的合法使用者执行恶意的HTTP指令，但Web应用程 式却当成合法需求处理，使得恶意指令被正常执行 6 信息泄露 Web应用程序的执行错误信息中包含敏感资料，可能包括系统文件路径，
《刑法》-解读 惩处黑客有法可依
“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其 或者对该计算机信息系统实施非法控制，情节严重的，处三年以下 有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年 以上七年以下有期徒刑，并处罚金。” “提供专门用于侵入、非法控制计算机信息系统的程序、工具，或
SQL注入-Jsp 表现
• 由于java语言是强类型语言，所有变量定义 前必须声明其类型，因而仅存在字符型的 注入。 • 字符型注入实例： String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'"; stmt = conn.prepareStatement(sql); 构造参数varpasswd值为：' or '1' = '1 • Sql语句经过解析后将是： select * from tb_name = '随意' and passwd = '' or '1' = '1';
SQL注入-Php中的表现
• Php的魔术引号(magic_quotes_gpc ) 。 • php.ini-dist 默认是开启此功能。如果安装 php时使用此文件，将不会产生字符型注入， 主要是数字型注入。 • 数字型注入： http://localhost/www/admin/login.php?user name=char(114,111,115,101)%23 查询语句变为： select * from example where username=ch ar(114,111,115,101)# and password=’’
“广告联盟”放置“黑链”
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站


CSDN泄密门
奥运网站订票瘫痪
１０月３０日，北京奥运会门票面向境内公众第二阶段预售正式启 动。上午一开始，公众提交申请空前踊跃。上午９时至１０时，官 方票务网站的浏览量达到了８００万次，票务呼叫中心热线从９时 至１０时的呼入量超过了３８０万人次。由于瞬间访问数量过大， 技术系统应对不畅，造成很多申购者无法及时提交申请。
2011年上半年CNCERT/CC处理事件类型
51CTO的WEB威胁调查
Sql注入及其危害
• 所谓SQL注入，就是通过把SQL命令插入到 Web表单递交或输入域名或页面请求的查询字 符串，最终达到欺骗服务器执行恶意的SQL命 令。通过递交参数构造巧妙的SQL语句，从而 成功获取想要的数据。 • 分为字符型注入和数字型的注入，由于编程语 言不同，所存在的注入类型也不同。 • 危害： --非法查询其他数据库资源，如管理员帐号。 --执行系统命令 --获取服务器root权限
课程要点
• • • • 什么是Web安全风险 为什么会存在Web安全风险 为什么会面对Web安全风险 如何防护Web安全
网站篡改
某银行网站篡改
敏感数据泄密泄密
企业敏感信息泄密
企业敏感信息泄密
湖北车管所黑客入侵事件
曾经受聘为省公安厅交警总队开发软件，利用“超级管理员”的身份，用超 级密码进入公安厅车管系统，办起了“地下车管所”，先后为126辆高档小轿车办 理假证号牌，非法获利1500余万元 。