WEB安全隱患及防御課件

1、2011年網(wǎng)絡(luò)信息安全技術(shù)展會多維防護，實現(xiàn)Web安全西安交大捷普網(wǎng)絡(luò)科技有限責(zé)任公司全面安全 超越所想內(nèi)容總覽如何解決Web安全3.捷普Web安全解決方案4.Web安全現(xiàn)狀1.Web安全分析2.一、Web安全現(xiàn)狀-目前Web安全到底怎么樣？1.一些數(shù)據(jù)的啟示 幾起最新安全事件： 2010年9月3日，大型社交類網(wǎng)站被曝存在SQL注入漏洞，黑客利用此漏洞獲取到3200萬用戶記錄（包括E-mail、姓名及明文方式的密碼），對于攻擊者來說最精彩的部分在于海量的數(shù)據(jù)全部采用明文方式存儲。2010年7月8日，全球最大的BT種子伺服器海盜灣（The Pirate Bay）被一群自稱來自阿根廷的黑客攻破。據(jù)

2、了解，黑客是通過SQL漏洞獲得用戶數(shù)據(jù)庫和管理員界面信息的，泄露的數(shù)據(jù)中包括用戶名、MD5哈希密碼、電子郵件地址和IP地址等。僅2010年上半年，中國教育網(wǎng)體檢中心對教育網(wǎng)站平臺掛馬檢測顯示，攻擊425個教育網(wǎng)頂級域名下的1375個網(wǎng)站被掛馬，掛馬率為3.88%，被掛馬網(wǎng)站的數(shù)量呈現(xiàn)快速增長趨勢。波士頓（MA）-sophos公布的安全報告顯示，互聯(lián)網(wǎng)平均每天有9500個網(wǎng)頁被掛馬，這一數(shù)據(jù)還在高速上漲。Mal/iFrame的掛馬方式占65.5%，JS/EncIFra與Troj/Decdec分別為6.9%和6.5%。其中，中國的掛馬數(shù)量占絕對優(yōu)勢，占53.2%。美國27.4%。德國5.1%。We

3、b安全市場根據(jù)IDC公布的報告，全球Web安全市場將會在2012年前達(dá)到65億美元的規(guī)模。來自Gartner的數(shù)據(jù)表明，當(dāng)前網(wǎng)絡(luò)上75%的攻擊是針對WEB應(yīng)用的。根據(jù)Gartner在第二季度公布的統(tǒng)計數(shù)字，全球Web安全產(chǎn)品的使用程度相當(dāng)?shù)?，僅有10%的企業(yè)部署了真正意義上的Web安全網(wǎng)關(guān)。2.從服務(wù)器端看Web安全Web應(yīng)用非常廣泛，各個企事業(yè)單位都有基于Web平臺的應(yīng)用系統(tǒng)或網(wǎng)站系統(tǒng)；傳統(tǒng)的防護措施已基本到位，防火墻、IDS/IPS等安全產(chǎn)品已對用戶網(wǎng)路進行了基本的安全過濾和監(jiān)控，但唯獨Web端口來去自由，如入無人之境！80端口安全，即Web安全，一觸即發(fā)。攻擊、木馬、病毒等必經(jīng)之道！傳統(tǒng)

4、網(wǎng)絡(luò)安全產(chǎn)品-防火墻、IDSIPS、UTM等對此無能為力！3.從客戶端看WebXP SP3之后系統(tǒng)內(nèi)置個人防火墻；Wifi路由器內(nèi)置防火墻；黑客主動發(fā)起攻擊已不奏效，而利用Web網(wǎng)頁掛馬、郵件釣魚等手段則可以“悄然”出擊；Web安全涉及每一位網(wǎng)絡(luò)使用者，隨意的點擊之間，暗藏殺機。銀行帳戶、QQ帳戶等頻頻被盜。誰可信，誰不可信，用戶迷茫。惡意代碼Hacker訪問者盜取支付密碼盜取交易賬號網(wǎng)絡(luò)詐騙盜取QQ賬號2.從Web架構(gòu)分析Web安全從Web架構(gòu)分析Web安全Web服務(wù)構(gòu)成靜態(tài)網(wǎng)頁以文件形式存放在服務(wù)器磁盤上；動態(tài)程序也以文件形式存放在服務(wù)器磁盤上；動態(tài)的信息存放在數(shù)據(jù)庫中；用戶通過瀏覽器可以

5、看到服務(wù)器提供的內(nèi)容，他們以html/xml格式由瀏覽器解釋執(zhí)行；綜上，Web服務(wù)器上有兩種服務(wù)用數(shù)據(jù)要保證“清白”：一是頁面文件(.html、.xml等)，這里包括動態(tài)程序文件(.php、.asp、.jsp等)，一般存在Web服務(wù)器的特定目錄中，或是中間間服務(wù)器上；二是后臺的數(shù)據(jù)庫，如Oracle、SQL Server等，其中存放的數(shù)據(jù)的動態(tài)網(wǎng)頁生成時需要的，也有業(yè)務(wù)管理數(shù)據(jù)、經(jīng)營數(shù)據(jù)。3.入侵Web系統(tǒng)的動機防火墻IDS/IPSDoS攻擊端口掃描網(wǎng)絡(luò)層模式攻擊已知Web服務(wù)器漏洞上傳木馬網(wǎng)頁篡改惡意執(zhí)行注入式攻擊Web服務(wù)器數(shù)據(jù)庫服務(wù)器Web應(yīng)用應(yīng)用服務(wù)器防火墻入侵防御（1）讓W(xué)eb服務(wù)癱

6、瘓郵件收不了網(wǎng)頁打不開數(shù)據(jù)庫連接失敗網(wǎng)站被掛馬系統(tǒng)CPU占用高磁盤空間不足鏈接數(shù)過載網(wǎng)頁被篡改軟件要更新系統(tǒng)要升級數(shù)據(jù)文件丟失服務(wù)要重啟系統(tǒng)內(nèi)存占用過大三、如何解決Web安全-找到解決Web安全的鑰匙解決之道：從以下3點入手預(yù)警漏洞風(fēng)險掃描審計與防御響應(yīng)Web頁面監(jiān)控防篡改防掛馬預(yù)防Web應(yīng)用開發(fā)Web應(yīng)用監(jiān)控Web過濾網(wǎng)關(guān)上網(wǎng)行為控制1、預(yù)防：在Web應(yīng)用系統(tǒng)開發(fā)之初，就加強程序的安全設(shè)計；規(guī)范上網(wǎng)行為、規(guī)范上網(wǎng)內(nèi)容；對Web應(yīng)用的程序文件進行監(jiān)控；使用Web過濾網(wǎng)關(guān)，屏蔽Web DDos，Sql注入等攻擊事件； 2、預(yù)警：使用漏洞掃描技術(shù)對網(wǎng)絡(luò)進行安全性掃描和潛在風(fēng)險發(fā)現(xiàn)；使用審計類及入侵

7、防御類設(shè)備進行風(fēng)險信息的集中收集和匯總； 3、響應(yīng)：通過使用離線工具或手工對網(wǎng)頁內(nèi)容進行連接趨向分析，防止網(wǎng)頁受到篡改、掛馬，一旦發(fā)現(xiàn)，及時修復(fù)。根據(jù)告警事件統(tǒng)計分析，完善防護策略及時升級規(guī)則庫Web應(yīng)用開發(fā)Web應(yīng)用監(jiān)控頁面防篡改頁面防掛馬Web過濾網(wǎng)關(guān)上網(wǎng)實名制，控制上網(wǎng)行為，屏蔽非法網(wǎng)站，敏感詞字過濾安全性掃描和潛在風(fēng)險發(fā)現(xiàn)風(fēng)險信息的集中收集和匯總網(wǎng)絡(luò)基礎(chǔ)安全部署防火墻進行邊界防護和端口控制部署IPS/IDS進行基本的入侵防御Web服務(wù)安全部署專業(yè)的Web過濾設(shè)備安裝網(wǎng)頁監(jiān)控軟件使用專業(yè)的漏洞評估分析產(chǎn)品定期對服務(wù)體檢部署信息審計產(chǎn)品，24小時無隙監(jiān)控交互數(shù)據(jù)Web用戶安全部署流控設(shè)備，

8、對網(wǎng)內(nèi)用戶進行帶寬劃分，提高帶寬使用效率，確保Web應(yīng)用帶寬；部署上網(wǎng)行為管理設(shè)備，管住應(yīng)用、管住應(yīng)用帶寬，規(guī)范Web應(yīng)用，確保核心Web應(yīng)用帶寬；部署信息審計產(chǎn)品，24小時無隙監(jiān)控外出流量數(shù)據(jù)，確保Web內(nèi)容安全1.網(wǎng)絡(luò)基礎(chǔ)、Web服務(wù)、Web應(yīng)用全面防護2.捷普為您提供（1）服務(wù)器群組防護系統(tǒng)內(nèi)置Web 防火墻模塊，可以抵御大部分Web攻擊，如DDos攻擊、SQL注入、XSS等；序類型等級詳細(xì)描述1Sql注入防護高通過向服務(wù)器數(shù)據(jù)庫注入數(shù)據(jù)來修改網(wǎng)站內(nèi)容，造成危害2Xss防護高跨站腳本編寫3Web爬蟲防護中防止爬蟲掃描4木馬防護高檢測通信數(shù)據(jù)中是否有可以識別的木馬特征5常見攻擊防護中一類常

9、見的http攻擊，如命令執(zhí)行、文件注入、會話劫持等6http協(xié)議防護中非法的編碼、非法的頭結(jié)構(gòu)、緩沖區(qū)溢出7服務(wù)器信息隱藏低隱藏服務(wù)器返回的一些系統(tǒng)錯誤信息，這些信息有可能造成泄露8網(wǎng)頁文件格式中過濾定義的文件格式9請求方法防護中可屏蔽不常用，但有安全隱患的http方法10緩沖區(qū)攻擊防護中http協(xié)議頭結(jié)構(gòu)中的緩沖區(qū)可能成為攻擊者攻擊的目標(biāo)，限制其大小可以防止攻擊（2）網(wǎng)頁監(jiān)控軟件，可防止網(wǎng)頁被掛馬、篡改；基于驅(qū)動實現(xiàn)，可監(jiān)控網(wǎng)頁修改、刪除、添加，系統(tǒng)資源開銷小允許例外，可對不重要的網(wǎng)頁放行，可對可信的進程、用戶放行提供網(wǎng)絡(luò)版本、單機版本支持windows系列，unix系列系統(tǒng)服務(wù)器群組防護系

10、統(tǒng)沒有對用戶的訪問行為進行審計，使一些用戶的破壞性行為無法進行追查我們的網(wǎng)站受到惡意用戶的篡改，使網(wǎng)站不能正常訪問通過網(wǎng)絡(luò)偵聽截獲訪問信息垃圾郵件和病毒郵件在網(wǎng)內(nèi)肆意傳播服務(wù)資源的開放式訪問使一些重要的文件和信息，被無關(guān)人員獲取，形成潛在的泄密隱患具有安全隱患的客戶機對服務(wù)器的訪問，讓服務(wù)器安全遭到威脅服務(wù)器中服務(wù)的運行時發(fā)生異常中斷，或服務(wù)器內(nèi)存，CPU，磁盤資源被惡意程序占用用戶訪問不能實行有效實名管控，用戶權(quán)限管理混亂跨站點腳本代碼注入蠕蟲木馬請求偽造服務(wù)器群組防護系統(tǒng)功能總覽OracleSQL-ServerDB2數(shù)據(jù)庫操作TeradataSybaseMySQLCachePostgreS

11、QLInformix操作命令審計操作賬號審計操作過程回放設(shè)備操作操作事件審計TELNET/FTP操作終端審計密碼揣測行為盜用賬戶行為惡意文件上傳弱點掃描行為登錄嘗試行為IP欺騙行為異常行為（3）漏掃系統(tǒng)可以發(fā)現(xiàn)最易遭利用的Web漏洞（增強型銷售許可證、國際CVE認(rèn)證）；漏掃評估系統(tǒng)功能總覽（4）上網(wǎng)行為管理系統(tǒng)采用URL過濾方式規(guī)范網(wǎng)內(nèi)用戶使用互聯(lián)網(wǎng)資源，阻止或減少個別機器感染木馬，殃及魚池；（5）上網(wǎng)行為管理系統(tǒng)對客戶端準(zhǔn)入檢查，可確保上網(wǎng)機器基本安全；（6）上網(wǎng)行為管理系統(tǒng)管控郵件、發(fā)帖、HTTP POST等內(nèi)部Web行為安全，防止員工泄密或發(fā)表不健康、反動的言論； 上網(wǎng)行為管理防范信息泄

12、露記錄上網(wǎng)軌跡優(yōu)化帶寬管理強化IT管理修復(fù)安全短板內(nèi)置海量URL分類，支持URL智能識別和自定義URL分類；URL關(guān)鍵詞，網(wǎng)頁關(guān)鍵詞，搜索引擎輸入關(guān)鍵詞過濾；上傳下載文件類型的識別和過濾；QQ，MSN，網(wǎng)游，炒股，在線視頻，下載等軟件的封堵；P2P智能識別，針對不斷衍生的P2P新應(yīng)用進行有效封堵；監(jiān)控訪問的網(wǎng)頁，標(biāo)題，內(nèi)容；監(jiān)控QQ，MSN等聊天內(nèi)容；記錄郵件標(biāo)題，內(nèi)容，附件等；監(jiān)控用戶所有上網(wǎng)行為；支持特定用戶的免監(jiān)控；多線路智能選路及線路用；P2P智能識別和流量控制；針對用戶帶寬通道細(xì)度帶寬劃分和分配多種帶寬限制、帶寬保障策略綜合應(yīng)用，提供全面帶寬優(yōu)化方案特定郵件延遲審計后再發(fā)送；WebM

13、ail郵件正文附件的審計；Email標(biāo)題，正文，附件的審計；特定文件內(nèi)容級敏感信息審計；所有上網(wǎng)行為軌跡的記錄；免審計key及特定用戶群體的免審計；多維度檢索引擎準(zhǔn)確檢索海量日志；內(nèi)置/外置數(shù)據(jù)存儲中心，海量日志存儲；餅圖，曲線等多種統(tǒng)計顯示方式；自動報表定期生成，自動發(fā)送；WEB管理，可同時管理多臺設(shè)備防內(nèi)/外網(wǎng)DOS攻擊；防ARP地址欺騙；內(nèi)網(wǎng)代理應(yīng)用的完全封堵；網(wǎng)絡(luò)準(zhǔn)入策略，提升接入互聯(lián)網(wǎng)的客戶機安全短板管控網(wǎng)絡(luò)應(yīng)用上網(wǎng)行為管理系統(tǒng)功能總覽協(xié)議分析 捕獲重組還原網(wǎng)絡(luò)協(xié)議全面分析 內(nèi)容分析 解析縱深檢索全面、高效TCPUDPICMPARPSLIPPPPRARPX.25HTTPSMTPPOP3IMAPFTPSNMPtelnetDNS行為分析 分揀提取跟蹤HTTPSnetbiosRPC準(zhǔn)確、實時QQMSNGTALK迅雷QQ旋風(fēng)BT精靈網(wǎng)頁郵件共享PPLivePP影視酷狗網(wǎng)游網(wǎng)銀深入、細(xì)致gb2312UTF-8unicodeGBKbase64BIG5上傳文件郵件附件共享文件IM文件WORDPDFEXCELTXT（7）信息審計系統(tǒng)可以監(jiān)控上網(wǎng)內(nèi)容，監(jiān)控數(shù)據(jù)庫安全，監(jiān)控外泄，監(jiān)控入侵。信