網(wǎng)站應用層安全隱患評估系統(tǒng)

網(wǎng)站應用層平安隱患評估系統(tǒng)

AppExploreVersion1.0RealSOIInformationSecurityR&DLab業(yè)界專家論證會FUNianDong〔傅念東〕NetworkSecurityResearcherREALSOIINFOTECHCISO目錄專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結專家介紹高慶獅院士卿斯?jié)h中科院研究員賀也平中科院副研究員陳立杰軍方高工徐廣方軍方總工、高工江常青國家測評認證中心情報部主任目錄專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結REALSOIINFOTECHAnitsolutionREALSOILEADERREALSOILEADER1999年創(chuàng)辦中國最大的驅(qū)動程序開發(fā)資源論壇〞中國驅(qū)動開發(fā)網(wǎng)〞

著作?JAVA高級開發(fā)指南?；著作?DriverStudio開發(fā)指南及庫參考?；著作?Windriver開發(fā)指南及庫參考?；著作?程序春秋?REALSOI成功案例

成功實施河南省濟源市網(wǎng)上行政審批便民服務系統(tǒng)集成和網(wǎng)絡安全整體工程，合作企業(yè)：國研股份安全知識培訓服務中國保監(jiān)會網(wǎng)站安全保障服務合作者：華安永誠中國國際招標網(wǎng)網(wǎng)站系統(tǒng)安全評估和保障服務

中石化工程建設公司安全風險評估，合作者：江南科友對北京公安一局進行網(wǎng)絡技術及FBI取證技術課程培訓，周期一個月；國家質(zhì)量監(jiān)督檢疫總局系統(tǒng)網(wǎng)絡安全輪訓；信息產(chǎn)業(yè)部安全培訓；中央電視臺央視網(wǎng)絡安全培訓；合作者：清華繼續(xù)教育學院；成功案例成功地完成了中國電信31個省份網(wǎng)管人員的UNIX攻擊和防御技術培訓，為期3天；成功地完成了中國國家評測中心實驗室的網(wǎng)絡攻擊和防御技術培訓；榮幸地被中國國家評測中心唯一免試特聘為UNIX安全管理課程講師，并成功完成人民銀行CISP認證培訓網(wǎng)絡攻擊和防御技術培訓以及UNIX安全管理培訓；并將于2003年4月14日參與該中心組織的民生銀行CISE認證培訓授課；協(xié)助西安市公安局信息大隊公安人員進行電子信息犯罪取證現(xiàn)場技術專家分析，使用到我公司的信息犯罪取證智能決策和指導知識庫系統(tǒng)，地點：寶雞市AppExploreV1.0軍用版技術培訓和相關項目合作；AppExplore系我公司自主研發(fā)成功的國內(nèi)首套大型網(wǎng)站應用層安全隱患測評系統(tǒng)，目前產(chǎn)品系列分析軍用版/金融版/電子政務版/大型企業(yè)版為西安市電信局信息部門開發(fā)新一代IP地址分布式定位系統(tǒng)，即將投入使用；與英國標準協(xié)會北京OFFICE(BSIBEIJING)協(xié)力推動BS7799標準在中國保險行業(yè)的應用；REALSOI的平安研究歷程安全硬件平臺動態(tài)安全資源管理與Anitsolution共同為用戶提供一流的平安資源整合和企業(yè)風險管理FirewallIDSAntiVirusVPN

CA非法途徑撥號外聯(lián)管理HTTP/HTTPS80/443黑客自由出入的通道？Middle-Ware

APPSERVERWEBSERVERDATABASE當前>70%的入侵來自WEB應用層企業(yè)級應用層平安隱患評估統(tǒng)計統(tǒng)計--新聞報道AtomicPalertscustomerstobreach—CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—SecurityWDec27,2000APSiteHacked

—InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—Newsbytes,Nov3,2000

NTremainshackers'favorite

—VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—CNetJan22,2001

U.S.NavyHacked

—SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—LATImes,Mar15,2001

--黑客已經(jīng)無數(shù)次地造成：統(tǒng)計最新動態(tài)Thanks!網(wǎng)站應用層平安隱患評估系統(tǒng)

AppExploreVersion1.0FUNianDong〔傅念東〕NetworkSecurityResearcherREALSOIINFOTECHCISORealSOIInformationSecurityR&DLab業(yè)界專家論證會關注應用平安-完善平安體系應用平安啟示：REALSOI的平安定位AppSecurity應用平安ComputerForensics計算機取證RealSOIAppExplore&APPSecurity專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結REALSOIAppExplore成熟產(chǎn)品化商業(yè)評估軟件專業(yè)應用層平安隱患揭露系統(tǒng)普通Scanner+AppExplore形成完整有效的新一代測評組合平安效勞市場的主要切入點將會逐漸轉(zhuǎn)向應用平安領域應用層的專業(yè)評估將在完整的平安解決方案中擔任重要角色AppExplore定位：AppExplore為誰效勞？電子商務應用平臺和形象宣傳平臺網(wǎng)上銀行應用平臺和形象宣傳平臺電子政府應用平臺和形象宣傳平臺大中型企業(yè)網(wǎng)站應用和宣傳平臺ISP/ASP客戶增值評估效勞工具系統(tǒng)第三方測評認證機構工具系統(tǒng)軍方專用敵對網(wǎng)站打擊滲透工具系統(tǒng)〔直接打擊功能為特別定制〕其他任何具有應用層平安效勞需求的客戶群AppExplore思考的十大類平安問題APPLICATIONBUFFEROVERFLOW應用層緩沖區(qū)溢出〔壓力測試〕COOKIEPOISONINGcookie平安使用狀況評估CROSS-SITESCRIPTING跨站腳本攻擊風險評估HIDDENMANIPULATION頁面隱藏參數(shù)域篡改風險評估STEALTHCOMMANDING系統(tǒng)隱蔽指令執(zhí)行風險評估3RDPARTYMISCONFIGURATION第三方誤配置平安隱患KNOWNVULNERABILITIES各類型平安漏洞PARAMETERTAMPERINGURL參數(shù)篡改攻擊風險評估BACKDOOR&DEBUGOPTIONS后門程序和調(diào)試選項遺留隱患FORCEFULBROWSING網(wǎng)站內(nèi)容強力瀏覽問題應用平安方面的權威書籍權威資料參考：?WebHacking:AttacksandDefense?byStuartMcClure,SaumilShah,ShreerajShah?HackingExposed(TM)WebApplications?byJoelScambray,MikeShema

如果存在以上十大類問題，那么。。由于COOKIE中毒平安隱患，導致黑客可能實施身份偽裝攻擊；由于隱藏字段信息篡改隱患，黑客可能實施電子欺騙；由于URL參數(shù)、表單變量存在平安隱患，黑客因此可能進行系統(tǒng)指令執(zhí)行、邏輯認證繞過、后臺數(shù)據(jù)庫攻擊等；由于應用程序緩沖區(qū)溢出隱患，黑客可能導致業(yè)務終止甚至獲取非法權限；由于跨站點腳本執(zhí)行隱患，導致黑客可能實施不同程度基于信息泄漏的攻擊；由于第三方軟件的錯誤設置和典型的平安隱患存在，導致不同類型的黑客入侵破壞；AppExplore面對的市場背景用戶普遍還停留在FW+IDS層次的平安防護意識；國內(nèi)用戶對應用平安知識了解不夠，對應用平安隱患和風險認識不夠，在國外，應用平安專家已經(jīng)開始就應用平安問題進行普及宣傳；面對網(wǎng)絡級和系統(tǒng)級平安，多數(shù)用戶〞亡羊補牢〞，而應用級平安迫在眉睫，需要的是〞未雨綢繆〞；應用層隱患普遍存在，一旦爆發(fā)蠕蟲式惡意攻擊，將形成〞NIMDA現(xiàn)象〞；這是一份來自臺灣的調(diào)查統(tǒng)計：針對最為嚴重的SQLInjection漏洞的調(diào)查，由於國內(nèi)九成以上網(wǎng)站皆使用SQL資料庫系統(tǒng)，因此，經(jīng)警方測試，研判國內(nèi)八成以上的網(wǎng)站已面臨「資料隱碼」攻擊方式的嚴重威脅。5.整體上，平安編程意識的缺乏導致不平安的應用不斷出現(xiàn)應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之應用層緩沖區(qū)溢出應用平安風險之cookie平安傳統(tǒng)的Web應用系統(tǒng)，為了支持面向用戶的網(wǎng)頁內(nèi)容，通常都使用cookies機制在客戶端主機上保存某些信息，例如用戶ID、口令、時戳等。這些cookies可以用來維護Web訪問會話遷移過程中的狀態(tài)信息，使效勞器可以識別前一個會話過程的用戶。因為cookies通常是不經(jīng)加密就保存在用戶的桌面系統(tǒng)中，黑客能夠很容易地篡改cookies內(nèi)容，由此獲取其他用戶的賬號，導致嚴重的后果。舉例：一個存在cookie毒害漏洞的例子。這是一個支持在線付費的網(wǎng)站。下面圖例中，一個名為Abacarius的消費者〔黑客？〕登錄網(wǎng)站，需要提交幾筆付費工程。該網(wǎng)站是通過保存在客戶端的cookie信息來識別登錄用戶的，而客戶端cookie文件中保存的“abacarius〞用戶名只經(jīng)過了簡單的“加密〞處理〔將a變成z，b變成y，依此類推〕，即“zyzxzirfh〞。黑客只需要替換掉這個字串內(nèi)容，就可以冒名頂替其他用戶進行付費操作了。例如，將"zyzxzirfh"替換為"qlsmhlm"，也就是將"abacarius"用戶更名為"Johnson"。應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之cookie中毒應用平安風險之跨站腳本攻擊跨站腳本〔Cross-sitescripting，CSS〕是一種向其他Web用戶瀏覽頁面插入執(zhí)行代碼的方法。Web效勞器端應用程序要是接受客戶端提交的表單信息而不加驗證審核，黑客很可能在其中插入可執(zhí)行腳本的代碼，例如JavaScript、VBScript等，如果客戶端提交的內(nèi)容不經(jīng)過濾地返回給任意訪問該網(wǎng)站的客戶端瀏覽器，其中嵌入的腳本代碼就會以該Web效勞器的可信級別被客戶端瀏覽器執(zhí)行，這就是CSS漏洞的問題所在。

存在這種漏洞的最典型的例子，就是某些網(wǎng)絡論壇，這些BBS會向客戶端返回其他用戶之前輸入的內(nèi)容，許多搜索引擎網(wǎng)站也存在此類問題。收到這些嵌入惡意代碼內(nèi)容的客戶端瀏覽器，如果信任內(nèi)容來源網(wǎng)站，惡意代碼就可能在客戶端主機執(zhí)行。

應用平安風險之跨站腳本攻擊應用平安風險之跨站腳本攻擊某個惡意用戶就某個嚴重問題草擬報告如下正常內(nèi)容—大家好啊。<imgsrc=://width=“10〞height=“10〞></img>應用平安風險之跨站腳本攻擊參考：以上所貼的被證明包含有網(wǎng)頁惡性病毒，理論上，所有信任該站點的重要客戶都有可能由于瀏覽該頁面文件而感染病毒。

應用平安風險之操縱頁面隱藏字段隱藏字段即HTML表單中hidden類型的字段。

Web系統(tǒng)本身是無狀態(tài)的，為了維持客戶端/效勞器之間的會話狀態(tài)，Web應用系統(tǒng)最簡單也最普遍采用的方法就是用隱藏字段存儲信息。但是，隱藏字段并非真正"隱藏"，它僅僅是不顯示給用戶而已，提供給客戶端的靜態(tài)頁面源碼中就保存有隱藏字段的真實內(nèi)容。許多基于Web的電子商務應用程序用隱藏字段來存儲商品價格、用戶名、密碼等敏感內(nèi)容，客戶端瀏覽器只要用"ViewSource"命令就可以查看其真實的內(nèi)容。例如：

<inputtype="hidden"name="Price"value="10.50">

心存惡意的用戶，用瀏覽器簡單地保存HTML頁面源代碼，修改隱藏字段內(nèi)容，重新提交給效勞器端，Web效勞器如果不對這種改變做進一步驗證，就很容易用新的偽造的信息處理交易，這是一種非常危險的漏洞。應用平安風險之操縱頁面隱藏字段應用平安風險之操縱頁面隱藏字段<inputtype="hidden"name="Price"value="10.50">應用平安風險之操縱頁面隱藏字段修改Value=“1.95〞，重新提交給效勞器端處理應用平安風險之操縱頁面隱藏字段Web效勞端CGI如果不對這種改變做進一步驗證，就很容易用新的偽造的信息處理交易。購物車CGI接受你以$1.95的價格購置$129.95的商品應用平安風險之隱蔽指令執(zhí)行〔主要是指Unix效勞器〕效勞器端include通過從本地硬盤驅(qū)動器中調(diào)用文檔或其它對象，然后將這些元素自動包含在Web頁面中。

例如：#execcmd=“rm–rf*〞這個看起來象SSI,假設這條SSI成功執(zhí)行且HTTPD正在根下運行，那么刪除的將是整個驅(qū)動器。大多數(shù)站點禁止使用SSI.舉例：入侵者在本該填寫StreetAddress的可輸入?yún)^(qū)域填寫敏感文件查看指令<!–#exec/bin/cat/etc/ssl/private.pem-->入侵者聰明地驅(qū)使WEBSERVER把SSLkey文件附加顯示到網(wǎng)頁上，從而可讓自己成功扮演效勞器角色搜集各種客戶重要信息應用平安風險之隱蔽指令執(zhí)行應用平安風險之隱蔽指令執(zhí)行<!--#includefile="/export/home-c1/jkzki6/htdocs/test.txt--><!--#includevirtual="/test/test.txt"--><!--#execcgi="/export/home-c1/jzki6/cgi-bin/test.cgi"--><!--#execcmd="./date.sh"--><!--#execcmd="test/test.pl"-->

應用平安風險之隱蔽指令執(zhí)行入侵者驅(qū)使WEB效勞器把SSLkey文件附加顯示到網(wǎng)頁上，從而可讓自己成功扮演效勞器角色搜集各種客戶重要信息應用平安風險之平安漏洞許多操作系統(tǒng)及第三方應用軟件〔包括Web效勞器和數(shù)據(jù)庫效勞器〕都存在一些漏洞，如果管理員不及時安裝已經(jīng)發(fā)布了的軟件補丁，這些漏洞就很可能被黑客利用。因為黑客只需要用簡單的漏洞掃描器和大量的漏洞披漏網(wǎng)站就可以知道該怎樣實施攻擊了。其實，許多漏洞都可以歸類到前面介紹的幾種典型漏洞當中舉例：IIS效勞器的ASPAlternateDataStreams漏洞，只要在ASP文件名后加上“::$DATA〞后綴，就可以看到ASP文件源代碼，這個漏洞就屬于典型的CGI參數(shù)欺騙類型。而另一個此類漏洞IISUnicode漏洞，那么可以讓黑客查看敏感信息，執(zhí)行系統(tǒng)命令，進行文件操作，后果將是非常嚴重的。://bugsites/login.asp::$DATA

://www/_vti_bin/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

應用平安風險之平安漏洞應用平安風險之平安漏洞應用平安風險之平安漏洞應用平安風險之平安漏洞應用平安風險之后門程序和調(diào)試選項遺留應用平安風險之后門程序和調(diào)試選項遺留應用平安風險之后門程序和調(diào)試選項遺留應用平安風險之后門程序和調(diào)試選項遺留應用平安風險之強力瀏覽問題應用平安風險之強力瀏覽問題應用平安知識之強力瀏覽問題應用平安風險之強力瀏覽問題應用平安風險之參數(shù)篡改攻擊如果Web應用程序沒有對客戶端提交的參數(shù)進行嚴格校驗，就有可能對客戶端參數(shù)中包含的某些特殊內(nèi)容進行不適當?shù)奶幚?，導致難以預料的后果。這類漏洞最常見于那些應用了SQL數(shù)據(jù)庫后端的Web效勞器，黑客通過向提交給CGI程序的參數(shù)中“注射〞某些特殊SQL語句，最終可能獲取、篡改、控制Web效勞器端數(shù)據(jù)庫中的內(nèi)容。,當然，此類漏洞的另一種后果，就是泄漏某些敏感信息，許多Web效勞器及應用系統(tǒng)都曾經(jīng)披漏過此類問題。利用此類編程漏洞執(zhí)行系統(tǒng)指令也是常用的入侵方式。舉例：(1)'or1=1--邏輯認證繞過SELECT*FROMtblUserWHEREUserName=''or1=1--'ANDPassword='asdf‘(2)利用錯誤信息取得資料表內(nèi)各欄位的資料形態(tài)

‘UNIONSELECT'abc',1,1,1FROMtblUser–

SELECT*FROMtblUserWHEREUserName=

'‘UNIONSELECT'abc',1,1,1FROMtblUser--'

ANDPassword='asdf'應用平安風險之參數(shù)篡改攻擊普通客戶提交正常要求helloworld7777-8888-222Aaaaaaaaaaaaa-bbbbbbbbbbbbb不懷好意者在此欄提交各種測試代碼，如“‘〞應用平安風險之參數(shù)篡改攻擊應用平安風險之參數(shù)篡改攻擊'','','','')select123--test111-111應用平安風險之參數(shù)篡改攻擊AppExplore評估該類型的報告顯示：SQLINJECTION攻擊之簡單符號匹配[2]模式測試

類似于new.asp?id=255

通常asp腳本程序訪問SQL數(shù)據(jù)庫的寫法是SELECT*FROM[newstable]WHERE[ID]=‘@value’

Asp腳本程序員沒有對@value進行單引號等特殊符號校驗，導致入侵者可以在@value后面構造自定義的復雜SQL指令通過asp腳本程序傳遞給后臺數(shù)據(jù)庫執(zhí)行，入侵者的操作權限等同于asp腳本程序訪問數(shù)據(jù)庫對應的數(shù)據(jù)庫賬號映射到系統(tǒng)賬號的權限！

如果asp腳本程序調(diào)用的是sysadmin組的用戶，將導致入侵者可以直接使用localsystem賬號執(zhí)行系統(tǒng)命令；

例如:

news.asp?id=255’exec“netusertmpuser/add〞--

news.asp?id=255’exec“netlocalgroupadministratorstmpuser/add〞--

臨時解決方法:

對于所有用戶提交的數(shù)據(jù)進行根本的特殊字符前臺過濾和屏蔽；

采用Replace(@value,“‘",“'‘“)等方法防治入侵者的指令從字符串跳出演變成為具有危害性的SQL指令。產(chǎn)品化特點專家介紹公司簡介RealSOIAppExplore&APPSecurity產(chǎn)品化特點典型案例總結小投入、大作用小投入、大作用Anitsolution2000?論平安體系的完整性?“AppExplore系列產(chǎn)品對整個網(wǎng)站應用平臺的平安健康狀況層次化的表示，使得平安管理員和評測員能切實看到網(wǎng)站的應用平安全貌和黑客入侵威脅點并作出正確響應，真正做到未雨綢繆.〞極大降低應用平安效勞本錢24小時/2位應用平安專家手工評測成果小于等于20分鐘/AppExplore+一名普通操作人員的評測效果基于定制策略的定時評估，網(wǎng)段評估公正的“黑箱子測試〞使得程序員和系統(tǒng)平安分析員一目了然地知曉故障點和排除故障最簡便的方法評估結果報告將直接告訴用戶“哪個文件的哪個參數(shù)出了問題，是什么類型的問題？〞產(chǎn)品整體特點網(wǎng)站應用結構圖分析功能：立足于網(wǎng)站系統(tǒng)應用的平安規(guī)劃，多種手段相結合，完整而詳細的分析出目標網(wǎng)站的目錄結構和文件關系。應用平安隱患分析功能：分析來自網(wǎng)站結構圖中的每一個網(wǎng)站功能腳本程序的應用狀況，借助于專用的知識數(shù)據(jù)庫，針對所有可能為黑客所利用的入侵工程進行多樣化多層次的探測和分析。最終得到真正對管理者做出決策有實質(zhì)性幫助的平安隱患報告。分析過程支持交互式策略和全自動策略；支持代理(proxy)掃描；SSL和客戶端認證支持；

本評估系統(tǒng)廣泛支持各種常見應用系統(tǒng)或者引擎語言：ASP,PHP,ColdFusion,LotusDomino,BEAWebLogic,Perl,NetscapeJavaServletPages等產(chǎn)品整體特點基于國際標準和行業(yè)標準的風險報告功能：

形成通俗易懂的風險說明報告。圖文并茂地展現(xiàn)出漏洞表、威脅表、風險比率圖等報告，顯示詳細平安隱患來源和背景。使得使用該產(chǎn)品的人員能夠在不斷掌握新平安知識的情況下來抵御應用層黑客的入侵。穩(wěn)定快捷的在線升級功能：

簡單方便的網(wǎng)絡在線升級功能，將不斷的更新升級最新的專用知識數(shù)據(jù)庫。獨特的預警模式，將第一時間提醒您關注最新的平安風險。

反盜版和反破解設計：

防止該系列產(chǎn)品不會被未授權非法使用。嚴格的認證和授權-躲避濫用安裝序列號認證基于硬件序列種子的網(wǎng)絡認證管理員口令認證直觀的界面-主界面直觀的界面-平安瀏覽器直觀的界面-綜合報告界面其它關鍵界面一覽其它關鍵界面一覽其它關鍵界面一覽典型案例專家介紹公司簡介RealSOIAppExplore&APPSe