1、周晓峰周晓峰杭州市基础信息安全测评认证中心杭州市基础信息安全测评认证中心2019.62019.6远程门户网站检测、渗透性测试小组提前进驻被抽查单位,抽查部分内部系统分析检测结果、出具初步检查结论,提交现场检查组检查组现场访谈相关工作人员、抽查各类制度台帐,查看相关现场检查组汇总检查结果,产生反馈意见各单位根据反馈意见进行整改对部分单位整改结果进行抽查1.信息安全组织机构 明确了信息安全主管领导(95%) 指定了信息安全管理机构(95%) 设置了专职工作处室(90%) 配备了相应的信息安全管理人员(85%)2.安全日常管理 多数单位在人员管理(85%)、资产管理(75%)和外包管理(70%)等方
2、面建立了较完善的安全管理制度。 指定了信息安全管理机构(95%)3.安全防护管理 各单位门户网站中高风险安全隐患的比例得到进一步下降,但仍有不少部门存在严重安全隐患4.安全应急管理 较多单位制定了信息安全事件应急响应预案(占65%)并开展了不同程度的应急演练活动(占70%) 多数政府部门建立了合理数据容灾备份制度,实现了重要数据的周期性备份(占75%)4.安全自检查 绝大多数单位(占85%)都通过组织部署、自查实施、问题整改和自查总结等过程,积极有效地开展了信息安全自查工作。5.主要问题网站安全防护 不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞,占所有抽
3、查单位的25%,其中: 8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞,占所有抽查单位的40%。6.主要问题其它安全防护 50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力; 60%单位未建立合理的信息系统安全审计制度; 50%单位未具备网页防篡改能力; 60%单位未建立有效的终端计算机集中管理及接入控制能力; 50%单位未建立合理的移动存储介质安全管理制度5.主要问题教育培训 60%单位未开展面向一般工作人员的信息安全培训活动,或覆盖面过小; 35%单位的信息安全管理和技术人员的安全培训不足2019年12月26日,冷水江市政府网站被黑客攻击2019年7月,国防部网站被黑客攻
4、击2019年7月,水利部网站被黑客攻击SQL语句返回数据查询结果访问请求返回请求的页面互联网用户互联网用户 应用服务器应用服务器数据库数据库操作系统操作系统脚本语言脚本语言WebWeb服务器软件服务器软件OracleOracleMySQLMySQLMS SQL ServerMS SQL ServerIEIEFirefoxFirefoxChromeChrome应用平台应用平台漏洞漏洞网站代码网站代码漏洞漏洞操作系统操作系统漏洞漏洞拒绝服务拒绝服务攻击攻击u SQL注入 u 认证旁路u 上传漏洞u 跨站点脚本编制SQL注入(SQL Injection),也叫脚本注入,就是利用网站程序对用户输入过滤
5、不足,通过把SQL命令,SQL语句插入到Web表单或输入到页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令的一种攻击。恶意HTTP请求通过80端口达到服务器防火墙服务器攻击者认证旁路,其原理也是基于SQL 注入,就是在后台登陆页面上,在用户名或者密码栏中,输入特殊的字符或者语句,从而绕够应用系统的身份鉴别机制,直接进入系统后台的攻击手段。文件上传漏洞,是指某些网站,允许用户上传一些文件至服务器,比如投稿,提供某些材料等。但对用户所上传的文件类型没有做严格限制,攻击者可以上传恶意软件至服务器,从而达到控制服务器的目的。跨站点脚本编制(XSS)是指攻击者利用网站程序对用户输入过滤不足
6、,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。杭城知名论坛19楼, 跨站漏洞寻找注入点(各种扫描工具)判断数据库类型(MS SQL,MySQL,Oracle)获取敏感信息(管理员账号密码等)寻找管理后台(页面寻找,google等)用获取到的信息登陆后台寻找跨站点(各种扫描工具)利用跨站,构造恶意代码(获取cookies信息等)利用各种手段,诱使受害者点击含有恶意代码的链接获取受害者cookies等信息冒用受害者的身份,访问网站论坛等Cookies信息保存提示IIS、TomcatApache等Oracle
7、、MySQLMS SQL Server等u缓冲区溢出缓冲区溢出eg: Apache 分块编码远程溢出u配置不正确配置不正确eg:敏感调试信息暴露u弱口令弱口令eg: tomcat/tomcat sa/sa等脆弱性扫描目标主机开放的端口获取Oracle实例名信息根据获取到的信息,配置tnsnames文件,利用Oracle默认低权限用户,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令扫描目标主机开放的端口利用SQL注入,获取数据库信息根据获取到的信息,配置tnsnames文件,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令调试信息,暴露了网站的路径 限制端口开放 及时更新补丁 合理设置用户及密码 部署硬件防护设备 代码级别的防护u 屏蔽错误信息u 验证用户输入数据的合法性u 使用工具模拟检测攻击发现问题处理问题日常管理紧急情况u配置加固u安全设备u应急响应u配置加固u安全检查u漏洞扫描u安全培训u安全咨询谢谢!