1、网站安全检测和防护培训课网站安全检测和防护培训课件件*局数据管理中心安全管理处2目录*局数据管理中心安全管理处3目录网站安全形势*局数据管理中心安全管理处4境外反共黑客组织自2012年4月起开始攻击我政府网站,截止至今年4月7日,我国境内已有428个政府网站被篡改攻击。(一)从攻击对象上看 政府部门和教育院校的网站是其主要的攻击对象,共有361个,约占被攻击网站总数的84.3%,其中政府部门网站244个,约占总数的57%,教育院校类网站117个,占总数的27.3%。网站安全形势*局数据管理中心安全管理处5(二)从被攻击网站的行政层看中央部委和直属单位、省级政府部门网站有69个,约占总数的16.
2、2%;地市级政府部门网站有72个,约占总数的16.8%;区县级政府部门网站和企事业单位网站共有287个,约占总数的67%。(三)从被攻击网站的地域范围看地域较分散,涉及全国27个地区,北京、广东、广西、浙江、江苏5个地区共有213个,约占总数的50%。网站安全形势(四)攻击方式和手段看 黑客反侦察意识较强,主要利用肉鸡、跳板被隐藏攻击源,对我网站进行发散式攻击,在获取网站控制权后,预埋后门程序,定期进行攻击篡改;黑客攻击所利用的漏洞,主要包括struts2漏洞,SQL注入漏洞,Fckeditor网页编辑器漏洞和建站程序漏洞等。*局数据管理中心安全管理处6网站安全存在的突出问题 安全责任不落实
3、上线前无安全检测和审批 防范措施缺失 应急保证措施缺失*局数据管理中心安全管理处7*局数据管理中心安全管理处8 恶作剧;关闭Web站点,拒绝正常服务;篡改Web网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;常用的挂马常用的挂马exploitMS07-017 MS Windows Animated Cursor(.ANI)Remote ExploitMS07-019MS07-00
4、4 VML Remote Code ExecutionMS06-073MS06-071 XML Core Services Remote Code ExecutionMS06-068MS06-067MS06-057 WebViewFolderIcod ActiveXMS06-055MS06-014 MDAC Remote Code ExecutionMS06-013MS06-005MS06-004MS06-001常见网站攻击动机*局数据管理中心安全管理处9目录统计系统网站情况*局数据管理中心安全管理处10*局数据管理中心安全管理处11目录国家局网站安全检查机制*局数据管理中心安全管理处12国家
5、局检查机制(上线前检查)*局数据管理中心安全管理处13 以风险为导向WEB遍历模拟黑客进行无害的攻击渗透 通 过 各 类测 试 用 例对 网 站 进行测试 通过各类已知和未知木马进行检测深度深度 扫描扫描渗透渗透测试测试黑盒黑盒检测检测木马木马检测检测网站漏洞扫描几种主要方法扫描结果事例*局数据管理中心安全管理处15统计系统网站漏洞分布情况*局数据管理中心安全管理处16OWASP(开放式Web应用程序安全项目)对注入漏洞的定义*局数据管理中心安全管理处17注入漏洞Sql注入 SQl注入(SQL Injection)技术在国外最早出现在1999年,我国在2002年后开始大量出现。SQL注入是针对
6、一种数据库而言的,而不是针对网页语言。在任何使用了数据库查询环境下都可能存在 造成SQL注入攻击漏洞的原因,是由于程序在编写WEB程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令。*局数据管理中心安全管理处18 在网站管理登录页面要求帐号密码认证时,如果攻击者在在网站管理登录页面要求帐号密码认证时,如果攻击者在“UserID”输入框内输入输入框内输入“admin”,在密码框里输入,在密码框里输入“anything or 1=1”提交页面后,查询的提交页面后,查询的SQL语句就变成
7、了:语句就变成了:Select from user where username=admin and password=anything or 1=1 不难看出,由于不难看出,由于“1=1”是一个始终成立的条件,判断返回为是一个始终成立的条件,判断返回为“真真”,密码的限制形同虚设,不管用户的密码是不是,密码的限制形同虚设,不管用户的密码是不是Anything,他都可以以,他都可以以admin的身份远程登录,获得后台管理权,在网站上的身份远程登录,获得后台管理权,在网站上发布任何信息。发布任何信息。Sql注入攻击举例Sql注入 主要危害:1未经授权状况下操作数据库中的数据。2恶意篡改网页内容。
8、3私自添加系统帐号或者是数据库使用者帐号。4网页挂马。5与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。*局数据管理中心安全管理处20解决方案 1所有的查询语句都使用数据库提供的参数化查询接口 2对进入数据库的特殊字符(“尖括号&*;等)进行转义处理,或编码转换;3严格限制变量类型;4数据长度应该严格规定;5网站每个数据层的编码统一;6严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。*局数据管理中心安全管理处21解决方案 7避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判
9、断。8确认PHP配置文件中的Magic_quotes_gpc选项保持开启。9在部署你的应用前,始终要做安全审评(security review)。建立一个正式的安全过程(formal security process),在每次你做更新时,对所有的编码做审评。后面一点特别重要。不论是发布部署应用还是更新应用,请始终坚持做安全审评。10千万别把敏感性数据在数据库里以明文存放。11使用第三方WEB防火墙来加固整个网站系统。*局数据管理中心安全管理处22链接注入 链接注入是将某个URL嵌入到被攻击的网站上,进而修改站点页面。被嵌入的URL包含恶意代码,可能窃取正常用户的用户名、密码,也可能窃取或操纵认
10、证会话,以合法用户的身份执行相关操作。主要危害:1获取其他用户Cookie中的敏感数据。2屏蔽页面特定信息。3伪造页面信息。4拒绝服务攻击。5突破外网内网不同安全设置。*局数据管理中心安全管理处23解决方案 过滤客户端提交的危险字符,客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等,其中危险字符如下:|、&、;、$、%、“、()、+、CR、LF、,、.、script、document、eval*局数据管理中心安全管理处24跨站脚本 跨站点脚本(XSS)是针对其他用户的重量级攻击。如果一个应用程序使用动态页面向用户显示错误消
11、息,就会造成一种常见的XSS漏洞。三部曲:1.HTML注入。2.做坏事。3.诱捕受害者。*局数据管理中心安全管理处25*局数据管理中心安全管理处26跨站脚本举个例子说明原理:如攻击者可在目标服务器的留言本中加入如下代码:function()则存在跨站脚本漏洞的网站就会执行攻击者的function()。跨站脚本 1获取其他用户Cookie中的敏感数据。2屏蔽页面特定信息。3伪造页面信息。4拒绝服务攻击。5突破外网内网不同安全设置。6与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等。*局数据管理中心安全管理处27“微博病毒”攻击事件 2011年6月28日晚,新浪微博出现了一次比较大的XS
12、S攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”等等微博和私信,并自动关注一位名为hellosamy的用户。*局数据管理中心安全管理处28解决方案开发语言的建议_严格控制输入:Asp:request Aspx:Request.QueryString、FormCookies、SeverVaiables等 Php:$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等 Jsp:request.getParameter、request.getCookies 等 严格限制提交的数据长度、类型、字符集。*局数据管
13、理中心安全管理处29解决方案 开发语言的建议_严格控制输出:HtmlEncode:对一段指定的字符串应用HTML编码。UrlEncode:对一段指定的字符串URL编码。XmlEncode:将在XML中使用的输入字符串编码。XmlAttributeEncode:将在XML属性中使用的输入字符串编码 escape:函数可对字符串进行编码 decodeURIComponent:返回统一资源标识符的一个已编码组件的非编码形式。encodeURI:将文本字符串编码为一个有效的统一资源标识符(URI)。*局数据管理中心安全管理处30*局数据管理中心安全管理处31目录网站安全防护 一、管理层面 二、技术层面
14、 1、硬件防护 2、软件防护*局数据管理中心安全管理处32*局数据管理中心安全管理处33u网站攻击防护,如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击u应用隐藏,用于隐藏应用服务器的版本信息,防止攻击者根据版本信息查找相应的漏洞u口令防护,用于防止攻击者暴力破解用户口令,获取用户权限u权限控制,用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护u登录防护、HTTP异常检测、CC攻击防护、网站扫描防护、缓冲区溢出检测uDLP服务器数据防泄密,针对日益严重服务器数据泄密事件网站安全防护内容*局数据管理中心安全管理
15、处341、替换整个网页2、插入新链接3、替换网站图片文件(最常见)4、小规模编辑网页(仅精确)5、因网站运行出错导致结构畸变6、新增一个网页7、删除一个网页可能与网页篡改有关的网站变化网页防篡改*局数据管理中心安全管理处35网页防篡改流程第一步:抓取正常网页内容并缓存第二步:对比客户获取网页与缓存网页第三步:出现网页篡改1.还原网站,客户访问的结果和原来一样2.返回维护页面,维护页面可以默认的,或者自定义html页面,或者重定向篡改前页面或者重定向到某个站点*局数据管理中心安全管理处36目录安全检查工作 国家统计局办公室关于开展全国统计系统重要信息系统和重点网站安全检查工作的通知(国统办数管字
16、201539号)开展安全检查工作。根据公安部关于开展国家级重要信息系统和重点网站安全执法检查工作的通知(公传发2015253号)要求,国家统计局将在全国统计系统组织开展国家级重要统计信息系统和重点网站安全检查工作。*局数据管理中心安全管理处37*局数据管理中心安全管理处38安全检查工作安全检查工作 根据国家统计局办公室关于开展全国统计系统重要信息系统和重点网站安全检查工作的通知(国统办数管字201539号)要求,国家统计局将组成检查组,对部分单位开展现场检查工作。检查内容 通知的落实情况、自查工作的组织开展情况、等级保护工作开展和自查发现的问题及安全隐患等。*局数据管理中心安全管理处39安全检查工作检查形式检查形式(一)远程检查。(二)现场检查。*局数据管理中心安全管理处40结束语 要清醒认识我们面临的威胁,搞清楚哪些是潜在的,哪些是现实的,哪些可能变成真正的攻击,哪些可以通过政治经济外交等手段予以化解;哪些需要密切监视防患于未然,哪些必须全力予以打击;哪些可能造成不可弥补的损失,哪些损失可以容忍,减少不计成本的过度防范。*局数据管理中心安全管理处41
