范淵:Web應用與數據庫安全剖析
2009中國計算機網絡安全應急年會于2009年10月21日至24日在湖南長沙召開,本屆年會主題是“網絡促進發展 安全創造價值”。23日進入會議第二天,在分會之“網絡安全新技術”會上,網絡安全專家范淵發表了關于Web應用與數據庫安全剖析的演講。 以下是網絡安全專家范淵發言實錄:
主持人賈焰:感謝楊哲先生,下一位演講嘉賓是范淵先生,他演講的主題是Web應用與數據庫安全剖析。
范淵:謝謝主持人。各位網絡安全同仁下午好!
我是OWASP中國區的副會長,今天花一些時間講講Web實際處理案例和當中的工作經驗交流,算不上剖析,如果大家關注這個領域的話,應該會有一定的實用價值,我參與了北京奧組委關于網站安全和數據庫安全的評估和加固。
現在,通過網站安全進行掛馬是黑客產業鏈最核心的一個主要部分,網站空間戰在美國02、03年就被經常提及,CYBERWAR去年已經開始浮現水面,比較體系化了。
在國內,無論從政府、銀行、教育還是運營商,相信大家從媒體上可以獲知各式各樣的案例。我在這里講一個案例,國慶60周年公安部進行安全大檢查,基本上50%的政府網站都存在嚴重安全漏洞,從安全風險的比例來講占37.04%,也是非常嚴重的。在某省全省商業銀行網站安全調研也是配合國慶60周年所做的檢測,網銀也非常關注網絡安全漏洞,但查出的漏洞比例還是比較高的。
運營商也知道,內部黑手頻頻探囊安全網絡—,“沒有密碼”的充值卡,很多人在免費打電話,其他的情況就不多說了。
去年的網絡群注是一種目前最流行的利用網站應用程序漏洞進行對數據庫以及服務器進行攻擊的手段,這種攻擊可能是竊取數據,插入數據,篡改數據,刪除數據或者執行任意命令以致直接控制服務器。它的原理是對后臺數據庫中所有的字符型字段全部插入某段腳本,這個腳本是帶有木馬執行的腳本,在我們的檢測中,發現有一臺肉雞對這個網站進行攻擊,后來我們也攻入了那臺肉雞,發現這臺計算機工具也有很多的配置文件,如利用google發現大批能夠進入攻擊的目標點,然后把已經編輯好的腳本注入進去。其實,他們使用的工具并不復雜,但前后兩次造成全球將近十萬個網站受到侵襲。
OWASP組織是一個國外開放社群、非營利性組織,在全球有130多個分會,近萬名會員;主要目標是研議協助解決Web應用安全標準、工具與技術,致力于協助政府、企業了解并改善應用安全。OWASP國際影響力比較大,美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發布的十大Web弱點防護守則。
目前OWASP有30多個進行中的安全項目,主要包括OWASPTop10、webgoat等,OWASP中國分會致力于這些開源項目的引入以及研究,并通過各種渠道在國內安全行業內共享。同時,也歡迎更多的人參與以及加入OWASP中國分會,共同推動國內應用安全領域方面的研究。
OWASP最近正在做的事情是OWASP測試指南,也花了很多的精力,我、OWASP的會長和一個八級英語翻譯致力于將測試指南完全消化,并且爭取將測試指南盡快奉獻給大家,不涉及到任何的費用。
OWASP測試指南目錄章節:前沿、信息收集、配置管理測試、認證測試、會話管理測試、授權測試、數據驗證測試、業務邏輯測試、拒絕服務測試、網絡服務測試、AJAX測試。還包含開發前、開發中、運行后的維護等,包含了很多的經驗在里面,這兩天也和大家在交流,OWASP一方面比較新,但另一方面確實會涉及到白服和黑服的防護,以及事后的應急處理,我認為是不可或缺的,測試內容比較多,章節也比較多,花了很多的精力。
去年是OWASP在臺灣舉行亞洲峰會,規模也很大,OWASP組織得好的話,完全可以組織不同的分會場,進行細致地交流。計劃在2010年4-5月份會舉行OWASP亞洲峰會,到時也會邀請國外國內的專家到一起交流,分別在臺灣、北京舉行。
Web攻擊悄然無聲,傳統的防火墻、防病毒幾乎沒有觸及,對于防火墻來說必須打開STTP80和STTPS,在這個范圍內發起的所有攻擊都會變得比較容易。
#p#Web應用系統所面臨的風險有系統層面的、應用層面的、網絡層面的、業務層面的,如低版本的IIS、缺乏不定的windows,SQL注入、網頁木馬、惡意代碼、跨站腳本、表單漏洞、上傳漏洞、ARP欺騙攻擊等等。
(演示)SQL注入攻擊過程演示。對參數進行變形,達到攻擊目標后臺的目的。它也很多的類型,但基本原理沒有大的變化,表現形式和變形可能會有很多,不同的數據庫被它利用的類型也會不一樣。
CSRF測試最近受到關注,簡單來說是間接利用Web應用程序的驗證漏洞,使得被攻擊者無意識地實施跨站攻擊。比如某個網站已經被黑客所控制,一旦我被攻擊之后,它有可能讓我的機器再發起一次網銀轉帳,但我自己并不知道這個行為。這個時候,大家會發現做完網銀轉帳之后,可能會再彈出一個支付的口令,需要你人為再操作一次,其實這就是便于大家識別的一個簡單方法之一。
數據庫是企業信息系統的核心,剛才講了這么多的Web應用,它們其實是不能分割的。很多關鍵數據在各個部門構成了三層、四層,受攻擊的對象其實是數據庫,受攻擊之后反映在Web應用層面,我認為不應該把兩者完全分開。當然,Web應用很大一部分時間是在內網進行,數據庫和內控也就相關了,不知道大家關不關注等級保護,它其實會把應用安全和數據庫分為幾個章節,更多的是涉及你在有權限的情況下,是否濫用了你的權限,它和相關的內用和審計有關。
對于內部用戶會造成合法權限濫用、權限盜用、越權濫用、權限分配不當等情況;對于數據庫軟件會出現平臺漏洞,通訊協議漏洞,弱鑒權機制,日志缺失不完整的后果;對于應用程序也會產生漏洞。
應用系統安全常見的誤區:使用防火墻和入侵檢測設備,網站安全了;安裝了最新系統和數據庫補丁,網站和數據庫可以不被攻擊;使防篡改軟件,網站一定安全;數據庫位于內網,一定不被攻擊;安裝了防病毒軟件,網站就不被掛馬;網站被掛馬了,請馬上幫我清掉我就萬事大吉了。更換新應用系統也有誤區,如新應用系統未必更安全;確保新應用系統的安全性還是應該從頭做起。那么,代碼層防護,應用層防護,實時防護和事后防護還是相當地重要。
【編輯推薦】
