OWASP 2010范淵:中國WEB安全5年發展歷程及趨勢與挑戰
【51CTO.com 獨家報道】2010年10月22日消息,盛大的OWASP大會終于在京召開。當然也少不了各位安全領域的各位高手的演講。其中就有安恒信息的范淵為我們演講。51CTO作為特邀媒體,將會全程跟蹤報道,有關OWASP會議詳細情況請瀏覽51CTO OWASP 2010中國峰會專題報道。下面是范淵的演講實錄:
范淵:各位嘉賓、各位朋友,大家上午好!
范淵:其實講安全應該從05年開始,05年我在美國有一個演講,就是在關于WEB安全的日常檢測。從06年開始攻擊事件急速的增加,在中國被篡改網站的數量也急劇增加。而且這里面一個很重要的特點是從七八年前會出現有人會炫耀,其實那個時候黑客產業鏈這一塊開始浮出水面。06年大家開始關注取證式的WEB應用弱點掃描,等一下我會講到這個歷程,比如安全開發、安全開發、安全部署等一系列安全體系構成了我們WEB應用安全的整體。07年是WEB2.0這樣的名字開始大量出現,實際當時使用WEB2.0的還不是很多,包括國外的社區和國內都出現類似利用跨站,WEB安全漏洞給人家很多在視覺和信用上的傳播。
范淵講道:黑客產業鏈這個話題,實際在過去和之前大家都收到過很多郵件,通過欺騙希望你點擊以后中招,但是后來慢慢發展到郵件和在線的交談依然是一個媒體,但是這個媒體主要是送給你一個(英文),利用這個使你掛馬,達到它間接的攻擊,而且這個攻擊的隱蔽性非常強,它的效果非常好。因為黑客產業鏈必然以經濟為基礎,所以它需要追求用最低的成本達到最大的效益和最好的效果。每天有幾十萬訪問量的網站和在線業務,比如網上營業廳、網上銀行,所有這些必然會成為它最直接可以利用的途徑。當然這里面很復雜,而且他們有控制人、有買賣,有地下交易,還有洗錢,這些都可能在不同的國家發生。
范淵說:08年里程碑的事件是奧運會是非常成功的盛會,但是其實它背后有很多故事,我是奧組委安全專家組的成員,在奧運大廈有好多次討論相關的攻擊防范,實際在奧運會開幕前的說十個月我們已經開始對奧組委相關的網站進行相應的加固,實際奧組委網站改版很多次,但是大家可能沒有意識到。這當中也發生很多有意思的事情,奧運會這次給大家的最大的好處就是在于安全意識的提高,這個跟我們OWASP講的精神也一樣。
范淵還說:08年還有一件很重要的事情,就是群注風暴,全球大概有10萬個網站被掛馬,它是批量注入,利用應用程序的弱點,通過篡改參數來達到或控制修改后臺數據庫,禁止達到控制所有相關攻擊的目的。那么通過什么來發現它呢?最簡單的手段就是google,因為它能夠非常高效的告訴你有多少網站。它所達到的效果是對于后臺所有字符型的字段里面插入一段惡意代碼,這段小的腳本就在這里,這段腳本達到的目的是用戶插入數據庫,后臺的數據庫因為是動態頁面,會有動態的信息展示,展示的過程中任何任何用戶訪問這個網站,它其實就會執行這個JS,進而去種植到本地實際上美國有很多資深 的安全公司的資深網站也在這次群注中落馬。當時安全小組發現一臺肉雞在做這個事情,這段自動化工具寫的比較精悍,但是非常實用,而且大家注意到它用到了一點點的繞過。這個是它的配置文件,非常簡明而實用,高效而實用。因為它是希望能夠更加高效,現成配置這些東西。
范淵說道:經過這一年多,我覺得安全的意識大家有很大的提高,到09年時我們在中國有一次標桿性的事件,就是國慶六十周年的安保。國慶六十周年的安保請公安部和通信安全中心對全國的網站進行抽樣,在隨機抽樣的檢測中大概有一半的網站存在嚴重的問題,就是可以隨意的注入畫面等東西。這是一些統計數據,注入畫面表單繞過是非常嚴重的,事實上這些數據反過來驗證了數據的寶貴性和統計的準確性,像注入、跨站這類的問題每年都排在非常前面。在這個過程中發現有一些網站甚至是已經被掛馬或者已經被控制。
范淵還講道:到了10年,在WEB安全方面有兩塊大的事情,一類是遠程執行任意代碼事件,比如像我們有些網站用BBS等第三方模塊,反過來說明應用安全、整體安全一定要提升的。遠程攻擊者可以在這個系統上執行任何的命名,這樣它的遠程攻擊的威脅性、嚴重性都是非常明顯的。還有一個漏洞 是。NET的攻擊信泄露漏洞,說到這個想到了實施防范里面的那些原理,其實在攻擊過程當中我們很多時候是利用返回不同的信息達到我們的效果。
范淵最后說道:今年黑帽子大會上有位專家講到云計算是安全的一場惡夢,事實上本身我們自己網絡內的安全都還管不好的情況下,應用安全都管不好的情況下,你硬去相信一朵云,這朵云你從來都沒有見過,這塊的挑戰確實是巨大的。還有是手機互聯網,智能終端又變成受害者之一。核心互聯網網上的挑戰也會非常嚴峻 ,為什么這樣說呢?現在隨著經濟利益的驅動,其實最好的效果是在于有大量的有價值信息的,比如說網上銀行,比如說網上證券交易,比如說網上營業廳,比如說電子政務相關的一些東西,比如說網游,這些都會成為實際的目標。在這里面的矛與盾始終在對抗,在這當中應用安全和數據安全的價值會更大的促進體系,因為不管是移動互聯網還是云計算,不管我們的核心業務在外還是在內,實際上是應用為王、業務為王,不可否認的是網絡站面臨的挑戰依然存在。
范淵:因為時間關系,主要講到這里,謝謝大家!
【編輯推薦】
