2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开,本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天,在分会之“网络安全新技术”会上,网络安全专家范渊发表了关于Web应用与数据库安全剖析的演讲。 以下是网络安全专家范渊发言实录:
主持人贾焰:感谢杨哲先生,下一位演讲嘉宾是范渊先生,他演讲的主题是Web应用与数据库安全剖析。
范渊:谢谢主持人。各位网络安全同仁下午好!
我是OWASP中国区的副会长,今天花一些时间讲讲Web实际处理案例和当中的工作经验交流,算不上剖析,如果大家关注这个领域的话,应该会有一定的实用价值,我参与了北京奥组委关于网站安全和数据库安全的评估和加固。
现在,通过网站安全进行挂马是黑客产业链最核心的一个主要部分,网站空间战在美国02、03年就被经常提及,CYBERWAR去年已经开始浮现水面,比较体系化了。
在国内,无论从政府、银行、教育还是运营商,相信大家从媒体上可以获知各式各样的案例。我在这里讲一个案例,国庆60周年公安部进行安全大检查,基本上50%的政府网站都存在严重安全漏洞,从安全风险的比例来讲占37.04%,也是非常严重的。在某省全省商业银行网站安全调研也是配合国庆60周年所做的检测,网银也非常关注网络安全漏洞,但查出的漏洞比例还是比较高的。
运营商也知道,内部黑手频频探囊安全网络—,“没有密码”的充值卡,很多人在免费打电话,其他的情况就不多说了。
去年的网络群注是一种目前最流行的利用网站应用程序漏洞进行对数据库以及服务器进行攻击的手段,这种攻击可能是窃取数据,插入数据,篡改数据,删除数据或者执行任意命令以致直接控制服务器。它的原理是对后台数据库中所有的字符型字段全部插入某段脚本,这个脚本是带有木马执行的脚本,在我们的检测中,发现有一台肉鸡对这个网站进行攻击,后来我们也攻入了那台肉鸡,发现这台计算机工具也有很多的配置文件,如利用google发现大批能够进入攻击的目标点,然后把已经编辑好的脚本注入进去。其实,他们使用的工具并不复杂,但前后两次造成全球将近十万个网站受到侵袭。
OWASP组织是一个国外开放社群、非营利性组织,在全球有130多个分会,近万名会员;主要目标是研议协助解决Web应用安全标准、工具与技术,致力于协助政府、企业了解并改善应用安全。OWASP国际影响力比较大,美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则。
目前OWASP有30多个进行中的安全项目,主要包括OWASPTop10、webgoat等,OWASP中国分会致力于这些开源项目的引入以及研究,并通过各种渠道在国内安全行业内共享。同时,也欢迎更多的人参与以及加入OWASP中国分会,共同推动国内应用安全领域方面的研究。
OWASP最近正在做的事情是OWASP测试指南,也花了很多的精力,我、OWASP的会长和一个八级英语翻译致力于将测试指南完全消化,并且争取将测试指南尽快奉献给大家,不涉及到任何的费用。
OWASP测试指南目录章节:前沿、信息收集、配置管理测试、认证测试、会话管理测试、授权测试、数据验证测试、业务逻辑测试、拒绝服务测试、网络服务测试、AJAX测试。还包含开发前、开发中、运行后的维护等,包含了很多的经验在里面,这两天也和大家在交流,OWASP一方面比较新,但另一方面确实会涉及到白服和黑服的防护,以及事后的应急处理,我认为是不可或缺的,测试内容比较多,章节也比较多,花了很多的精力。
去年是OWASP在台湾举行亚洲峰会,规模也很大,OWASP组织得好的话,完全可以组织不同的分会场,进行细致地交流。计划在2010年4-5月份会举行OWASP亚洲峰会,到时也会邀请国外国内的专家到一起交流,分别在台湾、北京举行。
Web攻击悄然无声,传统的防火墙、防病毒几乎没有触及,对于防火墙来说必须打开STTP80和STTPS,在这个范围内发起的所有攻击都会变得比较容易。
#p#Web应用系统所面临的风险有系统层面的、应用层面的、网络层面的、业务层面的,如低版本的IIS、缺乏不定的windows,SQL注入、网页木马、恶意代码、跨站脚本、表单漏洞、上传漏洞、ARP欺骗攻击等等。
(演示)SQL注入攻击过程演示。对参数进行变形,达到攻击目标后台的目的。它也很多的类型,但基本原理没有大的变化,表现形式和变形可能会有很多,不同的数据库被它利用的类型也会不一样。
CSRF测试最近受到关注,简单来说是间接利用Web应用程序的验证漏洞,使得被攻击者无意识地实施跨站攻击。比如某个网站已经被黑客所控制,一旦我被攻击之后,它有可能让我的机器再发起一次网银转帐,但我自己并不知道这个行为。这个时候,大家会发现做完网银转帐之后,可能会再弹出一个支付的口令,需要你人为再操作一次,其实这就是便于大家识别的一个简单方法之一。
数据库是企业信息系统的核心,刚才讲了这么多的Web应用,它们其实是不能分割的。很多关键数据在各个部门构成了三层、四层,受攻击的对象其实是数据库,受攻击之后反映在Web应用层面,我认为不应该把两者完全分开。当然,Web应用很大一部分时间是在内网进行,数据库和内控也就相关了,不知道大家关不关注等级保护,它其实会把应用安全和数据库分为几个章节,更多的是涉及你在有权限的情况下,是否滥用了你的权限,它和相关的内用和审计有关。
对于内部用户会造成合法权限滥用、权限盗用、越权滥用、权限分配不当等情况;对于数据库软件会出现平台漏洞,通讯协议漏洞,弱鉴权机制,日志缺失不完整的后果;对于应用程序也会产生漏洞。
应用系统安全常见的误区:使用防火墙和入侵检测设备,网站安全了;安装了最新系统和数据库补丁,网站和数据库可以不被攻击;使防篡改软件,网站一定安全;数据库位于内网,一定不被攻击;安装了防病毒软件,网站就不被挂马;网站被挂马了,请马上帮我清掉我就万事大吉了。更换新应用系统也有误区,如新应用系统未必更安全;确保新应用系统的安全性还是应该从头做起。那么,代码层防护,应用层防护,实时防护和事后防护还是相当地重要。
【编辑推荐】
