WEB全隱患及防御

1、2011年網(wǎng)絡(luò)信息安全技術(shù)展會(huì)多維防護(hù)，實(shí)現(xiàn)web安全西安交大捷普網(wǎng)絡(luò)科技有限責(zé)任公司全面安全 超越所想內(nèi)容總覽如何解決web安全3.捷普web安全解決方案4.web安全現(xiàn)狀1.web安全分析2.一、web安全現(xiàn)狀-目前web安全到底怎么樣？1.一些數(shù)據(jù)的啟示 幾起最新安全事件：幾起最新安全事件： l2010年9月3日，大型社交類網(wǎng)站被曝存在sql注入漏洞，黑客利用此漏洞獲取到3200萬(wàn)用戶記錄（包括e-mail、姓名及明文方式的密碼），對(duì)于攻擊者來(lái)說(shuō)最精彩的部分在于海量的數(shù)據(jù)全部采用明文方式存儲(chǔ)。l2010年7月8日，全球最大的bt種子伺服器海盜灣（the pirate bay）被一群自稱來(lái)

2、自阿根廷的黑客攻破。據(jù)了解，黑客是通過(guò)sql漏洞獲得用戶數(shù)據(jù)庫(kù)和管理員界面信息的，泄露的數(shù)據(jù)中包括用戶名、md5哈希密碼、電子郵件地址和ip地址等。l僅2010年上半年，中國(guó)教育網(wǎng)體檢中心對(duì)教育網(wǎng)站平臺(tái)掛馬檢測(cè)顯示，攻擊425個(gè)教育網(wǎng)頂級(jí)域名下的1375個(gè)網(wǎng)站被掛馬，掛馬率為3.88%，被掛馬網(wǎng)站的數(shù)量呈現(xiàn)快速增長(zhǎng)趨勢(shì)。l波士頓（ma）-sophos公布的安全報(bào)告顯示，互聯(lián)網(wǎng)平均每天有9500個(gè)網(wǎng)頁(yè)被掛馬，這一數(shù)據(jù)還在高速上漲。mal/iframe的掛馬方式占65.5%，js/encifra與troj/decdec分別為6.9%和6.5%。其中，中國(guó)的掛馬數(shù)量占絕對(duì)優(yōu)勢(shì)，占53.2%。美國(guó)27

3、.4%。德國(guó)5.1%。web安全市場(chǎng)安全市場(chǎng)l根據(jù)idc公布的報(bào)告，全球web安全市場(chǎng)將會(huì)在2012年前達(dá)到65億美元的規(guī)模。l來(lái)自gartner的數(shù)據(jù)表明，當(dāng)前網(wǎng)絡(luò)上75%的攻擊是針對(duì)web應(yīng)用的。l根據(jù)gartner在第二季度公布的統(tǒng)計(jì)數(shù)字，全球web安全產(chǎn)品的使用程度相當(dāng)?shù)停瑑H有10%的企業(yè)部署了真正意義上的web安全網(wǎng)關(guān)。2.從服務(wù)器端看web安全 開(kāi)放式的接入訪問(wèn)，大大降低了服務(wù)器自我保護(hù)，網(wǎng)站的數(shù)據(jù)信息，用戶資料，文件資料等，在潛移默化中被別有用心的人非法竊取，作為黑惡利益交易的商品。開(kāi)放式的接入訪問(wèn)，誰(shuí)來(lái)保證訪問(wèn)者的合法身份 2009 年，中國(guó)大陸有 4.2 萬(wàn)個(gè)網(wǎng)站被黑客篡改，

4、其中，被篡改的政府網(wǎng)站各月累計(jì)達(dá) 2765 個(gè)，這一記錄還在不斷刷新中，同時(shí)網(wǎng)站掛馬仍然是黑客地下產(chǎn)業(yè)中重要的活動(dòng)之一。無(wú)孔不入的網(wǎng)絡(luò)攻擊和木馬病毒 日益增多的服務(wù)器和應(yīng)用服務(wù)，讓我們的管理員頭痛不已，服務(wù)器運(yùn)行檢查，補(bǔ)丁修補(bǔ)，文件恢復(fù)，系統(tǒng)備份，看似簡(jiǎn)單的工作卻由于數(shù)量巨大而需要我們消耗大量的時(shí)間和精力。日益增加的服務(wù)，如何進(jìn)行統(tǒng)一運(yùn)維管理lweb應(yīng)用非常廣泛，各個(gè)企事業(yè)單位都有基于web平臺(tái)的應(yīng)用系統(tǒng)或網(wǎng)站系統(tǒng)；l傳統(tǒng)的防護(hù)措施已基本到位，防火墻、ids/ips等安全產(chǎn)品已對(duì)用戶網(wǎng)路進(jìn)行了基本的安全過(guò)濾和監(jiān)控，但唯獨(dú)web端口來(lái)去自由，如入無(wú)人之境！l80端口安全，即web安全，一觸即發(fā)。

5、攻擊、木馬、病毒等必經(jīng)之道！l傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品-防火墻、idsips、utm等對(duì)此無(wú)能為力！3.從客戶端看weblxp sp3之后系統(tǒng)內(nèi)置個(gè)人防火墻；lwifi路由器內(nèi)置防火墻；l黑客主動(dòng)發(fā)起攻擊已不奏效，而利用web網(wǎng)頁(yè)掛馬、郵件釣魚(yú)等手段則可以“悄然”出擊；lweb安全涉及每一位網(wǎng)絡(luò)使用者，隨意的點(diǎn)擊之間，暗藏殺機(jī)。銀行帳戶、qq帳戶等頻頻被盜。誰(shuí)可信，誰(shuí)不可信，用戶迷茫。惡意代碼hacker訪問(wèn)者盜取支付密碼盜取交易賬號(hào)網(wǎng)絡(luò)詐騙盜取qq賬號(hào)二、web安全分析-web安全事件的成因1.web架構(gòu)簡(jiǎn)單，促進(jìn)互聯(lián)網(wǎng)流行l(wèi)互聯(lián)網(wǎng)能夠快速流行得益于web部署上的簡(jiǎn)單，開(kāi)發(fā)上簡(jiǎn)便，web網(wǎng)頁(yè)的開(kāi)發(fā)大

6、軍迅速超過(guò)了以往任何計(jì)算機(jī)語(yǔ)言的愛(ài)好者，普及帶來(lái)了應(yīng)用上繁榮；l但隨著web2.0的廣泛使用，web服務(wù)不再只是信息發(fā)布，游戲中的裝備交易、日常生活中網(wǎng)上購(gòu)物、政府行政審批、企業(yè)資源管理信息價(jià)值的誘惑，人的貪婪開(kāi)始顯現(xiàn)，不是所有的人都有web設(shè)計(jì)者的“大同”思想，安全問(wèn)題日顯突出了；l瀏覽器可以直接看到頁(yè)面的html代碼， web服務(wù)設(shè)計(jì)沒(méi)有過(guò)多的安全考慮。2.從web架構(gòu)分析web安全從web架構(gòu)分析web安全web服務(wù)構(gòu)成靜態(tài)網(wǎng)頁(yè)以文件形式存放在服務(wù)器磁盤(pán)上；動(dòng)態(tài)程序也以文件形式存放在服務(wù)器磁盤(pán)上；動(dòng)態(tài)的信息存放在數(shù)據(jù)庫(kù)中；用戶通過(guò)瀏覽器可以看到服務(wù)器提供的內(nèi)容，他們以html/xml格式

7、由瀏覽器解釋執(zhí)行；綜上，web服務(wù)器上有兩種服務(wù)用數(shù)據(jù)要保證“清白”：一是頁(yè)面文件(.html、.xml等)，這里包括動(dòng)態(tài)程序文件(.php、.asp、.jsp等)，一般存在web服務(wù)器的特定目錄中，或是中間間服務(wù)器上；二是后臺(tái)的數(shù)據(jù)庫(kù)，如oracle、sql server等，其中存放的數(shù)據(jù)的動(dòng)態(tài)網(wǎng)頁(yè)生成時(shí)需要的，也有業(yè)務(wù)管理數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)。3.入侵web系統(tǒng)的動(dòng)機(jī)防火墻防火墻ids/ipsdos攻擊攻擊端口掃描端口掃描網(wǎng)絡(luò)層網(wǎng)絡(luò)層模式攻擊模式攻擊已知已知web服務(wù)器漏洞服務(wù)器漏洞上傳木馬上傳木馬網(wǎng)頁(yè)篡改網(wǎng)頁(yè)篡改惡意執(zhí)行惡意執(zhí)行注入式攻擊注入式攻擊web服務(wù)器服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器we

8、b應(yīng)用應(yīng)用應(yīng)用服務(wù)器應(yīng)用服務(wù)器防火墻防火墻入侵防御入侵防御（1）讓web服務(wù)癱瘓（2）篡改網(wǎng)頁(yè)：修改網(wǎng)站的頁(yè)面顯示，是相對(duì)比較容易的，也是公眾容易知道的攻擊效果，對(duì)于攻擊者來(lái)說(shuō)，沒(méi)有什么“實(shí)惠”好處，主要是炫耀自己，當(dāng)然對(duì)于政府等網(wǎng)站，形象問(wèn)題是很?chē)?yán)重的。a地運(yùn)營(yíng)商數(shù)據(jù)中心攻擊者（3）掛木馬：這種入侵對(duì)網(wǎng)站不產(chǎn)生直接破壞，而是對(duì)訪問(wèn)網(wǎng)站的用戶進(jìn)行攻擊，掛木馬的最大“實(shí)惠”是收集僵尸網(wǎng)絡(luò)的“肉雞”，一個(gè)知名網(wǎng)站的首頁(yè)傳播木馬的速度是爆炸式的。掛木馬容易被網(wǎng)站管理者發(fā)覺(jué)，xss(跨站攻擊)是新的傾向。攻擊者網(wǎng)頁(yè)掛馬各種頁(yè)面訪問(wèn)僵尸網(wǎng)絡(luò)肉雞受控（4）篡改數(shù)據(jù)三、如何解決web安全-找到解決web安全

9、的鑰匙解決之道：從以下3點(diǎn)入手漏洞風(fēng)險(xiǎn)掃描漏洞風(fēng)險(xiǎn)掃描審計(jì)與防御審計(jì)與防御web頁(yè)面監(jiān)控頁(yè)面監(jiān)控防篡改防掛馬防篡改防掛馬web應(yīng)用開(kāi)發(fā)應(yīng)用開(kāi)發(fā)web應(yīng)用監(jiān)控應(yīng)用監(jiān)控web過(guò)濾網(wǎng)關(guān)過(guò)濾網(wǎng)關(guān)上網(wǎng)行為控制上網(wǎng)行為控制1、預(yù)防：、預(yù)防：在web應(yīng)用系統(tǒng)開(kāi)發(fā)之初，就加強(qiáng)程序的安全設(shè)計(jì)；規(guī)范上網(wǎng)行為、規(guī)范上網(wǎng)內(nèi)容；對(duì)web應(yīng)用的程序文件進(jìn)行監(jiān)控；使用web過(guò)濾網(wǎng)關(guān)，屏蔽web ddos，sql注入等攻擊事件； 2、預(yù)警：、預(yù)警：使用漏洞掃描技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行安全性掃描和潛在風(fēng)險(xiǎn)發(fā)現(xiàn)；使用審計(jì)類及入侵防御類設(shè)備進(jìn)行風(fēng)險(xiǎn)信息的集中收集和匯總； 3、響應(yīng)：、響應(yīng)：通過(guò)使用離線工具或手工對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行連接趨向分析，防

10、止網(wǎng)頁(yè)受到篡改、掛馬，一旦發(fā)現(xiàn)，及時(shí)修復(fù)。根據(jù)告警事件統(tǒng)計(jì)分析，完善防護(hù)策略及時(shí)升級(jí)規(guī)則庫(kù)web應(yīng)用開(kāi)發(fā)web應(yīng)用監(jiān)控頁(yè)面防篡改頁(yè)面防掛馬web過(guò)濾網(wǎng)關(guān)上網(wǎng)實(shí)名制，控制上網(wǎng)行為，屏蔽非法網(wǎng)站，敏感詞字過(guò)濾安全性掃描和潛在風(fēng)險(xiǎn)發(fā)現(xiàn)風(fēng)險(xiǎn)信息的集中收集和匯總四、捷普web安全理念-只有專業(yè)才能給您帶來(lái)最佳體驗(yàn)l網(wǎng)絡(luò)基礎(chǔ)安全部署防火墻進(jìn)行邊界防護(hù)和端口控制部署ips/ids進(jìn)行基本的入侵防御lweb服務(wù)安全部署專業(yè)的web過(guò)濾設(shè)備安裝網(wǎng)頁(yè)監(jiān)控軟件使用專業(yè)的漏洞評(píng)估分析產(chǎn)品定期對(duì)服務(wù)體檢部署信息審計(jì)產(chǎn)品，24小時(shí)無(wú)隙監(jiān)控交互數(shù)據(jù)lweb用戶安全部署流控設(shè)備，對(duì)網(wǎng)內(nèi)用戶進(jìn)行帶寬劃分，提高帶寬使用效率，確保

11、web應(yīng)用帶寬；部署上網(wǎng)行為管理設(shè)備，管住應(yīng)用、管住應(yīng)用帶寬，規(guī)范 web應(yīng)用，確保核心web應(yīng)用帶寬；部署信息審計(jì)產(chǎn)品，24小時(shí)無(wú)隙監(jiān)控外出流量數(shù)據(jù)，確保web內(nèi)容安全1.網(wǎng)絡(luò)基礎(chǔ)、web服務(wù)、web應(yīng)用全面防護(hù)2.捷普為您提供（1）服務(wù)器群組防護(hù)系統(tǒng)內(nèi)置web 防火墻模塊，可以抵御大部分web攻擊，如ddos攻擊、sql注入、xss等；序序類型類型等等級(jí)級(jí)詳細(xì)描述詳細(xì)描述1 1sqlsql注入防護(hù)注入防護(hù)高高通過(guò)向服務(wù)器數(shù)據(jù)庫(kù)注入數(shù)據(jù)來(lái)修改網(wǎng)站內(nèi)容，造成危害通過(guò)向服務(wù)器數(shù)據(jù)庫(kù)注入數(shù)據(jù)來(lái)修改網(wǎng)站內(nèi)容，造成危害2 2xssxss防護(hù)防護(hù)高高跨站腳本編寫(xiě)跨站腳本編寫(xiě)3 3webweb爬蟲(chóng)防護(hù)爬蟲(chóng)

12、防護(hù)中中防止爬蟲(chóng)掃描防止爬蟲(chóng)掃描4 4木馬防護(hù)木馬防護(hù)高高檢測(cè)通信數(shù)據(jù)中是否有可以識(shí)別的木馬特征檢測(cè)通信數(shù)據(jù)中是否有可以識(shí)別的木馬特征5 5常見(jiàn)攻擊防護(hù)常見(jiàn)攻擊防護(hù)中中一類常見(jiàn)的一類常見(jiàn)的httphttp攻擊，如命令執(zhí)行、文件注入、會(huì)話劫持等攻擊，如命令執(zhí)行、文件注入、會(huì)話劫持等6 6httphttp協(xié)議防護(hù)協(xié)議防護(hù)中中非法的編碼、非法的頭結(jié)構(gòu)、緩沖區(qū)溢出非法的編碼、非法的頭結(jié)構(gòu)、緩沖區(qū)溢出7 7服務(wù)器信息隱服務(wù)器信息隱藏藏低低隱藏服務(wù)器返回的一些系統(tǒng)錯(cuò)誤信息，這些信息有可能造成泄露隱藏服務(wù)器返回的一些系統(tǒng)錯(cuò)誤信息，這些信息有可能造成泄露8 8網(wǎng)頁(yè)文件格式網(wǎng)頁(yè)文件格式中中過(guò)濾定義的文件格式過(guò)濾

13、定義的文件格式9 9請(qǐng)求方法防護(hù)請(qǐng)求方法防護(hù)中中可屏蔽不常用，但有安全隱患的可屏蔽不常用，但有安全隱患的httphttp方法方法1010緩沖區(qū)攻擊防緩沖區(qū)攻擊防護(hù)護(hù)中中httphttp協(xié)議頭結(jié)構(gòu)中的緩沖區(qū)可能成為攻擊者攻擊的目標(biāo)，限制其大小可以防協(xié)議頭結(jié)構(gòu)中的緩沖區(qū)可能成為攻擊者攻擊的目標(biāo)，限制其大小可以防止攻擊止攻擊（2）網(wǎng)頁(yè)監(jiān)控軟件，可防止網(wǎng)頁(yè)被掛馬、篡改；基于驅(qū)動(dòng)實(shí)現(xiàn)，可監(jiān)控網(wǎng)頁(yè)修改、刪除、添加，系統(tǒng)資源開(kāi)銷(xiāo)小允許例外，可對(duì)不重要的網(wǎng)頁(yè)放行，可對(duì)可信的進(jìn)程、用戶放行提供網(wǎng)絡(luò)版本、單機(jī)版本支持windows系列，unix系列系統(tǒng)服務(wù)器群組防護(hù)系統(tǒng)功能總覽數(shù)據(jù)庫(kù)操作設(shè)備操作異常行為（3）漏掃

14、系統(tǒng)可以發(fā)現(xiàn)最易遭利用的web漏洞（增強(qiáng)型銷(xiāo)售許可證、國(guó)際cve認(rèn)證）；漏掃評(píng)估系統(tǒng)功能總覽（4）上網(wǎng)行為管理系統(tǒng)采用url過(guò)濾方式規(guī)范網(wǎng)內(nèi)用戶使用互聯(lián)網(wǎng)資源，阻止或減少個(gè)別機(jī)器感染木馬，殃及魚(yú)池；（5）上網(wǎng)行為管理系統(tǒng)對(duì)客戶端準(zhǔn)入檢查，可確保上網(wǎng)機(jī)器基本安全；（6）上網(wǎng)行為管理系統(tǒng)管控郵件、發(fā)帖、http post等內(nèi)部web行為安全，防止員工泄密或發(fā)表不健康、反動(dòng)的言論； 上網(wǎng)行為管理防范信息泄露記錄上網(wǎng)軌跡優(yōu)化帶寬管理強(qiáng)化it管理修復(fù)安全短板內(nèi)置海量url分類，支持url智能識(shí)別和自定義url分類；url關(guān)鍵詞，網(wǎng)頁(yè)關(guān)鍵詞，搜索引擎輸入關(guān)鍵詞過(guò)濾；上傳下載文件類型的識(shí)別和過(guò)濾；qq，ms

15、n，網(wǎng)游，炒股，在線視頻，下載等軟件的封堵；p2p智能識(shí)別，針對(duì)不斷衍生的p2p新應(yīng)用進(jìn)行有效封堵；監(jiān)控訪問(wèn)的網(wǎng)頁(yè)，標(biāo)題，內(nèi)容；監(jiān)控qq，msn等聊天內(nèi)容；記錄郵件標(biāo)題，內(nèi)容，附件等；監(jiān)控用戶所有上網(wǎng)行為；支持特定用戶的免監(jiān)控；多線路智能選路及線路用；p2p智能識(shí)別和流量控制；針對(duì)用戶帶寬通道細(xì)度帶寬劃分和分配多種帶寬限制、帶寬保障策略綜合應(yīng)用，提供全面帶寬優(yōu)化方案特定郵件延遲審計(jì)后再發(fā)送；webmail郵件正文附件的審計(jì)；email標(biāo)題，正文，附件的審計(jì)；特定文件內(nèi)容級(jí)敏感信息審計(jì)；所有上網(wǎng)行為軌跡的記錄；免審計(jì)key及特定用戶群體的免審計(jì)；多維度檢索引擎準(zhǔn)確檢索海量日志；內(nèi)置/外置數(shù)據(jù)存儲(chǔ)

16、中心，海量日志存儲(chǔ)；餅圖，曲線等多種統(tǒng)計(jì)顯示方式；自動(dòng)報(bào)表定期生成，自動(dòng)發(fā)送；web管理，可同時(shí)管理多臺(tái)設(shè)備防內(nèi)/外網(wǎng)dos攻擊；防arp地址欺騙；內(nèi)網(wǎng)代理應(yīng)用的完全封堵；網(wǎng)絡(luò)準(zhǔn)入策略，提升接入互聯(lián)網(wǎng)的客戶機(jī)安全短板管控網(wǎng)絡(luò)應(yīng)用上網(wǎng)行為管理系統(tǒng)功能總覽協(xié)議分析 捕獲重組還原網(wǎng)絡(luò)協(xié)議全面分析網(wǎng)絡(luò)協(xié)議全面分析 內(nèi)容分析 解析縱深檢索全面、高效全面、高效tcpudpicmparpslipppprarpx.25httpsmtp pop3imapftpsnmptelnetdns行為分析 分揀提取跟蹤https netbiosrpc準(zhǔn)確、實(shí)時(shí)準(zhǔn)確、實(shí)時(shí)qqmsngtalk迅雷qq旋風(fēng) bt精靈網(wǎng)頁(yè)郵件共享pplive pp影視酷狗網(wǎng)游網(wǎng)銀深入、細(xì)致深入、細(xì)致gb2312utf-8unicodegbkbase64big5上傳文件 郵件附件 共享文件im文件wordpdf