網(wǎng)站安全檢測(cè)和防護(hù)培訓(xùn)課件

23七月2023網(wǎng)站安全檢測(cè)和防護(hù)培訓(xùn)課件目錄*局?jǐn)?shù)據(jù)管理中心安全管理處2目錄*局?jǐn)?shù)據(jù)管理中心安全管理處3網(wǎng)站安全形勢(shì)*局?jǐn)?shù)據(jù)管理中心安全管理處4境外反共黑客組織自2012年4月起開(kāi)始攻擊我政府網(wǎng)站，截止至今年4月7日，我國(guó)境內(nèi)已有428個(gè)政府網(wǎng)站被篡改攻擊。（一）從攻擊對(duì)象上看政府部門(mén)和教育院校的網(wǎng)站是其主要的攻擊對(duì)象，共有361個(gè)，約占被攻擊網(wǎng)站總數(shù)的84.3%，其中政府部門(mén)網(wǎng)站244個(gè)，約占總數(shù)的57%，教育院校類網(wǎng)站117個(gè)，占總數(shù)的27.3%。網(wǎng)站安全形勢(shì)*局?jǐn)?shù)據(jù)管理中心安全管理處5（二）從被攻擊網(wǎng)站的行政層看中央部委和直屬單位、省級(jí)政府部門(mén)網(wǎng)站有69個(gè)，約占總數(shù)的16.2%；地市級(jí)政府部門(mén)網(wǎng)站有72個(gè)，約占總數(shù)的16.8%；區(qū)縣級(jí)政府部門(mén)網(wǎng)站和企事業(yè)單位網(wǎng)站共有287個(gè)，約占總數(shù)的67%。（三）從被攻擊網(wǎng)站的地域范圍看地域較分散，涉及全國(guó)27個(gè)地區(qū)，北京、廣東、廣西、浙江、江蘇5個(gè)地區(qū)共有213個(gè)，約占總數(shù)的50%。網(wǎng)站安全形勢(shì)（四）攻擊方式和手段看黑客反偵察意識(shí)較強(qiáng)，主要利用肉雞、跳板被隱藏攻擊源，對(duì)我網(wǎng)站進(jìn)行發(fā)散式攻擊，在獲取網(wǎng)站控制權(quán)后，預(yù)埋后門(mén)程序，定期進(jìn)行攻擊篡改；黑客攻擊所利用的漏洞，主要包括struts2漏洞，SQL注入漏洞，F(xiàn)ckeditor網(wǎng)頁(yè)編輯器漏洞和建站程序漏洞等。*局?jǐn)?shù)據(jù)管理中心安全管理處6網(wǎng)站安全存在的突出問(wèn)題安全責(zé)任不落實(shí)上線前無(wú)安全檢測(cè)和審批防范措施缺失應(yīng)急保證措施缺失*局?jǐn)?shù)據(jù)管理中心安全管理處7常見(jiàn)網(wǎng)站攻擊動(dòng)機(jī)*局?jǐn)?shù)據(jù)管理中心安全管理處8惡作??；關(guān)閉Web站點(diǎn)，拒絕正常服務(wù)；篡改Web網(wǎng)頁(yè)，損害企業(yè)名譽(yù)；免費(fèi)瀏覽收費(fèi)內(nèi)容；盜竊用戶隱私信息，例如Email；以用戶身份登錄執(zhí)行非法操作，從而獲取暴利；以此為跳板攻擊企業(yè)內(nèi)網(wǎng)其他系統(tǒng)；網(wǎng)頁(yè)掛木馬，攻擊訪問(wèn)網(wǎng)頁(yè)的特定用戶群；仿冒系統(tǒng)發(fā)布方，誘騙用戶執(zhí)行危險(xiǎn)操作，例如用木馬替換正常下載文件，要求用戶匯款等；……常用的掛馬exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-001目錄*局?jǐn)?shù)據(jù)管理中心安全管理處9統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況*局?jǐn)?shù)據(jù)管理中心安全管理處10目錄*局?jǐn)?shù)據(jù)管理中心安全管理處11國(guó)家局網(wǎng)站安全檢查機(jī)制*局?jǐn)?shù)據(jù)管理中心安全管理處12國(guó)家局檢查機(jī)制（上線前檢查）*局?jǐn)?shù)據(jù)管理中心安全管理處13以風(fēng)險(xiǎn)為導(dǎo)向WEB遍歷模擬黑客進(jìn)行無(wú)害的攻擊滲透通過(guò)各類測(cè)試用例對(duì)網(wǎng)站進(jìn)行測(cè)試通過(guò)各類已知和未知木馬進(jìn)行檢測(cè)深度掃描滲透測(cè)試黑盒檢測(cè)木馬檢測(cè)網(wǎng)站漏洞掃描幾種主要方法掃描結(jié)果事例*局?jǐn)?shù)據(jù)管理中心安全管理處15統(tǒng)計(jì)系統(tǒng)網(wǎng)站漏洞分布情況*局?jǐn)?shù)據(jù)管理中心安全管理處16OWASP(開(kāi)放式Web應(yīng)用程序安全項(xiàng)目)對(duì)注入漏洞的定義*局?jǐn)?shù)據(jù)管理中心安全管理處17注入漏洞Sql注入SQl注入（SQLInjection）技術(shù)在國(guó)外最早出現(xiàn)在1999年，我國(guó)在2002年后開(kāi)始大量出現(xiàn)。SQL注入是針對(duì)一種數(shù)據(jù)庫(kù)而言的，而不是針對(duì)網(wǎng)頁(yè)語(yǔ)言。在任何使用了數(shù)據(jù)庫(kù)查詢環(huán)境下都可能存在造成SQL注入攻擊漏洞的原因，是由于程序在編寫(xiě)WEB程序時(shí)，沒(méi)有對(duì)瀏覽器端提交的參數(shù)進(jìn)行嚴(yán)格的過(guò)濾和判斷。用戶可以修改構(gòu)造參數(shù)，提交SQL查詢語(yǔ)句，并傳遞至服務(wù)端，從而獲取想要的敏感信息，甚至執(zhí)行危險(xiǎn)的代碼或系統(tǒng)命令。*局?jǐn)?shù)據(jù)管理中心安全管理處18

在網(wǎng)站管理登錄頁(yè)面要求帳號(hào)密碼認(rèn)證時(shí)，如果攻擊者在“UserID”輸入框內(nèi)輸入“admin”，在密碼框里輸入“anything’or1=’1’”提交頁(yè)面后，查詢的SQL語(yǔ)句就變成了：

Selectfromuserwhereusername=‘a(chǎn)dmin’andpassword=’anything’or1=’1’不難看出，由于“1=‘1’”是一個(gè)始終成立的條件，判斷返回為“真”，密碼的限制形同虛設(shè)，不管用戶的密碼是不是Anything，他都可以以admin的身份遠(yuǎn)程登錄，獲得后臺(tái)管理權(quán)，在網(wǎng)站上發(fā)布任何信息。Sql注入攻擊舉例Sql注入主要危害：[1]未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫(kù)中的數(shù)據(jù)。[2]惡意篡改網(wǎng)頁(yè)內(nèi)容。[3]私自添加系統(tǒng)帳號(hào)或者是數(shù)據(jù)庫(kù)使用者帳號(hào)。[4]網(wǎng)頁(yè)掛馬。[5]與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。*局?jǐn)?shù)據(jù)管理中心安全管理處20解決方案[1]所有的查詢語(yǔ)句都使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢接口[2]對(duì)進(jìn)入數(shù)據(jù)庫(kù)的特殊字符（‘“\尖括號(hào)&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換；[3]嚴(yán)格限制變量類型;[4]數(shù)據(jù)長(zhǎng)度應(yīng)該嚴(yán)格規(guī)定；[5]網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一；[6]嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫(kù)的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫(kù)的危害。*局?jǐn)?shù)據(jù)管理中心安全管理處21解決方案[7]避免網(wǎng)站顯示SQL錯(cuò)誤信息，比如類型錯(cuò)誤、字段不匹配等，防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。[8]確認(rèn)PHP配置文件中的Magic_quotes_gpc選項(xiàng)保持開(kāi)啟。[9]在部署你的應(yīng)用前，始終要做安全審評(píng)(securityreview)。建立一個(gè)正式的安全過(guò)程(formalsecurityprocess)，在每次你做更新時(shí)，對(duì)所有的編碼做審評(píng)。后面一點(diǎn)特別重要。不論是發(fā)布部署應(yīng)用還是更新應(yīng)用，請(qǐng)始終堅(jiān)持做安全審評(píng)。[10]千萬(wàn)別把敏感性數(shù)據(jù)在數(shù)據(jù)庫(kù)里以明文存放。[11]使用第三方WEB防火墻來(lái)加固整個(gè)網(wǎng)站系統(tǒng)。*局?jǐn)?shù)據(jù)管理中心安全管理處22鏈接注入鏈接注入是將某個(gè)URL嵌入到被攻擊的網(wǎng)站上，進(jìn)而修改站點(diǎn)頁(yè)面。被嵌入的URL包含惡意代碼，可能竊取正常用戶的用戶名、密碼，也可能竊取或操縱認(rèn)證會(huì)話，以合法用戶的身份執(zhí)行相關(guān)操作。主要危害：[1]獲取其他用戶Cookie中的敏感數(shù)據(jù)。[2]屏蔽頁(yè)面特定信息。[3]偽造頁(yè)面信息。[4]拒絕服務(wù)攻擊。[5]突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置。*局?jǐn)?shù)據(jù)管理中心安全管理處23解決方案過(guò)濾客戶端提交的危險(xiǎn)字符，客戶端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等，其中危險(xiǎn)字符如下：|、&、;、$、%、@、‘、“、<>、()、+、CR、LF、,、.、script、document、eval*局?jǐn)?shù)據(jù)管理中心安全管理處24跨站腳本跨站點(diǎn)腳本（XSS）是針對(duì)其他用戶的重量級(jí)攻擊。如果一個(gè)應(yīng)用程序使用動(dòng)態(tài)頁(yè)面向用戶顯示錯(cuò)誤消息，就會(huì)造成一種常見(jiàn)的XSS漏洞。三部曲：1.HTML注入。2.做壞事。3.誘捕受害者。*局?jǐn)?shù)據(jù)管理中心安全管理處25跨站腳本*局?jǐn)?shù)據(jù)管理中心安全管理處26舉個(gè)例子說(shuō)明原理：

如攻擊者可在目標(biāo)服務(wù)器的留言本中加入如下代碼：

<script>function()</script>

則存在跨站腳本漏洞的網(wǎng)站就會(huì)執(zhí)行攻擊者的function()?？缯灸_本[1]獲取其他用戶Cookie中的敏感數(shù)據(jù)。[2]屏蔽頁(yè)面特定信息。[3]偽造頁(yè)面信息。[4]拒絕服務(wù)攻擊。[5]突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置。[6]與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。*局?jǐn)?shù)據(jù)管理中心安全管理處27“微博病毒”攻擊事件2011年6月28日晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動(dòng)發(fā)送諸如：“郭美美事件的一些未注意到的細(xì)節(jié)”，“建黨大業(yè)中穿幫的地方”等等微博和私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶。*局?jǐn)?shù)據(jù)管理中心安全管理處28解決方案開(kāi)發(fā)語(yǔ)言的建議_嚴(yán)格控制輸入：Asp：requestAspx：Request.QueryString、FormCookies、SeverVaiables等Php：$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等Jsp：request.getParameter、request.getCookies等嚴(yán)格限制提交的數(shù)據(jù)長(zhǎng)度、類型、字符集。*局?jǐn)?shù)據(jù)管理中心安全管理處29解決方案開(kāi)發(fā)語(yǔ)言的建議_嚴(yán)格控制輸出：HtmlEncode：對(duì)一段指定的字符串應(yīng)用HTML編碼。UrlEncode：對(duì)一段指定的字符串URL編碼。XmlEncode：將在XML中使用的輸入字符串編碼。XmlAttributeEncode：將在XML屬性中使用的輸入字符串編碼escape：函數(shù)可對(duì)字符串進(jìn)行編碼decodeURIComponent：返回統(tǒng)一資源標(biāo)識(shí)符的一個(gè)已編碼組件的非編碼形式。encodeURI：將文本字符串編碼為一個(gè)有效的統(tǒng)一資源標(biāo)識(shí)符(URI)。*局?jǐn)?shù)據(jù)管理中心安全管理處30目錄*局?jǐn)?shù)據(jù)管理中心安全管理處31網(wǎng)站安全防護(hù)一、管理層面二、技術(shù)層面1、硬件防護(hù)2、軟件防護(hù)*局?jǐn)?shù)據(jù)管理中心安全管理處32*局?jǐn)?shù)據(jù)管理中心安全管理處33網(wǎng)站攻擊防護(hù)，如SQL注入、XSS攻擊、CSRF攻擊、網(wǎng)頁(yè)木馬、網(wǎng)站掃描、操作系統(tǒng)命令攻擊、文件包含漏洞攻擊、目錄遍歷攻擊和信息泄露攻擊應(yīng)用隱藏，用于隱藏應(yīng)用服務(wù)器的版本信息，防止攻擊者根據(jù)版本信息查找相應(yīng)的漏洞口令防護(hù)，用于防止攻擊者暴力破解用戶口令，獲取用戶權(quán)限權(quán)限控制，用于防止上傳惡意文件到服務(wù)器和對(duì)正在維護(hù)的URL目錄進(jìn)行保護(hù)登錄防護(hù)、HTTP異常檢測(cè)、CC攻擊防護(hù)、網(wǎng)站掃描防護(hù)、緩沖區(qū)溢出檢測(cè)DLP服務(wù)器數(shù)據(jù)防泄密，針對(duì)日益嚴(yán)重服務(wù)器數(shù)據(jù)泄密事件網(wǎng)站安全防護(hù)內(nèi)容*局?jǐn)?shù)據(jù)管理中心安全管理處341、替換整個(gè)網(wǎng)頁(yè)2、插入新鏈接3、替換網(wǎng)站圖片文件（最常見(jiàn)）4、小規(guī)模編輯網(wǎng)頁(yè)（僅精確）5、因網(wǎng)站運(yùn)行出錯(cuò)導(dǎo)致結(jié)構(gòu)畸變6、新增一個(gè)網(wǎng)頁(yè)7、刪除一個(gè)網(wǎng)頁(yè)可能與網(wǎng)頁(yè)篡改有關(guān)的網(wǎng)站變化網(wǎng)頁(yè)防篡改*局?jǐn)?shù)據(jù)管理中心安全管理處35網(wǎng)頁(yè)防篡改流程第一步：抓取正常網(wǎng)頁(yè)內(nèi)容并緩存第二步：對(duì)比客戶獲取網(wǎng)頁(yè)與緩存網(wǎng)頁(yè)第三步：出現(xiàn)網(wǎng)頁(yè)篡改1.還原網(wǎng)站，客戶訪問(wèn)的結(jié)果和原來(lái)一樣2.返回維護(hù)頁(yè)面，維護(hù)頁(yè)面可以默認(rèn)的，或者自定義html頁(yè)面，或者重定向篡改前頁(yè)面或者重定向到某個(gè)站點(diǎn)目錄*局?jǐn)?shù)據(jù)管理中心安全管理處36安全檢查工作《國(guó)家統(tǒng)計(jì)局辦公室關(guān)于開(kāi)展全國(guó)統(tǒng)計(jì)系統(tǒng)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站安全檢查工作的通知》（國(guó)統(tǒng)辦數(shù)管字〔2015〕39號(hào)）開(kāi)展安全檢查工作。根據(jù)公安部《關(guān)于開(kāi)展國(guó)家級(jí)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站安全執(zhí)法檢查工作的通知》（公傳發(fā)〔2015〕253號(hào)）要求，國(guó)家統(tǒng)計(jì)局將在全國(guó)統(tǒng)計(jì)系統(tǒng)組織開(kāi)展國(guó)家級(jí)重要統(tǒng)計(jì)信息系統(tǒng)和重點(diǎn)網(wǎng)站安全檢查工作。*局