03網(wǎng)絡(luò)應(yīng)用安全檢測和防護

2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處1網(wǎng)站安全檢測和防護劉唯墨國家統(tǒng)計局?jǐn)?shù)管中心安全管理處2015年7月16日2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處2目錄網(wǎng)站安全形勢統(tǒng)計系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測網(wǎng)站安全防護安全檢查工作2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處3目錄網(wǎng)站安全形勢統(tǒng)計系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測網(wǎng)站安全防護安全檢查工作網(wǎng)站安全形勢2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處4境外反共黑客組織自2012年4月起開始攻擊我政府網(wǎng)站，截止至今年4月7日，我國境內(nèi)已有428個政府網(wǎng)站被篡改攻擊。（一）從攻擊對象上看

政府部門和教育院校的網(wǎng)站是其主要的攻擊對象，共有361個，約占被攻擊網(wǎng)站總數(shù)的84.3%，其中政府部門網(wǎng)站244個，約占總數(shù)的57%，教育院校類網(wǎng)站117個，占總數(shù)的27.3%。網(wǎng)站安全形勢2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處5（二）從被攻擊網(wǎng)站的行政層看中央部委和直屬單位、省級政府部門網(wǎng)站有69個，約占總數(shù)的16.2%；地市級政府部門網(wǎng)站有72個，約占總數(shù)的16.8%；區(qū)縣級政府部門網(wǎng)站和企事業(yè)單位網(wǎng)站共有287個，約占總數(shù)的67%。（三）從被攻擊網(wǎng)站的地域范圍看地域較分散，涉及全國27個地區(qū)，北京、廣東、廣西、浙江、江蘇5個地區(qū)共有213個，約占總數(shù)的50%。網(wǎng)站安全形勢（四）攻擊方式和手段看

黑客反偵察意識較強，主要利用肉雞、跳板被隱藏攻擊源，對我網(wǎng)站進行發(fā)散式攻擊，在獲取網(wǎng)站控制權(quán)后，預(yù)埋后門程序，定期進行攻擊篡改；黑客攻擊所利用的漏洞，主要包括struts2漏洞，SQL注入漏洞，F(xiàn)ckeditor網(wǎng)頁編輯器漏洞和建站程序漏洞等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處6網(wǎng)站安全存在的突出問題安全責(zé)任不落實上線前無安全檢測和審批防范措施缺失應(yīng)急保證措施缺失2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處72025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處8惡作?。魂P(guān)閉Web站點，拒絕正常服務(wù)；篡改Web網(wǎng)頁，損害企業(yè)名譽；免費瀏覽收費內(nèi)容；盜竊用戶隱私信息，例如Email；以用戶身份登錄執(zhí)行非法操作，從而獲取暴利；以此為跳板攻擊企業(yè)內(nèi)網(wǎng)其他系統(tǒng)；網(wǎng)頁掛木馬，攻擊訪問網(wǎng)頁的特定用戶群；仿冒系統(tǒng)發(fā)布方，誘騙用戶執(zhí)行危險操作，例如用木馬替換正常下載文件，要求用戶匯款等；……常用的掛馬exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-001常見網(wǎng)站攻擊動機2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處9目錄網(wǎng)站安全形勢統(tǒng)計系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測網(wǎng)站安全防護安全檢查工作統(tǒng)計系統(tǒng)網(wǎng)站情況2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處102025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處11目錄網(wǎng)站安全形勢統(tǒng)計系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測網(wǎng)站安全防護安全檢查工作國家局網(wǎng)站安全檢查機制2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處12網(wǎng)站列表聯(lián)網(wǎng)直報系統(tǒng)國家局門戶網(wǎng)站司級網(wǎng)站省級、地市級統(tǒng)計局門戶網(wǎng)站……檢查周期每月每季度每半年……漏洞檢查非報送期非工作時間漏洞確認(rèn)跨站腳本SQL注入……安全風(fēng)險提示單《安全事件通知書》《安全風(fēng)險提示單》復(fù)測整改結(jié)束之后進行復(fù)測國家局檢查機制（上線前檢查）2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處13以風(fēng)險為導(dǎo)向WEB遍歷模擬黑客進行無害的攻擊滲透通過各類測試用例對網(wǎng)站進行測試通過各類已知和未知木馬進行檢測深度掃描滲透測試黑盒檢測木馬檢測網(wǎng)站漏洞掃描幾種主要方法掃描結(jié)果事例2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處15統(tǒng)計系統(tǒng)網(wǎng)站漏洞分布情況2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處16OWASP(開放式Web應(yīng)用程序安全項目)對注入漏洞的定義2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處17注入漏洞Sql注入SQl注入（SQLInjection）技術(shù)在國外最早出現(xiàn)在1999年，我國在2002年后開始大量出現(xiàn)。SQL注入是針對一種數(shù)據(jù)庫而言的，而不是針對網(wǎng)頁語言。在任何使用了數(shù)據(jù)庫查詢環(huán)境下都可能存在造成SQL注入攻擊漏洞的原因，是由于程序在編寫WEB程序時，沒有對瀏覽器端提交的參數(shù)進行嚴(yán)格的過濾和判斷。用戶可以修改構(gòu)造參數(shù)，提交SQL查詢語句，并傳遞至服務(wù)端，從而獲取想要的敏感信息，甚至執(zhí)行危險的代碼或系統(tǒng)命令。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處18

在網(wǎng)站管理登錄頁面要求帳號密碼認(rèn)證時，如果攻擊者在“UserID”輸入框內(nèi)輸入“admin”，在密碼框里輸入“anything’or1=’1’”提交頁面后，查詢的SQL語句就變成了：

Selectfromuserwhereusername=‘a(chǎn)dmin’andpassword=’anything’or1=’1’不難看出，由于“1=‘1’”是一個始終成立的條件，判斷返回為“真”，密碼的限制形同虛設(shè)，不管用戶的密碼是不是Anything，他都可以以admin的身份遠(yuǎn)程登錄，獲得后臺管理權(quán)，在網(wǎng)站上發(fā)布任何信息。Sql注入攻擊舉例Sql注入主要危害：[1]未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫中的數(shù)據(jù)。[2]惡意篡改網(wǎng)頁內(nèi)容。[3]私自添加系統(tǒng)帳號或者是數(shù)據(jù)庫使用者帳號。[4]網(wǎng)頁掛馬。[5]與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處20解決方案[1]所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口[2]對進入數(shù)據(jù)庫的特殊字符（‘“\尖括號&*;等）進行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換；[3]嚴(yán)格限制變量類型;[4]數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定；[5]網(wǎng)站每個數(shù)據(jù)層的編碼統(tǒng)一；[6]嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處21解決方案[7]避免網(wǎng)站顯示SQL錯誤信息，比如類型錯誤、字段不匹配等，防止攻擊者利用這些錯誤信息進行一些判斷。[8]確認(rèn)PHP配置文件中的Magic_quotes_gpc選項保持開啟。

[9]在部署你的應(yīng)用前，始終要做安全審評(securityreview)。建立一個正式的安全過程(formalsecurityprocess)，在每次你做更新時，對所有的編碼做審評。后面一點特別重要。不論是發(fā)布部署應(yīng)用還是更新應(yīng)用，請始終堅持做安全審評。[10]千萬別把敏感性數(shù)據(jù)在數(shù)據(jù)庫里以明文存放。[11]使用第三方WEB防火墻來加固整個網(wǎng)站系統(tǒng)。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處22鏈接注入鏈接注入是將某個URL嵌入到被攻擊的網(wǎng)站上，進而修改站點頁面。被嵌入的URL包含惡意代碼，可能竊取正常用戶的用戶名、密碼，也可能竊取或操縱認(rèn)證會話，以合法用戶的身份執(zhí)行相關(guān)操作。主要危害：[1]獲取其他用戶Cookie中的敏感數(shù)據(jù)。[2]屏蔽頁面特定信息。[3]偽造頁面信息。[4]拒絕服務(wù)攻擊。[5]突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處23解決方案過濾客戶端提交的危險字符，客戶端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等，其中危險字符如下：|、&、;、$、%、@、‘、“、<>、()、+、CR、LF、,、.、script、document、eval2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處24跨站腳本跨站點腳本（XSS）是針對其他用戶的重量級攻擊。如果一個應(yīng)用程序使用動態(tài)頁面向用戶顯示錯誤消息，就會造成一種常見的XSS漏洞。三部曲：1.HTML注入。2.做壞事。3.誘捕受害者。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處252025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處26跨站腳本舉個例子說明原理：

如攻擊者可在目標(biāo)服務(wù)器的留言本中加入如下代碼：

<script>function()</script>

則存在跨站腳本漏洞的網(wǎng)站就會執(zhí)行攻擊者的function()?？缯灸_本[1]獲取其他用戶Cookie中的敏感數(shù)據(jù)。[2]屏蔽頁面特定信息。[3]偽造頁面信息。[4]拒絕服務(wù)攻擊。[5]突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置。[6]與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處27“微博病毒”攻擊事件2011年6月28日晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動發(fā)送諸如：“郭美美事件的一些未注意到的細(xì)節(jié)”，“建黨大業(yè)中穿幫的地方”等等微博和私信，并自動關(guān)注一位名為hellosamy的用戶。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處28解決方案開發(fā)語言的建議_嚴(yán)格控制輸入：

Asp：requestAspx：Request.QueryString、FormCookies、SeverVaiables等

Php：$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等Jsp：request.getParameter、request.getCookies等嚴(yán)格限制提交的數(shù)據(jù)長度、類型、字符集。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處29解決方案開發(fā)語言的建議_嚴(yán)格控制輸出：

HtmlEncode：對一段指定的字符串應(yīng)用HTML編碼。

UrlEncode：對一段指定的字符串URL編碼。

XmlEncode：將在XML中使用的輸入字符串編碼。

XmlAttributeEncode：將在XML屬性中使用的輸入字符串編碼

escape：函數(shù)可對字符串進行編碼

decodeURIComponent：返回統(tǒng)一資源標(biāo)識符的一個已編碼組件的非編碼形式。

encodeURI：將文本字符串編碼為一個有效的統(tǒng)一資源標(biāo)識符(URI)。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處302025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處31目錄網(wǎng)站安全形勢統(tǒng)計系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測網(wǎng)站安全防護安全檢查工作網(wǎng)站安全防護一、管理層面二、技術(shù)層面1、硬件防護2、軟件防護2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處322025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處33網(wǎng)站攻擊防護，如SQL注入、XSS攻擊、CSRF攻擊、網(wǎng)頁木馬、網(wǎng)站掃描、操作系統(tǒng)命令攻擊、文件包含漏洞攻擊、目錄遍歷攻擊和信息泄露攻擊應(yīng)用隱藏，用于隱藏應(yīng)用服務(wù)器的版本信息，防止攻擊者根據(jù)版本信息查找相應(yīng)的漏洞口令防護，用于防止攻擊者暴力破解用戶口令，獲取用戶權(quán)限權(quán)限控制，用于防止上傳惡意文件到服務(wù)器和對正在維護的URL目錄進行保護登錄防護、HTTP異常檢測、CC攻擊防護、網(wǎng)站掃描防護、緩沖區(qū)溢出檢測DLP服務(wù)器數(shù)據(jù)防泄密，針對日益嚴(yán)重服務(wù)器數(shù)據(jù)泄密事件網(wǎng)站安全防護內(nèi)容2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處341、替換整個網(wǎng)頁2、插入新鏈接3、替換網(wǎng)站圖片文件（最常見）4、小規(guī)模編輯網(wǎng)頁（僅精確）5、因網(wǎng)站運行出錯導(dǎo)致結(jié)構(gòu)畸變6、新增一個網(wǎng)頁7、刪除一個網(wǎng)頁可能與網(wǎng)頁篡改有關(guān)的網(wǎng)站變化網(wǎng)頁防篡改2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處35網(wǎng)頁防篡改流程第一步：抓取正常網(wǎng)頁內(nèi)容并緩存第二步：對比客戶獲取網(wǎng)頁與緩存網(wǎng)頁第三步：出現(xiàn)網(wǎng)頁篡改1.還原網(wǎng)站，客戶訪問的結(jié)果和原來一樣2.返回維護頁面，維護頁面可以默認(rèn)的，或者自定義html頁面，或者重定向篡改前頁面或者重定向到某個站點2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處36目錄網(wǎng)站安全形勢統(tǒng)計系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測網(wǎng)站安全防護安全檢查工作安全檢查工作《國家統(tǒng)計局辦公室關(guān)于開展全國統(tǒng)計系統(tǒng)重要信息系統(tǒng)和重點網(wǎng)站安全檢查工作的通知》（國統(tǒng)辦數(shù)管字〔2015〕39號）開展安全檢查工作。根據(jù)公安部《關(guān)于開展國家級重要信息系統(tǒng)和重點網(wǎng)站安全執(zhí)法檢查工作的通知》（公傳發(fā)〔2015〕253號）要求，國家統(tǒng)計局將在全國統(tǒng)計系統(tǒng)組織開展國家級重要統(tǒng)計信息系統(tǒng)和重點網(wǎng)站安全檢查工作。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處372025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處38安全檢查工作安全檢查工作根據(jù)《國家統(tǒng)計局辦公室關(guān)于開展全國統(tǒng)計系統(tǒng)重要信息系統(tǒng)和重點網(wǎng)站安全檢查工作的通知》（國統(tǒng)辦數(shù)管字〔2015〕39號）要求，國家統(tǒng)計局將組成檢查組，對部分單位開展現(xiàn)場檢查工作。

檢查內(nèi)容通知的落實情況、自查工作的組織開展情況、等級保護工作開展和自查發(fā)現(xiàn)的問題及安全隱患等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處39安全檢查工作檢查形式（一）遠(yuǎn)程檢查。（二）現(xiàn)場檢查。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處40結(jié)束語要清醒認(rèn)識我們面臨的威脅，搞清楚哪些是潛在的，哪些是現(xiàn)實的，哪些可能變成真正的攻擊，哪些可以通過政治經(jīng)濟外交等手段予以化解；哪些需要密切監(jiān)視防患于未然，哪些必須全力予以打擊；哪些可能造成不可彌補的損失，哪些損失可以容忍，減少不計成本的過度防范。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處412025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處42謝謝687832579、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Monday,March3,202510、人的志向通常和他們的能力成正比例。17:23:0617:23:0617:233/3/20255:23:06PM11、夫?qū)W須志也，才須學(xué)也