CISP-Web与数据库安全管理

1、Web与数据库安全管理与数据库安全管理中国信息安全测评中心2008年11月目录目录一 Web应用安全基础1.Web应用介绍2.HTTP协议3.Web应用主要安全威胁二数据库安全1.数据库相关介绍2.数据库安全标准3.数据库面临哪些安全威胁4.如何保护数据库安全“不是敌人就是朋友”“不是朋友就是敌人”目录目录1. web应用介绍2. HTTP协议3. Web应用主要安全威胁什么是什么是web应用程序应用程序A web application or web service is a software application that is accessible using a web browse

2、r or HTTP(s) user agent.Web应用程序或web服务是一个通过浏览器或HTTP agent来访问的软件程序Web应用程序应用程序典型典型web应用应用 电子商务 网上银行 网上商户 网上支付 电子政务 信息门户，办公OA，政府采购，电子公文，网上审批，决策支持，协同办公典型典型Web 应用系统架构应用系统架构Web服务器服务器数据库数据库数据库数据库Web 应用应用Web 应用应用Web 应用应用Web 应用应用HTTP请求（明文或SSL）HTTP响应（HTML、JavaScript，VBScript等）插件：PerlC/C+JSP等数据库连接：ADO,ODBC等SQL数

3、据库ApacheIISNetscape等防火墙Web客户端客户端Web应用组成应用组成 客户端 浏览器 HTTP agent HTTP协议 Web服务器 中间件服务器 数据库服务器 HTML Javascript 浏览器扩展（activex）目录目录1. web应用介绍2. HTTP协议3. Web应用主要安全威胁HTTP协议协议目录目录1. web应用介绍2. HTTP协议3. Web应用主要安全威胁web应用安全威胁应用安全威胁神话：神话：“我们的网站是安全的我们的网站是安全的” “我们使用了网络扫描工具” 网络扫描工具不懂应用，不能彻底提高web应用安全性 “我们已经使用了防火墙” 为了

4、保证正常访问，80和443商品始终要开放 “我们使用了SSL加密数据” 仅仅保护了交互数据，并没有保护web应用本身 “我们每个季度都进行渗透测试” 应用在不断的变更之中web应用安全在哪？应用安全在哪？(WASC)OWASP top 10十大安全威胁十大安全威胁1.跨站脚本攻击(XSS)2.注入缺陷a) SQL注入, XPATH注入3.恶意文件执行 (远程文件包含)4.不安全的直接对象引用 (Parameter tampering)5.跨站请求伪造 (CSRF)6.信息泄露和错误处理不当7.身份验证和会话管理缺陷8.不安全的加密存储9.通信安全10. 验证绕过跨站脚本攻击跨站脚本攻击 “XS

5、S flaws occur whenever an application takes user supplied data and sends it to a web browser without first validating or encoding that content. XSS allows attackers to execute script in the victims browser which can hijack user sessions, deface web sites, possibly introduce worms, etc.” Web应用把用户输入的未

6、经过滤或编码的数据直接发送给浏览器。XSS会导致攻击者在受害者的浏览器中执行脚本程序，这些脚本程序可以劫持用户的会话、修改网页甚至传播蠕虫。 JavaScript, VBScript, ActiveX, HTML, or Flash都可以注入到存在漏洞的web应用 网页挂马 钓鱼攻击XSS攻击攻击XSS攻击攻击XSS的危害的危害 从你下在浏览的域中偷到你的信息 完全修改你看到的页面内容 从现在开始，跟踪你在浏览器中的每一个动作 把你重定向到一个恶意站点 利用浏览器的漏洞控制你的机器阻止阻止XSS攻击攻击 显示用户输入的数据时进行转义 转义成无害的html字符 变成 <script

7、> 仍然会显示成 过滤程序的正确编写 过滤基于所有允许的字符，而不是基于“恶意”字符 如: 只接收 A, B, C or 1,2,3 新出现的编码方案可以绕过基于“恶意”字符的过滤程序 XSS cheat sheet : /xss.html永久跨站脚本永久跨站脚本什么是什么是SQL注入注入The ability to inject SQL commands into the database enginethrough an existing application产生的原因产生的原因 网络应用接受用户的输入提高交互性 用户登录 查询 输入的数

8、据未经过滤 用户登录： $sql=“Select * From users Where username=” . $account . “AND” . “passwd=“ . $passwd . “”; $Account=foo, $passwd=bar $sql=“Select * From Users Where username=foo AND passwd=bar”;How it works?$sql = “Select * From users Where” . “username=” . $account . “AND” . “passwd=“ . $passwd . “”;$ac

9、count = foo, $passwd = bar OR 1=1$sql = “Select * From users Where username=foo AND passwd=bar OR 1=1”; How it works?$sql = “Select * From users Where” . “username=” . $account . “AND” . “passwd=“ . $passwd . “”;$account = foo OR 1=1#, $passwd = blah$sql = “Select * From users Where username=foo OR

10、1=1 # AND passwd=blah”;一个更恶意的一个更恶意的SQL注入注入$sql=“Select prodinfo From prodtable Where prodname=” . $prodname . “”; 提交如下的数据：blah; DROP TABLE prodinfo;#$sql=“Select prodinfo From prodtable Where prodname=blah;DROP TABLE prodinfo;#”语句1: Select prodinfo From prodtable Where prodname=blah;语句2: DROP TABLE

11、prodinfo;#!prodinfo表被删除表被删除!更严重的后果更严重的后果 创建windows账号 SELECT * FROM users WHERE login = ; exec master.xp_cmdshell net users username password /add;- and password= 添加到administrator组: SELECT * FROM users WHERE login = ; exec master.xp_cmdshell net localgroup Administrators username /add;- and password=

12、 SQL Injection examples are outlined in: http:/ http:/ * from clients Where” . “account=$acc AND” . “pin=$pin”;$acc = 1 or 1=1# $pin = 1111Select * From clients Where account = 1 OR 1=1 # AND pin=1111SQL注入字符注入字符 or “ 字符串表示符 - or # 单行注释 /*/ 多行注释 + 加，字符串连接运算符 % 通配符SQL注入的后果注入的后果 最好的结果 泄露一些重要信息 数据库信息 表信

13、息 列信息 数据导出 导出库中的数据 控制主机 控制运行数据库的主机SQL注入的防范方法注入的防范方法 参数过滤 ,”,select,drop,update 类型检查 数据库设置合理的权限，最小权限原则 OR映射Cross Site Request Forgery (CSRF)From /index.php/Top_10_2007 :“A CSRF attack forces a logged-on victims browser to send a pre-authenticated request to a vulnerable web applica

14、tion, which then forces the victims browser to perform a hostile action to the benefit of the attacker. CSRF can be as powerful as the web application that it attacks. “一个CSRF袭击迫使某个登录的浏览器向易受攻击的Web应用发送一个请求，然后以受害者的名义，为入侵者的利益进行所选择的行动 Cross-Site Request ForgeryCSRF例子例子 攻击者在某个BBS上发布了一个图片链接 受害者成功登录了网上银行 受

15、害者然后访问了该论坛 受害者的浏览器发出了到银行站点的请求 银行的web应用把钱转到了攻击者的账号CSRF解决方案解决方案 加入二次验证机制 修复XSS漏洞 关键操作要求确认 使用POST方法提交数据信息泄露和错误处理不当信息泄露和错误处理不当 任何泄露给攻击者的信息都可能被使用 软件版本 使用的技术 物理路径 应用程序/数据库错误信息 服务器默认配置信息 可能会被搜索引擎索引到的信息应用程序错误信息应用程序错误信息ERROR credit-card-db (MySqlSystem.java:1331) - Invalid column namejava.sql.SQLException: I

16、nvalid column name social_security_numbre: select username, password, ssn from users where id = ? sun.jdbc.rowset.CachedRowSet.getColIdxByName(CachedRowSet.java:1383) at com.mysql.Driver.MySQLDriver.a(MySQLDriver.java:2531) at sun.jdbc.rowset.CachedRowSet.getString(CachedRowSet.java:2167) at com.ppe

17、.db.MySqlSystem.getReciPaying(MySqlSystem.java:1318) at control.action.FindUserAction.perform(FindKeyUserAction.java:81) at org.apache.struts.action.ActionScessActionPerform(ActionServlet) at org.apache.struts.action.ActionScess(ActionServlet.java:1586) at org.apache.struts.actio

18、n.ActionServlet.doGet(ActionServlet.java:492) at javax.servlet.http.HttpServlet.service(HttpServlet.java:740) at javax.servlet.http.HttpServlet.service(HttpServlet.java:853) at org.apache.catalina.core.ApplicationFilterCernalDoFilter(ApplicationFilterChain.java:247)目录浏览目录浏览目录浏览会暴露未公开的文件名Insecure Dire