网站安全体系架构概述

网站安全体系架构孙建伟北京理工大学软件学院提纲网站工作原理网站架构网站与浏览器的交互Web应用攻击网页篡改注入式攻击跨站攻击Web应用安全体系架构分析输入验证网站备份恢复架构立体防护体系Web应用程序的逻辑架构三层架构(3-tierapplication)通常意义上的三层架构就是将整个业务应用划分为：表现层（UI）、业务逻辑层（BLL）、数据访问层（DAL）。区分层次的目的即为了“高内聚，低耦合”的思想。１、表现层（UI）：通俗讲就是展现给用户的界面，即用户在使用一个系统的时候他的所见所得。２、业务逻辑层（BLL）：针对具体问题的操作，也可以说是对数据层的操作，对数据业务逻辑处理。３、数据访问层（DAL）：该层所做事务直接操作数据库，针对数据的增、删、改、查。网站的层次结构操作系统：管理计算机平台资源Web服务器：解析HTTP请求，处理网页文件，执行动态脚本网站文件系统静态网页动态网页后台数据库4HTTP工作原理因特网HTTP使用此TCP连接浏览器程序服务器程序HTTP客户建立TCP连接释放TCP连接HTTP响应报文②响应文档HTTP请求报文①请求文档Web访问工作原理Web访问工作原理浏览器结构与远地服务器通信输出至显示器从鼠标和键盘输入网络接口可选客户程序HTML解释程序可选解释程序控制程序驱动程序……HTTP客户程序缓存9服务器端技术实现原理Web浏览器Web服务器HTTP请求HTTP响应本地磁盘获取请求页1.检查网页是否是动态网页2.如果是则运行其中的服务器端程序3.生成静态网页发送到客户端10网站成为网络攻击的焦点操作系统的复杂性已公布超过1万多个系统漏洞Web服务器的漏洞网站应用漏洞网站配置的问题网站系统设计缺乏安全性架构的支持网页的安全性设计不够注入式攻击多个应用系统不同的开发者，组织的缺陷

10Web攻击事件-篡改网页11Web攻击事件-篡改数据12Web攻击事件-跨站攻击13Web攻击事件-注入式攻击击14Web攻击事件-非法上传15/a.txt常见Web攻击类型威胁手段后果注入式攻击通过构造SQL语句对数据库进行非法查询黑客可以访问后端数据库，偷窃和修改数据跨站脚本攻击通过受害网站在客户端显不正当的内容和执行非法命令黑客可以对受害者客户端进行控制，盗窃用户信息上传假冒文件绕过管理员的限制上传任意类型的文件黑客可以篡改网页、图片和下载文件等不安全本地存储偷窃cookie和sessiontoken信息黑客获取用户关键资料，冒充用户身份非法执行脚本执行系统默认的脚本或自行上传的WebShell脚本等黑客完全控制服务器非法执行系统命令利用Web服务器漏洞上执行Shell命令Execute等黑客获得服务器信息源代码泄漏利用Web服务器漏洞或应用漏洞获得脚本源代码黑客分析源代码从而更有针对性的对网站攻击URL访问限制失效黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网页16攻击手段示示例之一Unicode漏洞漏洞选介Unicode漏洞微软的IIS在Unicode字符解码的的实现中存存在一个安安全漏洞，，导致用户户可以远程程通过IIS执行任意命命令可以复制、、删除、列列目录、系系统配置等等任何人利用用普通浏览览器即可发发起攻击存在于WindowsNT/2000(IIS4.0/5.0)中2001年年初发现，，2001年8月修修复18漏洞原理IIS对特殊字符符URL请求的解码码错误%c1%1c->(0xc1-0xc0)*0x40+0x1c=0x5c='/'%c0%2f->(0xc0-0xc0)*0x40+0x2f=0x2f='\'构造含有特特殊字符的的URL请求绕过IIS的路径检查查可以执行或或打开任意意文件19测试方法测试URLhttp://badou/scripts/..%u00255c../winnt/system32/cmd.exe?/c+dir+d:\badou是任意一台台（未打补补丁的）Windows2000主机的IIS服务器返回结果目标主机D盘下的文件件目录20利用漏洞列列目录21利用漏洞进进行攻击22注入式攻击击注入式攻击击全称为“SQL注入式攻击击”攻击者利用用网站动态态网页程序序设计上的的漏洞，在在目标的Web服务器上运运行SQL命令绕过登录身身份检查、、获得系统统管理员密密码、非法法获取数据据、非法篡篡改数据、、生成非法法文件、非非法执行命命令等24漏洞原理攻击者在表表单输入或或者URL请求中发送送SQL语句片断，，期望通过过Web应用脚本合合成为带有有攻击目的的的SQL语句应用脚本：：ASP、JSP、PHP数据库：一一切支持SQL的数据库系系统SQL注入机理分分析数据库应用程序服务器客户端（浏览器）请求响应查询结果集SQL注入机理分分析（续））//构建SQL查询语句=“SELECTnameFROMtbUserInfoWHEREid=(用户输入的的数据)”用户名：wc’or1=1--密码：xxxxSELECTnameFROMtbUserInfoWHEREid=’wc’

or1=1--SQL注入攻击的的一般过程程探测注入点确定数据库类型和版本猜解数据库结构确定当前用户权限提取信息篡改数据…发起高级攻击使用特定存储过程遍历目录结结构…修改注册码码…SQL注入攻击的的特点SQL注入漏洞是是一个入口口，攻击者者通过它可可以发动更更高级的攻攻击，例如如控制目标标系统。隐蔽性后果严重性使用黑客工工具NBSIHDSIDomainX-ScanPangolin30攻击手段示示例之三跨站攻击防跨站攻击击示例应用系统未未对浏览器器输入的参参数进行检检查和处理理，直接返返回给用户户的浏览器器。B请输入转账账金额：B转账成功！！B银行破产！！Xxx’sblog:宣布破产请点击官方方链接10000确定1.正常业业务2.跨站攻击跨站攻击还还能做什么么在客户端执执行脚本JavaScriptVBScript偷取和仿冒冒用户身份份和信息cookiesession向其他站点点提交信息息跳转到其他他站点33对策配置和管理理配置网络和和主机编写安全的的应用程序序安全扫描模拟渗透工工具代码复查工工具安全防护网页完整性性检查应用防火墙墙34对策一配置和管理理应用程序安安全设计原原则权限区域划划分使用最少的的特权应用深入的的防御手段段不要信任用用户的输入入在网关处进进行检查出现故障时时的安全性性保证最脆弱弱的链接的的安全创建建安安全全的的默默认认值值减小小受受攻攻击击的的范范围围36应用用程程序序安安全全关关注注点点“如如何何安安全全地地处处理理异异常常？？””“如如何何保保证证开开发发人人员员工工作作站站的的安安全全性性？？””“如如何何编编写写具具有有最最低低权权限限的的代代码码？？””“如如何何限限制制文文件件I/O？””“如如何何防防止止SQL注入入？？””“如如何何防防止止跨跨站站点点脚脚本本编编写写？？””“如如何何管管理理机机密密？？””“如如何何安安全全调调用用非非托托管管代代码码？？””“如如何何执执行行托托管管代代码码的的安安全全复复查查？？””“如如何何执执行行安安全全的的输输入入验验证证？？””“如如何何保保证证窗窗体体身身份份验验证证的的安安全全性性？？””37防范范注注入入式式攻攻击击检查查用用户户输输入入关键键字字过过滤滤强数数据据类类型型服务务器器端端检检查查最小小权权限限原原则则使用用存存储储过过程程使用用parameters对象象控制制错错误误信信息息回回显显38防范跨站攻击击检查用户输入入<script>alert('xss')</script><imgsrc="javascript:alert(/xss/)"><imgsrc="javascript:alert(/xss/)"><imgsrc="javascript:alert(/xss/)"><imgsrc="#"onerror=alert(/xss/)><imgsrc=”javascriSS');”/>检查请求头中中的referer39对策二安全扫描应用安全扫描描测试方法黑盒测试（渗渗透和黑客工工具）白盒测试（代代码和开发生生命周期）产品AppScan(IBM)WebInspect(HP)N-Stalker(N-Stalker)Acunetix(Acunetix)MatriXay(亚龙安恒,dbappsecurity)WebRavor(安域领创,SecDomain)41对策三安全防护应用安全防护护网页防篡改系系统保护网页和脚脚本的完整性性安全容忍类产产品iGuard应用防火墙防止针对主机机和应用程序序的威胁安全防护类产产品华诚ImpervaiWall43网页防篡改系系统设计思路路网站工作的流流程Web服务器收听请请求解析url查找url对应的网页文文件对于静态网页页文件,发送给客户端端;对于动态网页页文件,服务器端执行行脚本,生成页面文件件发送给客户户端.网页防篡改系系统设计思路路网站备份恢复复结构设计网站文件备份份网站文件在处处理前先做完完整性校验通过Hook函数修改web服务器（IIS），扩展完整整性校验功能能校验不通过，，则从备份系系统中恢复造造篡改的文件件为加速完整性性校验，采用用数字摘要技技术预先生成原始始文件的摘要要（数字水印印）实时比对网页防篡改系系统设计思路路网站备份恢复复结构处理流流程Web服务器收听请请求解析url查找url对应的网页文文件读取网页文件件后，做完整整性校验校验不通过，，则从备份中中恢复对于静态网页页文件,发送给客户端端;对于动态网页页文件,服务器端执行行脚本,生成页面文件件发送给客户户端.Web核心内嵌模块块47硬件平台（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系统（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服务器软件(IIS/Apache/Weblogic/Websphere)安全核心内嵌嵌模块requestresponse应用防护技术术数字水印技术术Web服务器防篡改技术48发布服务器Web服务器FTP/rsync一般发布过程程篡改检测模块块自动发布子子系统监控和恢复子子系统+篡改检测子子系统SSL1.上传正常常网页=X水印库2.浏览正常网页页3.篡改网页4.浏览篡改网页页5.自动恢复文件系统工作过程发布过程发布内嵌模块块检测到文件件创建/变化化为文件产生加加密和不可逆逆转数字水印印通过加密通道道传送到Web服务器检测过程公众发出请求求浏览网页应用防护子系系统检查请求求的合法性页面保护子系系统检查数字字水印完整性性其它网页篡改改防护的技术术路线外挂轮询制作网站备份份定期抓取网页页与相应的备备份网页比对对特点:可以是后台或或前台无法做到实时时恢复其它网页篡改改防护的技术术路线文件保护（事事件触发）改造操作系统统文件管理功功能，监控和和阻断文件写写操作只有特权帐户户才能作写操操作Web服务器帐户权权限只有读取取权限特点:权限管理过于于严格限制了web服务器功能，，不能适应Web2.0技术的要求网页防篡改技技术比较外挂轮询核心内嵌事件触发访问篡改网页可能不可能可能动态网页防护不支持支持不支持服务器负载中低极低带宽占用中无无检测时间分钟级实时毫秒绕过检测机制不可能不可能可能防范连续篡改不能支持不支持断线时检测不能能不能适用操作系统所有所有受限Web服务器内置的的其它防护功功能同完整性校验验功能的实现现类似，web服务器在结构构上可以扩展展其它防护模模块SQL参数的校验处处理用户提交数据据中恶意脚本本的检查过滤滤上述处理功能能也可以在防防火墙平台上上实现不适用于HTTPS模式防注入攻击SELECT*FROMuserWHEREname=‘hack’or‘1’=‘1’SELECT*FROMuserWHEREname=‘zhangsan’XOWeb服务器软件应用防护模块块输入用户名：：zhangsan输入用用户名名：hack’’or‘‘1’=‘‘1’or‘‘1.正正常访访问2.注入攻攻击防跨站站攻击击示例例55B请输入入转账账金额额：B转账成成功！！B银行破破产！！Xxx’sblog:宣布破产请点击击官方方链接10000确定???X1.正正常业业务2.跨站攻攻击3.应用防防护应用防防火墙墙实现现方式式比较较项目软件实现方式硬件实现方式部署点Web服务器网关网络配置无须改变须改变访问性能影响小，无瓶颈效应影响大，有瓶颈效应单点失效不可能可能升级方便可以细粒度配置方便可以成本一般较高56关键脚脚本的的安全全性设设计对于处处理用用户输输入数数据的的网站站脚本本文件件，考考虑安安全性性设计计Web脚本软软件的的输入入验证证：过过滤跨跨站攻攻击脚脚本、、SQL注入攻攻击等等恶意意访问问对于CC攻击类类型恶恶意访访问，，增加加辨识识和拒拒绝功功能两种方方案的的比较较两种输输入验验证方方案脚本安安全性性设计计web服务器器内嵌嵌模块块脚本安安全性性设计计悟道系统功功能与与结构构的关关系同样的的功能能需求求，包包括安安全功功能需需求，，可以以选择择不同同的技技术路路线，，采用用不同同的结结构，，使用用不同同的部部署模模式复杂的的安全全功能