03网络应用安全检测和防护

2023/1/31局数据管理中心安全管理处1网站安全检测和防护刘唯墨国家统计局数管中心安全管理处2015年7月16日2023/1/31局数据管理中心安全管理处2目录网站安全形势统计系统网站情况网站安全检测网站安全防护安全检查工作2023/1/31局数据管理中心安全管理处3目录网站安全形势统计系统网站情况网站安全检测网站安全防护安全检查工作网站安全形势2023/1/31局数据管理中心安全管理处4境外反共黑客组织自2012年4月起开始攻击我政府网站，截止至今年4月7日，我国境内已有428个政府网站被篡改攻击。（一）从攻击对象上看

政府部门和教育院校的网站是其主要的攻击对象，共有361个，约占被攻击网站总数的84.3%，其中政府部门网站244个，约占总数的57%，教育院校类网站117个，占总数的27.3%。网站安全形势2023/1/31局数据管理中心安全管理处5（二）从被攻击网站的行政层看中央部委和直属单位、省级政府部门网站有69个，约占总数的16.2%；地市级政府部门网站有72个，约占总数的16.8%；区县级政府部门网站和企事业单位网站共有287个，约占总数的67%。（三）从被攻击网站的地域范围看地域较分散，涉及全国27个地区，北京、广东、广西、浙江、江苏5个地区共有213个，约占总数的50%。网站安全形势（四）攻击方式和手段看

黑客反侦察意识较强，主要利用肉鸡、跳板被隐藏攻击源，对我网站进行发散式攻击，在获取网站控制权后，预埋后门程序，定期进行攻击篡改；黑客攻击所利用的漏洞，主要包括struts2漏洞，SQL注入漏洞，Fckeditor网页编辑器漏洞和建站程序漏洞等。2023/1/31局数据管理中心安全管理处6网站安全存在的突出问题安全责任不落实上线前无安全检测和审批防范措施缺失应急保证措施缺失2023/1/31局数据管理中心安全管理处72023/1/31局数据管理中心安全管理处8恶作剧；关闭Web站点，拒绝正常服务；篡改Web网页，损害企业名誉；免费浏览收费内容；盗窃用户隐私信息，例如Email；以用户身份登录执行非法操作，从而获取暴利；以此为跳板攻击企业内网其他系统；网页挂木马，攻击访问网页的特定用户群；仿冒系统发布方，诱骗用户执行危险操作，例如用木马替换正常下载文件，要求用户汇款等；……常用的挂马exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-001常见网站攻击动机2023/1/31局数据管理中心安全管理处9目录网站安全形势统计系统网站情况网站安全检测网站安全防护安全检查工作统计系统网站情况2023/1/31局数据管理中心安全管理处102023/1/31局数据管理中心安全管理处11目录网站安全形势统计系统网站情况网站安全检测网站安全防护安全检查工作国家局网站安全检查机制2023/1/31局数据管理中心安全管理处12网站列表联网直报系统国家局门户网站司级网站省级、地市级统计局门户网站……检查周期每月每季度每半年……漏洞检查非报送期非工作时间漏洞确认跨站脚本SQL注入……安全风险提示单《安全事件通知书》《安全风险提示单》复测整改结束之后进行复测国家局检查机制（上线前检查）2023/1/31局数据管理中心安全管理处13以风险为导向WEB遍历模拟黑客进行无害的攻击渗透通过各类测试用例对网站进行测试通过各类已知和未知木马进行检测深度扫描渗透测试黑盒检测木马检测网站漏洞扫描几种主要方法扫描结果事例2023/1/31局数据管理中心安全管理处15统计系统网站漏洞分布情况2023/1/31局数据管理中心安全管理处16OWASP(开放式Web应用程序安全项目)对注入漏洞的定义2023/1/31局数据管理中心安全管理处17注入漏洞Sql注入SQl注入（SQLInjection）技术在国外最早出现在1999年，我国在2002年后开始大量出现。SQL注入是针对一种数据库而言的，而不是针对网页语言。在任何使用了数据库查询环境下都可能存在造成SQL注入攻击漏洞的原因，是由于程序在编写WEB程序时，没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数，提交SQL查询语句，并传递至服务端，从而获取想要的敏感信息，甚至执行危险的代码或系统命令。2023/1/31局数据管理中心安全管理处18

在网站管理登录页面要求帐号密码认证时，如果攻击者在“UserID”输入框内输入“admin”，在密码框里输入“anything’or1=’1’”提交页面后，查询的SQL语句就变成了：

Selectfromuserwhereusername=‘admin’andpassword=’anything’or1=’1’不难看出，由于“1=‘1’”是一个始终成立的条件，判断返回为“真”，密码的限制形同虚设，不管用户的密码是不是Anything，他都可以以admin的身份远程登录，获得后台管理权，在网站上发布任何信息。Sql注入攻击举例Sql注入主要危害：[1]未经授权状况下操作数据库中的数据。[2]恶意篡改网页内容。[3]私自添加系统帐号或者是数据库使用者帐号。[4]网页挂马。[5]与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等。2023/1/31局数据管理中心安全管理处20解决方案[1]所有的查询语句都使用数据库提供的参数化查询接口[2]对进入数据库的特殊字符（‘“\尖括号&*;等）进行转义处理，或编码转换；[3]严格限制变量类型;[4]数据长度应该严格规定；[5]网站每个数据层的编码统一；[6]严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。2023/1/31局数据管理中心安全管理处21解决方案[7]避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。[8]确认PHP配置文件中的Magic_quotes_gpc选项保持开启。

[9]在部署你的应用前，始终要做安全审评(securityreview)。建立一个正式的安全过程(formalsecurityprocess)，在每次你做更新时，对所有的编码做审评。后面一点特别重要。不论是发布部署应用还是更新应用，请始终坚持做安全审评。[10]千万别把敏感性数据在数据库里以明文存放。[11]使用第三方WEB防火墙来加固整个网站系统。2023/1/31局数据管理中心安全管理处22链接注入链接注入是将某个URL嵌入到被攻击的网站上，进而修改站点页面。被嵌入的URL包含恶意代码，可能窃取正常用户的用户名、密码，也可能窃取或操纵认证会话，以合法用户的身份执行相关操作。主要危害：[1]获取其他用户Cookie中的敏感数据。[2]屏蔽页面特定信息。[3]伪造页面信息。[4]拒绝服务攻击。[5]突破外网内网不同安全设置。2023/1/31局数据管理中心安全管理处23解决方案过滤客户端提交的危险字符，客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等，其中危险字符如下：|、&、;、$、%、@、‘、“、<>、()、+、CR、LF、,、.、script、document、eval2023/1/31局数据管理中心安全管理处24跨站脚本跨站点脚本（XSS）是针对其他用户的重量级攻击。如果一个应用程序使用动态页面向用户显示错误消息，就会造成一种常见的XSS漏洞。三部曲：1.HTML注入。2.做坏事。3.诱捕受害者。2023/1/31局数据管理中心安全管理处252023/1/31局数据管理中心安全管理处26跨站脚本举个例子说明原理：

如攻击者可在目标服务器的留言本中加入如下代码：

<script>function()</script>

则存在跨站脚本漏洞的网站就会执行攻击者的function()。跨站脚本[1]获取其他用户Cookie中的敏感数据。[2]屏蔽页面特定信息。[3]伪造页面信息。[4]拒绝服务攻击。[5]突破外网内网不同安全设置。[6]与其它漏洞结合，修改系统设置，查看系统文件，执行系统命令等。2023/1/31局数据管理中心安全管理处27“微博病毒”攻击事件2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”等等微博和私信，并自动关注一位名为hellosamy的用户。2023/1/31局数据管理中心安全管理处28解决方案开发语言的建议_严格控制输入：

Asp：requestAspx：Request.QueryString、FormCookies、SeverVaiables等

Php：$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等Jsp：request.getParameter、request.getCookies等严格限制提交的数据长度、类型、字符集。2023/1/31局数据管理中心安全管理处29解决方案开发语言的建议_严格控制输出：

HtmlEncode：对一段指定的字符串应用HTML编码。

UrlEncode：对一段指定的字符串URL编码。

XmlEncode：将在XML中使用的输入字符串编码。

XmlAttributeEncode：将在XML属性中使用的输入字符串编码

escape：函数可对字符串进行编码

decodeURIComponent：返回统一资源标识符的一个已编码组件的非编码形式。

encodeURI：将文本字符串编码为一个有效的统一资源标识符(URI)。2023/1/31局数据管理中心安全管理处302023/1/31局数据管理中心安全管理处31目录网站安全形势统计系统网站情况网站安全检测网站安全防护安全检查工作网站安全防护一、管理层面二、技术层面1、硬件防护2、软件防护2023/1/31局数据管理中心安全管理处322023/1/31局数据管理中心安全管理处33网站攻击防护，如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击应用隐藏，用于隐藏应用服务器的版本信息，防止攻击者根据版本信息查找相应的漏洞口令防护，用于防止攻击者暴力破解用户口令，获取用户权限权限控制，用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护登录防护、HTTP异常检测、CC攻击防护、网站扫描防护、缓冲区溢出检测DLP服务器数据防泄密，针对日益严重服务器数据泄密事件网站安全防护内容2023/1/31局数据管理中心安全管理处341、替换整个网页2、插入新链接3、替换网站图片文件（最常见）4、小规模编辑网页（仅精确）5、因网站运行出错导致结构畸变6、新增一个网页7、删除一个网页可能与网页篡改有关的网站变化网页防篡改2023/1/31局数据管理中心安全管理处35网页防篡改流程第一步：抓取正常网页内容并缓存第二步：对比客户获取网页与缓存网页第三步：出现网页篡改1.还原网站，客户访问的结果和原来一样2.返回维护页面，维护页面可以默认的，或者自定义html页面，或者重定向篡改前页面或者重定向到某个站点2023/1/31局数据管理中心安全管理处36目录网站安全形势统计系统网站情况网站安全检测网站安全防护安全检查工作安全检查工作《国家统计局办公室关于开展全国统计系统重要信息