网站应用层安全隐患评估系统

网站应用层平安隐患评估系统

AppExploreVersion1.0RealSOIInformationSecurityR&DLab业界专家论证会FUNianDong〔傅念东〕NetworkSecurityResearcherREALSOIINFOTECHCISO目录专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结专家介绍高庆狮院士卿斯汉中科院研究员贺也平中科院副研究员陈立杰军方高工徐广方军方总工、高工江常青国家测评认证中心情报部主任目录专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结REALSOIINFOTECHAnitsolutionREALSOILEADERREALSOILEADER1999年创办中国最大的驱动程序开发资源论坛〞中国驱动开发网〞

著作?JAVA高级开发指南?；著作?DriverStudio开发指南及库参考?；著作?Windriver开发指南及库参考?；著作?程序春秋?REALSOI成功案例

成功实施河南省济源市网上行政审批便民服务系统集成和网络安全整体工程，合作企业：国研股份安全知识培训服务中国保监会网站安全保障服务合作者：华安永诚中国国际招标网网站系统安全评估和保障服务

中石化工程建设公司安全风险评估，合作者：江南科友对北京公安一局进行网络技术及FBI取证技术课程培训，周期一个月；国家质量监督检疫总局系统网络安全轮训；信息产业部安全培训；中央电视台央视网络安全培训；合作者：清华继续教育学院；成功案例成功地完成了中国电信31个省份网管人员的UNIX攻击和防御技术培训，为期3天；成功地完成了中国国家评测中心实验室的网络攻击和防御技术培训；荣幸地被中国国家评测中心唯一免试特聘为UNIX安全管理课程讲师，并成功完成人民银行CISP认证培训网络攻击和防御技术培训以及UNIX安全管理培训；并将于2003年4月14日参与该中心组织的民生银行CISE认证培训授课；协助西安市公安局信息大队公安人员进行电子信息犯罪取证现场技术专家分析，使用到我公司的信息犯罪取证智能决策和指导知识库系统，地点：宝鸡市AppExploreV1.0军用版技术培训和相关项目合作；AppExplore系我公司自主研发成功的国内首套大型网站应用层安全隐患测评系统，目前产品系列分析军用版/金融版/电子政务版/大型企业版为西安市电信局信息部门开发新一代IP地址分布式定位系统，即将投入使用；与英国标准协会北京OFFICE(BSIBEIJING)协力推动BS7799标准在中国保险行业的应用；REALSOI的平安研究历程安全硬件平台动态安全资源管理与Anitsolution共同为用户提供一流的平安资源整合和企业风险管理FirewallIDSAntiVirusVPN

CA非法途径拨号外联管理HTTP/HTTPS80/443黑客自由出入的通道？Middle-Ware

APPSERVERWEBSERVERDATABASE当前>70%的入侵来自WEB应用层企业级应用层平安隐患评估统计统计--新闻报道AtomicPalertscustomerstobreach—CNetNMar20,2001Nasdaqdefaced..andotherseasonalgraffiti

—SecurityWDec27,2000APSiteHacked

—InteractiveWeekMar20,2001FrenchGroupClaimsDoubleClickhackedfor2years—EcommerceTimes,Mar28,2001

ElectronicHolyWarHitsD.C.Pro-IsraelSite

—Newsbytes,Nov3,2000

NTremainshackers'favorite

—VNUnet,Jan10,2001

HackershitU.S.,U.K.,Australiangovernmentsites-InfoWorldJan22,2001

Travelocityexposescustomerinformation

—CNetJan22,2001

U.S.NavyHacked

—SecurityW,March30,2001

LaxSecurityFoundinIRSElectronicFilingSystem—LATImes,Mar15,2001

--黑客已经无数次地造成：统计最新动态Thanks!网站应用层平安隐患评估系统

AppExploreVersion1.0FUNianDong〔傅念东〕NetworkSecurityResearcherREALSOIINFOTECHCISORealSOIInformationSecurityR&DLab业界专家论证会关注应用平安-完善平安体系应用平安启示：REALSOI的平安定位AppSecurity应用平安ComputerForensics计算机取证RealSOIAppExplore&APPSecurity专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结REALSOIAppExplore成熟产品化商业评估软件专业应用层平安隐患揭露系统普通Scanner+AppExplore形成完整有效的新一代测评组合平安效劳市场的主要切入点将会逐渐转向应用平安领域应用层的专业评估将在完整的平安解决方案中担任重要角色AppExplore定位：AppExplore为谁效劳？电子商务应用平台和形象宣传平台网上银行应用平台和形象宣传平台电子政府应用平台和形象宣传平台大中型企业网站应用和宣传平台ISP/ASP客户增值评估效劳工具系统第三方测评认证机构工具系统军方专用敌对网站打击渗透工具系统〔直接打击功能为特别定制〕其他任何具有应用层平安效劳需求的客户群AppExplore思考的十大类平安问题APPLICATIONBUFFEROVERFLOW应用层缓冲区溢出〔压力测试〕COOKIEPOISONINGcookie平安使用状况评估CROSS-SITESCRIPTING跨站脚本攻击风险评估HIDDENMANIPULATION页面隐藏参数域篡改风险评估STEALTHCOMMANDING系统隐蔽指令执行风险评估3RDPARTYMISCONFIGURATION第三方误配置平安隐患KNOWNVULNERABILITIES各类型平安漏洞PARAMETERTAMPERINGURL参数篡改攻击风险评估BACKDOOR&DEBUGOPTIONS后门程序和调试选项遗留隐患FORCEFULBROWSING网站内容强力浏览问题应用平安方面的权威书籍权威资料参考：?WebHacking:AttacksandDefense?byStuartMcClure,SaumilShah,ShreerajShah?HackingExposed(TM)WebApplications?byJoelScambray,MikeShema

如果存在以上十大类问题，那么。。由于COOKIE中毒平安隐患，导致黑客可能实施身份伪装攻击；由于隐藏字段信息篡改隐患，黑客可能实施电子欺骗；由于URL参数、表单变量存在平安隐患，黑客因此可能进行系统指令执行、逻辑认证绕过、后台数据库攻击等；由于应用程序缓冲区溢出隐患，黑客可能导致业务终止甚至获取非法权限；由于跨站点脚本执行隐患，导致黑客可能实施不同程度基于信息泄漏的攻击；由于第三方软件的错误设置和典型的平安隐患存在，导致不同类型的黑客入侵破坏；AppExplore面对的市场背景用户普遍还停留在FW+IDS层次的平安防护意识；国内用户对应用平安知识了解不够，对应用平安隐患和风险认识不够，在国外，应用平安专家已经开始就应用平安问题进行普及宣传；面对网络级和系统级平安，多数用户〞亡羊补牢〞，而应用级平安迫在眉睫，需要的是〞未雨绸缪〞；应用层隐患普遍存在，一旦爆发蠕虫式恶意攻击，将形成〞NIMDA现象〞；这是一份来自台湾的调查统计：针对最为严重的SQLInjection漏洞的調查，由於國內九成以上網站皆使用SQL資料庫系統，因此，經警方測試，研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。5.整体上，平安编程意识的缺乏导致不平安的应用不断出现应用平安风险之应用层缓冲区溢出应用平安风险之应用层缓冲区溢出应用平安风险之应用层缓冲区溢出应用平安风险之应用层缓冲区溢出应用平安风险之应用层缓冲区溢出应用平安风险之应用层缓冲区溢出应用平安风险之cookie平安传统的Web应用系统，为了支持面向用户的网页内容，通常都使用cookies机制在客户端主机上保存某些信息，例如用户ID、口令、时戳等。这些cookies可以用来维护Web访问会话迁移过程中的状态信息，使效劳器可以识别前一个会话过程的用户。因为cookies通常是不经加密就保存在用户的桌面系统中，黑客能够很容易地篡改cookies内容，由此获取其他用户的账号，导致严重的后果。举例：一个存在cookie毒害漏洞的例子。这是一个支持在线付费的网站。下面图例中，一个名为Abacarius的消费者〔黑客？〕登录网站，需要提交几笔付费工程。该网站是通过保存在客户端的cookie信息来识别登录用户的，而客户端cookie文件中保存的“abacarius〞用户名只经过了简单的“加密〞处理〔将a变成z，b变成y，依此类推〕，即“zyzxzirfh〞。黑客只需要替换掉这个字串内容，就可以冒名顶替其他用户进行付费操作了。例如，将"zyzxzirfh"替换为"qlsmhlm"，也就是将"abacarius"用户更名为"Johnson"。应用平安风险之cookie中毒应用平安风险之cookie中毒应用平安风险之cookie中毒应用平安风险之cookie中毒应用平安风险之cookie中毒应用平安风险之跨站脚本攻击跨站脚本〔Cross-sitescripting，CSS〕是一种向其他Web用户浏览页面插入执行代码的方法。Web效劳器端应用程序要是接受客户端提交的表单信息而不加验证审核，黑客很可能在其中插入可执行脚本的代码，例如JavaScript、VBScript等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该Web效劳器的可信级别被客户端浏览器执行，这就是CSS漏洞的问题所在。

存在这种漏洞的最典型的例子，就是某些网络论坛，这些BBS会向客户端返回其他用户之前输入的内容，许多搜索引擎网站也存在此类问题。收到这些嵌入恶意代码内容的客户端浏览器，如果信任内容来源网站，恶意代码就可能在客户端主机执行。

应用平安风险之跨站脚本攻击应用平安风险之跨站脚本攻击某个恶意用户就某个严重问题草拟报告如下正常内容—大家好啊。<imgsrc=://width=“10〞height=“10〞></img>应用平安风险之跨站脚本攻击参考：以上所贴的被证明包含有网页恶性病毒，理论上，所有信任该站点的重要客户都有可能由于浏览该页面文件而感染病毒。

应用平安风险之操纵页面隐藏字段隐藏字段即HTML表单中hidden类型的字段。

Web系统本身是无状态的，为了维持客户端/效劳器之间的会话状态，Web应用系统最简单也最普遍采用的方法就是用隐藏字段存储信息。但是，隐藏字段并非真正"隐藏"，它仅仅是不显示给用户而已，提供给客户端的静态页面源码中就保存有隐藏字段的真实内容。许多基于Web的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容，客户端浏览器只要用"ViewSource"命令就可以查看其真实的内容。例如：

<inputtype="hidden"name="Price"value="10.50">

心存恶意的用户，用浏览器简单地保存HTML页面源代码，修改隐藏字段内容，重新提交给效劳器端，Web效劳器如果不对这种改变做进一步验证，就很容易用新的伪造的信息处理交易，这是一种非常危险的漏洞。应用平安风险之操纵页面隐藏字段应用平安风险之操纵页面隐藏字段<inputtype="hidden"name="Price"value="10.50">应用平安风险之操纵页面隐藏字段修改Value=“1.95〞，重新提交给效劳器端处理应用平安风险之操纵页面隐藏字段Web效劳端CGI如果不对这种改变做进一步验证，就很容易用新的伪造的信息处理交易。购物车CGI接受你以$1.95的价格购置$129.95的商品应用平安风险之隐蔽指令执行〔主要是指Unix效劳器〕效劳器端include通过从本地硬盘驱动器中调用文档或其它对象，然后将这些元素自动包含在Web页面中。

例如：#execcmd=“rm–rf*〞这个看起来象SSI,假设这条SSI成功执行且HTTPD正在根下运行，那么删除的将是整个驱动器。大多数站点禁止使用SSI.举例：入侵者在本该填写StreetAddress的可输入区域填写敏感文件查看指令<!–#exec/bin/cat/etc/ssl/private.pem-->入侵者聪明地驱使WEBSERVER把SSLkey文件附加显示到网页上，从而可让自己成功扮演效劳器角色搜集各种客户重要信息应用平安风险之隐蔽指令执行应用平安风险之隐蔽指令执行<!--#includefile="/export/home-c1/jkzki6/htdocs/test.txt--><!--#includevirtual="/test/test.txt"--><!--#execcgi="/export/home-c1/jzki6/cgi-bin/test.cgi"--><!--#execcmd="./date.sh"--><!--#execcmd="test/test.pl"-->

应用平安风险之隐蔽指令执行入侵者驱使WEB效劳器把SSLkey文件附加显示到网页上，从而可让自己成功扮演效劳器角色搜集各种客户重要信息应用平安风险之平安漏洞许多操作系统及第三方应用软件〔包括Web效劳器和数据库效劳器〕都存在一些漏洞，如果管理员不及时安装已经发布了的软件补丁，这些漏洞就很可能被黑客利用。因为黑客只需要用简单的漏洞扫描器和大量的漏洞披漏网站就可以知道该怎样实施攻击了。其实，许多漏洞都可以归类到前面介绍的几种典型漏洞当中举例：IIS效劳器的ASPAlternateDataStreams漏洞，只要在ASP文件名后加上“::$DATA〞后缀，就可以看到ASP文件源代码，这个漏洞就属于典型的CGI参数欺骗类型。而另一个此类漏洞IISUnicode漏洞，那么可以让黑客查看敏感信息，执行系统命令，进行文件操作，后果将是非常严重的。://bugsites/login.asp::$DATA

://www/_vti_bin/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\

应用平安风险之平安漏洞应用平安风险之平安漏洞应用平安风险之平安漏洞应用平安风险之平安漏洞应用平安风险之后门程序和调试选项遗留应用平安风险之后门程序和调试选项遗留应用平安风险之后门程序和调试选项遗留应用平安风险之后门程序和调试选项遗留应用平安风险之强力浏览问题应用平安风险之强力浏览问题应用平安知识之强力浏览问题应用平安风险之强力浏览问题应用平安风险之参数篡改攻击如果Web应用程序没有对客户端提交的参数进行严格校验，就有可能对客户端参数中包含的某些特殊内容进行不适当的处理，导致难以预料的后果。这类漏洞最常见于那些应用了SQL数据库后端的Web效劳器，黑客通过向提交给CGI程序的参数中“注射〞某些特殊SQL语句，最终可能获取、篡改、控制Web效劳器端数据库中的内容。,当然，此类漏洞的另一种后果，就是泄漏某些敏感信息，许多Web效劳器及应用系统都曾经披漏过此类问题。利用此类编程漏洞执行系统指令也是常用的入侵方式。举例：(1)'or1=1--逻辑认证绕过SELECT*FROMtblUserWHEREUserName=''or1=1--'ANDPassword='asdf‘(2)利用错误信息取得资料表内各栏位的资料形态

‘UNIONSELECT'abc',1,1,1FROMtblUser–

SELECT*FROMtblUserWHEREUserName=

'‘UNIONSELECT'abc',1,1,1FROMtblUser--'

ANDPassword='asdf'应用平安风险之参数篡改攻击普通客户提交正常要求helloworld7777-8888-222Aaaaaaaaaaaaa-bbbbbbbbbbbbb不怀好意者在此栏提交各种测试代码，如“‘〞应用平安风险之参数篡改攻击应用平安风险之参数篡改攻击'','','','')select123--test111-111应用平安风险之参数篡改攻击AppExplore评估该类型的报告显示：SQLINJECTION攻击之简单符号匹配[2]模式测试

类似于new.asp?id=255

通常asp脚本程序访问SQL数据库的写法是SELECT*FROM[newstable]WHERE[ID]=‘@value’

Asp脚本程序员没有对@value进行单引号等特殊符号校验，导致入侵者可以在@value后面构造自定义的复杂SQL指令通过asp脚本程序传递给后台数据库执行，入侵者的操作权限等同于asp脚本程序访问数据库对应的数据库账号映射到系统账号的权限！

如果asp脚本程序调用的是sysadmin组的用户，将导致入侵者可以直接使用localsystem账号执行系统命令；

例如:

news.asp?id=255’exec“netusertmpuser/add〞--

news.asp?id=255’exec“netlocalgroupadministratorstmpuser/add〞--

临时解决方法:

对于所有用户提交的数据进行根本的特殊字符前台过滤和屏蔽；

采用Replace(@value,“‘",“'‘“)等方法防治入侵者的指令从字符串跳出演变成为具有危害性的SQL指令。产品化特点专家介绍公司简介RealSOIAppExplore&APPSecurity产品化特点典型案例总结小投入、大作用小投入、大作用Anitsolution2000?论平安体系的完整性?“AppExplore系列产品对整个网站应用平台的平安健康状况层次化的表示，使得平安管理员和评测员能切实看到网站的应用平安全貌和黑客入侵威胁点并作出正确响应，真正做到未雨绸缪.〞极大降低应用平安效劳本钱24小时/2位应用平安专家手工评测成果小于等于20分钟/AppExplore+一名普通操作人员的评测效果基于定制策略的定时评估，网段评估公正的“黑箱子测试〞使得程序员和系统平安分析员一目了然地知晓故障点和排除故障最简便的方法评估结果报告将直接告诉用户“哪个文件的哪个参数出了问题，是什么类型的问题？〞产品整体特点网站应用结构图分析功能：立足于网站系统应用的平安规划，多种手段相结合，完整而详细的分析出目标网站的目录结构和文件关系。应用平安隐患分析功能：分析来自网站结构图中的每一个网站功能脚本程序的应用状况，借助于专用的知识数据库，针对所有可能为黑客所利用的入侵工程进行多样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性帮助的平安隐患报告。分析过程支持交互式策略和全自动策略；支持代理(proxy)扫描；SSL和客户端认证支持；

本评估系统广泛支持各种常见应用系统或者引擎语言：ASP,PHP,ColdFusion,LotusDomino,BEAWebLogic,Perl,NetscapeJavaServletPages等产品整体特点基于国际标准和行业标准的风险报告功能：

形成通俗易懂的风险说明报告。图文并茂地展现出漏洞表、威胁表、风险比率图等报告，显示详细平安隐患来源和背景。使得使用该产品的人员能够在不断掌握新平安知识的情况下来抵御应用层黑客的入侵。稳定快捷的在线升级功能：

简单方便的网络在线升级功能，将不断的更新升级最新的专用知识数据库。独特的预警模式，将第一时间提醒您关注最新的平安风险。

反盗版和反破解设计：

防止该系列产品不会被未授权非法使用。严格的认证和授权-躲避滥用安装序列号认证基于硬件序列种子的网络认证管理员口令认证直观的界面-主界面直观的界面-平安浏览器直观的界面-综合报告界面其它关键界面一览其它关键界面一览其它关键界面一览典型案例专家介绍公司简介RealSOIAppExplore&APPSe