网站漏洞和挂马检测200907011.pptVIP

网站漏洞与挂马检测 陈小兵 Site: Blog： 交流内容 安全框架和体系 网站漏洞 网站挂马 挂马检测 安全防范措施 挂马反击 挂马应急响应方案 （一）安全框架和体系 1、安全体系架构 （一）安全框架和体系 2、系统安全体系策略 （一）安全框架和体系（续） 3、系统的安全生命周期 （二）网站漏洞 1、程序安全 程序员留的后门（亿城影视cms系统挂马） 1、程序安全（续） 输入约束不严格 提交参数 开发过程中的安全需求 源代码泄漏 程序代码安全 开发和部署中的弱口令 2、程序漏洞 SQL注入漏洞 专用编辑器Ewebeditor/Fckeditor/CuteEditor漏洞 上传功能导致的漏洞 mdb数据库改用ASP\ASA等名字作为数据库扩展名 后台显示数据库路径 数据库可备份修改扩展 文件管理部分传递参数过滤问题及外部提交 任意文件下载漏洞 远程包含漏洞 使用未加密的cookies进行用户权限等级及权限验证 session对象欺骗 3、管理安全 网站调整 需求调整 功能调整 导致一些安全隐患或者漏洞 生成大量的bak 网站rar文件 源代码泄漏 程序漏洞 4、管理设置 IIS权限设置 系统的安全设置 Ftp安全设置 数据库安全设置 防火墙设置 防病毒监控 IDS部署 口令安全 （三）网站挂马 挂马的趋势 一些案例 挂马的本质和危害 常见的挂马代码 1、挂马趋势 大型网站成为挂马首选 挂马向自动化靠拢 新漏洞爆发是高发期 漏洞全能型大小通吃，txt，htm，gif，flash，rm，pdf等均可以挂马。 境内外勾结 2、一些案例 政府门户网站：中国政府采购招标网等2966家网站被“挂马” /209/8973709.shtml 企业门户网站（航天人才市场/中国京剧门户网站/经济贸易等） 个人电脑：微软视频控件漏洞致木马爆发 460万电脑被攻击 （n265092199.shtml） 3、挂马本质与危害 挂马本质 追求利益：盗取游戏帐号、流量商人 由黑客主导逐渐演变为网站站长也参与 挂马危害 伤害网站（访问者）顾客 影响网站的声誉 资料丢失引起商业损失 网站系统受到破坏 病毒传播，消耗网络带宽，破坏网络 4、常见的挂马代码 Js调用型网页挂马 框架嵌入式网络挂马 图片伪装挂马 网络钓鱼挂马 利用程序漏洞伪装挂马 IIS高级挂马 Arp挂马 数据库挂马 Txt文件挂马 其它挂马方法 （1）Js调用型网页挂马 js挂马是一种利用js脚本文件调用的原理进行的网页木马隐蔽挂马技术，如：黑客先制作一个.js文件，然后利用js代码调用到挂马的网页。通常代码如下： script language=javascript src=/gm.js/script /gm.js就是一个js脚本文件，通过它调用和执行木马的服务端。这些js文件一般都可以通过工具生成，攻击者只需输入相关的选项就可以了。 （2）框架嵌入式网络挂马 网页木马被攻击者利用iframe语句，加载到任意网页中都可执行的挂马形式，是最早也是最有效的的一种网络挂马技术。通常的挂马代码如下： iframe src=/muma.html width=0 height=0/iframe 解释：在打开插入该句代码的网页后，就也就打开了/muma.html页面，但是由于它的长和宽都为“0”，所以很难察觉，非常具有隐蔽性。 （3）图片伪装挂马 随着防毒技术的发展，黑手段也不停地更新，图片木马技术逃避杀毒监视的新技术，攻击者将类似： /test.htm中的木马代码植入到test.jpg图片文件中，这些嵌入代码的图片都可以用工具生成，攻击者只需输入相关的选项就可以了。图片木马生成后，再利用代码调用执行，是比较新颖的一种挂马隐蔽方法，实例代码如： html iframe src=/test.htm height=0 width=0 /iframe img src=/test.jpg/center /html 当用户打开/test.htm时，显示给用户的是/test.jpg，而/test.htm网页代码也随之运行。 （4）网络钓鱼挂马 网络中最常见的欺骗手段，黑客们利用人们的猎奇、贪心等心理伪装构造一个链接或者一个网页，利用社会工程学欺骗方法，引诱点击，当用户打开一个看似正常的页面时，网页代码随之运行，隐蔽性极高。这种方式往往和欺骗用户输入某些个人隐私信息，然后窃取个人隐私相关联。比如攻击者模仿腾讯公司设计了一个获取QQ币的页面，引诱输入QQ号和密码 。 伪装的QQ页面 （5）伪