网站安全研究报告.pptx

深圳市网安计算机安全检测技术有限公司 2013-03;一、当前互联网站安全形势;一、当前互联网站安全形势;一、当前互联网站安全形势;一、当前互联网站安全形势;一、当前互联网站安全形势;二、网站面临网络攻击风险;二、网站面临网络攻击风险; 来自国内不法分子或敌对国家黑客的网络恶意攻击和入侵，列举可能的攻击情形如下： 1、针对WEB应用程序存在注入漏洞、跨站脚本漏洞、身份认证绕过等安全漏洞实施入侵攻击； 2、针对Web应用中间件（IIS、Apache、Tomcat、Jboss等）存在的安全漏洞实施入侵攻击； 3、针对网站服务器开放的其他网络端口实施入侵攻击，如21、445、3306、3389等应用服务端口；;4、针对网站服务器操作系统溢出漏洞、组件漏洞等实施攻击入侵； 5、针对WEB应用系统、中间件、数据库和操作系统的配置隐患导致的漏洞实施攻击； 6、针对网站系统周边存在的脆弱性，迂回实施攻击，如同一网段、同一主机等； 7、针对脆弱的网络协议和系统机制实施Dos，甚至DDos（分布式拒绝服务攻击），造成系统资源耗尽或网络堵塞，导致网站无法访问，甚至长时间无法恢复服务；;你如何去理解黑客攻击行为？ ;黑客入侵网站的一般过程;1、踩点 踩点就是收集与目标（网站）有关的信息。比如IP地址、域名注册信息、电话号码、电子邮箱、QQ号码、管理员名字、其他敏感信息等等 踩点目的： （1）获得更多的攻击渠道； （2）提供猜解密码、后台等信息的依据； （3）为实施社工攻击提供更丰富的信息；;1、踩点 （1）、域名注册信息查询： （2）、站点IP地址查询：nslookup命令或ping 命令 （3）、站点内部信息：登录网站查看 （4）、旁注站点查询：/ （5）、其他信息收集： Intitle:”xxx”、inurl:域名 管理员,admin、 cache:site:（查二级域名） （6）、网站使用开源代码或开源组件;1、踩点 （1）、域名注册信息查询：;4、旁注站点查询：/ ;5、其他信息收集： inurl:域名 管理员,admin;;5、其他信息收集： site:（查二级域名） ;6、网站使用开源代码或开源组件;6、网站使用开源代码或开源组件（eWebEditor、FCKEditor、KindEditor 等）; 密码无关性，密码与在公开渠道中的信息无 任何关联。 一个网站尽量放一台服务器上，而不是共享。 网站尽量不使用开源的组件或代码。 网站内容尽量不要暴露开发技术细节。;1、WEB程序及中间件漏洞扫描 推荐工具：Acunetix Web Vulnerability Scanner IBM Rational AppScan Nikto 2、主机系统漏洞扫描 推荐工具：Nessus ;主机系统漏洞扫描器;扫描防范： 在网关处部署防火墙，并配置好安全策略。 在网络中部署入侵防御系统（IPS），防范并检测攻 击行为。 在网站前面部署WEB应用防火墙，防范对网站的扫描行为。 ;常见被利用的WEB应用漏洞 1、 SQL注入漏洞 2、跨站脚本执行漏洞 3、登录绕过漏洞 4、不安全的http方式，put上传文件(视频演示) 5、Tomcat、Jboss、apache等中间件安全漏洞（视频演示） 6、脚本上传漏洞（不限制文件类型或者容易绕过） 7、管理后台无验证 8、编辑器漏洞 9、网站目录遍历漏洞 10、源代码泄露（备份文件） ;1、 SQL注入漏洞 程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 ;1、 SQL注入漏洞危害性 例如： ;通过获得的账户和密码登录网站后台;1、 SQL注入漏洞防范措施 增加对全站的SQL注入过滤模块，过滤 ’ , ; select and or % 等等符号。 开发代码过程中，应有检查用户输入点的合法性代码。 在站点前面增加防WEB攻击的设备或工具。 ;2、跨站脚本执行漏洞 即Cross Site Script Execution(通常简写为XSS)指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。 原理：未检查用户输入到数据库的