NSF-PROD-WAF-V5.6-PO-产品介绍.ppt

深度WEB应用安全防御 ——绿盟冰之眼WAF 绿盟科技 2008-06-20 WEB应用安全现状 攻击分析 绿盟ICEYE WAF 成功故事 议题 2 WEB应用安全现状 危机四伏 3 国内互联网发展态势良好 Source: /stats3.htm 互联网基础资源增长迅猛，年增长率均超过38%，尤其是域名、网站和网页数量，年增长率均超过了60%。 中国域名总数是1193万个，年增长率达到190.4%。 中国网站数量已有150万。 中国网页总数已经有84.7亿个，年增长率达到89.4%，是2007年互联网基础资源中增长最快的一项。 中国互联网国际出口带宽数达到368,927Mbps，年增长率为43.7%。 Source：CNNIC2008年1月中国互联网络发展状况统计报告 4 欣喜之余的声音… Mass SQL injection attack targets Chinese Web sites Network World – 2008年5月 /news/2008/051908-mass-sql-injection-attack-targets.html 2007年，中国大陆被篡改网站总数累积达61228个，比去年增加了1.5倍。其中，中国大陆政府网站被篡改各月累计达4234个。 CNCERT/CC – 2008年4月 /articles/docs/common/2008040823865.shtml 过去10个月中，Google通过对互联网上几十亿URL进行抓取分析，发现有300多万个恶意URL。其中，中国的恶意站点占到了总数的67%。 Google – 2008年2月 /archive/provos-2008a.pdf 5 6 其实它们是… 深入分析（MOM） 7 攻击分析 像攻击者一样思维 8 9 工欲善其事，必先利其器 攻击手段 定义 工具 SQL注入 利用SQL注入漏洞，攻击者通过在URL、表格域，或其他的输入域中输入自己的SQL命令，以此改变查询属性，骗过Web应用程序，从而对数据库进行不受限的访问。 Web应用扫描器 自动化攻击工具 跨站脚本 利用XSS漏洞，通过虚假的Web页面内容伪装用户的常用方法。恶意攻击可以通过XSS来盗取用户的cookie，将用户引导至其他的恶意页面，并且向其提供虚假的内容。 社会工程学 引人入胜的链接往往是陷阱！ 10 “器”之SQL注入 SELECT * FROM users WHERE login = victor AND password = 123 ASP/MS SQL Server login 语法 var sql = SELECT * FROM users WHERE login = + formusr + AND password = + formpwd + ; 用户： 密码： 确认 变量formusr formusr = or 1=1 – – formpwd = anything 查询结果被解释为: SELECT * FROM users WHERE username = or 1=1 – – AND password = anything 变量formpwd 11 “器”之跨站脚本 1. 攻击者向服务器插入恶意代码 2. 数据库存储恶意代码 姚明… 3. 互联网用户点击主题 4. 数据传送给互联网用户 5. 浏览器执行恶意代码 Attacker Client Web Server 免费赠送奥运门票!!! script attack code /script !!! attack code !!! 刘翔… 郑智… 郭晶晶… 中国队 ..... 攻击者、弱点网站、互联网用户的互动游戏 Source：绿盟北分工程师 cookies 12 开展实战 收集信息 公开的数据来源 扫描和探测 实际攻击阶段 SQL注入 XSS 分析信息和准备攻击 正在使用的服务 已知操作系统或应用漏洞 已知网络协议的安全脆弱性 网络拓扑 13 战果（I） 2007年4月到5月间，爱沙尼亚的银行、政府部门网站遭遇长达数周、有组织的DDoS攻击。期间，政府网站被大肆篡改，上面充斥“反爱沙尼亚”口号。 2007年8月联合国网站被篡改，秘书长潘基文发表声明的网页遭到篡改 2008年4月，某券商网站被法轮功分子篡改发布非法内容 14 战果（II） 网页挂马，用户端恶意程序被执行 盗窃虚拟财产，收集敏感信息 主动扫描感染内网机器 发起ARP欺骗，挂更多的马 连接外部的控制端，加入僵尸俱乐部 绿盟ICEYE WAF 开启一个新的安全时代 15 传统安全架构局限性 16 Web客户端 防火墙 端口80/443 什么是WAF WAF - Web Application F