概述WEB应用安全和数据库安全.pptVIP

* * 安恒机密. | * 目录 简介 WEB应用安全 数据库安全 解决方案 安恒机密. | * 公司介绍 杭州安恒信息技术有限公司 北京奥组委安全产品和服务提供商 安恒机密. | * 黑客产业链 - 网上木马典型传播途径 锁定网站目标如电子商务网站 利用Web应用的弱点特别是各类SQL注入等Web安全漏洞, 入侵和控制Web服务器 篡改网页植入恶意代码 网站客户在访问网站时候被自动植入木马； 在控制个人用户计算机(肉鸡)后，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、密码或针对性的窃取商业信息等。 安恒机密. | * 08年7月网络与信息安全协调小组组织某省大检查 总共检测省级网站近70家 90%网站存在严重安全隐患 部分网站已经被挂马或被黑客控制 大检查基本上使用评测工具进行远程评估工作 安恒机密. | * 发现问题的网站漏洞类型分布图 安恒机密. | * 电子商务网站所面临的风险 系统层面 –存在弱点的操作系统、存在问题的WEB发布系统 IIS 、Apache、Weblogic、tomcat等 应用层面 – SQL 注入 跨站脚本(钓鱼攻击) 表单漏洞 上传漏洞 网页木马(恶意代码) …… 网络层面 - ARP欺骗攻击 网络嗅探 安恒机密. | * 网络安全现状触目惊心 2008年上半年网络安全报告 主机数达520多万 僵尸网络 被篡改网站（28367） 比去年同期增加4倍，比去年全年增加了近16.9% 网络仿冒事件 超过去年全年总数的14.6% 网页恶意代码事件 超过去年全年总数的12.5% 被植入木马主机 远远超过去年全年，增幅达21倍 安恒机密. | * 黑客产业链 入侵者 入侵企业服务器 窃取机密信息(图纸、财务报表等） 出售 收费传播流氓软件 获取金钱 拒绝服务攻击 发送垃圾邮件 批量入侵网站 盗取银行帐号 盗取信用卡帐号 盗取证券交易帐号 盗取虚拟财产 组建僵尸网络 洗钱 主动攻击勒索网站 受雇攻击收取佣金 安恒机密. | * 层出不穷的应用和数据库安全事件 针对政府、银行、电子商务等公众网站 安恒机密. | * 层出不穷的应用和数据库安全事件 针对运营商 内部黑手频频探囊安全网络---“没有密码”的充值卡 互联星空被挂木马,宽带用户集体中毒 电信HTTP劫持服务器被挂木马 黑客使电信企业损失被判刑13年 ...... 安恒机密. | * 攻击悄无声息 数据库 Web服务器 Authentication Data Dictionary Privileges/Roles Sensitive App Data OS file Access Buffer overflow DOS 防火墙 安恒机密. | * 安恒安全团队发现的部分跨站漏洞 安恒机密. | * 利用跨站获取COOKIE 安恒机密. | * 利用跨站造成页面被黑 安恒机密. | * 百度也有跨站! 安恒机密. | * 安恒机密. | * 数据库篡改-动态网页被挂马 目前最流行, 最严重的方式 安恒机密. | * 层出不穷的数据库安全事件 2005年，美国爆发了堪称迄今为止最大的金融数据泄密事件，有黑客侵入了为万事达、Visa、AmericanExpress和Discover服务的“信用卡第三方付款处理器”的网络系统，造成4000多万信用卡用户的数据资料被窃。 2006年2月，某运维公司的工程师利用之前给西藏移动安装系统的机会，盗取了370多万元的移动充值卡，并出售套利。 2006年6月份，某网络公司工程师利用编写的程序盗取了70多万元的移动充值卡。 从2006年8月至2007年4月，四川省某学院综合教务管理网络化系统被黑客入侵，电脑管理系统中有130余名学生多达302科学习成绩被黑客非正常改动。 数据库保护工作的缺失 带来的影响 客户流失 国家机密的泄密 企业品牌的损害 企业经济损失 正常服务的中断 法律问题 安恒机密. | * 防火墙 局域网交换机 骨干路由器 数据库服务器 应用服务器 内部办公系统 业务系统B 共享存储 专线路由器 防火墙 局域网交换机 应用服务器 业务系统A 数据库服务器 客户/合作伙伴 数据库的安全是信息系统安全的核心 是企业数据信息的最终载体 是企业业务系统的核心 不同于网络传输，数据如果在数据库中被篡改或丢失，是难于恢复的 安恒机密. | * 数据库风险点分析 数据库安全环境 操作系统/数据库 客户端应用 应用服务器