WEB应用安全和数据库安全 .pptVIP

目录 简介 WEB应用安全 数据库安全 解决方案 黑客产业链 - 网上木马典型传播途径 锁定网站目标如电子商务网站 利用Web应用的弱点特别是各类SQL注入等Web安全漏洞, 入侵和控制Web服务器 篡改网页植入恶意代码 网站客户在访问网站时候被自动植入木马； 在控制个人用户计算机(肉鸡)后，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、密码或针对性的窃取商业信息等。 08年7月网络与信息安全协调小组组织某省大检查 总共检测省级网站近70家 90%网站存在严重安全隐患 部分网站已经被挂马或被黑客控制 大检查基本上使用评测工具进行远程评估工作 发现问题的网站漏洞类型分布图 电子商务网站所面临的风险 系统层面 –存在弱点的操作系统、存在问题的WEB发布系统 IIS 、Apache、Weblogic、tomcat等 应用层面 – SQL 注入 跨站脚本(钓鱼攻击) 表单漏洞 上传漏洞 网页木马(恶意代码) …… 网络层面 - ARP欺骗攻击 网络嗅探 网络安全现状触目惊心 2008年上半年网络安全报告 主机数达520多万 僵尸网络 被篡改网站（28367） 比去年同期增加4倍，比去年全年增加了近16.9% 网络仿冒事件 超过去年全年总数的14.6% 网页恶意代码事件 超过去年全年总数的12.5% 被植入木马主机 远远超过去年全年，增幅达21倍 黑客产业链 入侵者 入侵企业服务器 窃取机密信息(图纸、财务报表等） 出售 收费传播流氓软件 获取金钱 拒绝服务攻击 发送垃圾邮件 批量入侵网站 盗取银行帐号 盗取信用卡帐号 盗取证券交易帐号 盗取虚拟财产 组建僵尸网络 洗钱 主动攻击勒索网站 受雇攻击收取佣金 层出不穷的应用和数据库安全事件 针对政府、银行、电子商务等公众网站 层出不穷的应用和数据库安全事件 针对运营商 内部黑手频频探囊安全网络---“没有密码”的充值卡 互联星空被挂木马,宽带用户集体中毒 电信HTTP劫持服务器被挂木马 黑客使电信企业损失被判刑13年 ...... 攻击悄无声息 数据库 Web服务器 Authentication Data Dictionary Privileges/Roles Sensitive App Data OS file Access Buffer overflow DOS 防火墙 安恒安全团队发现的部分跨站漏洞 利用跨站获取COOKIE 利用跨站造成页面被黑 百度也有跨站! 数据库篡改-动态网页被挂马 目前最流行, 最严重的方式 层出不穷的数据库安全事件 2005年，美国爆发了堪称迄今为止最大的金融数据泄密事件，有黑客侵入了为万事达、Visa、AmericanExpress和Discover服务的“信用卡第三方付款处理器”的网络系统，造成4000多万信用卡用户的数据资料被窃。 2006年2月，某运维公司的工程师利用之前给西藏移动安装系统的机会，盗取了370多万元的移动充值卡，并出售套利。 2006年6月份，某网络公司工程师利用编写的程序盗取了70多万元的移动充值卡。 从2006年8月至2007年4月，四川省某学院综合教务管理网络化系统被黑客入侵，电脑管理系统中有130余名学生多达302科学习成绩被黑客非正常改动。 数据库保护工作的缺失 带来的影响 客户流失 国家机密的泄密 企业品牌的损害 企业经济损失 正常服务的中断 法律问题 防火墙 局域网交换机 骨干路由器 数据库服务器 应用服务器 内部办公系统 业务系统B 共享存储 专线路由器 防火墙 局域网交换机 应用服务器 业务系统A 数据库服务器 客户/合作伙伴 数据库的安全是信息系统安全的核心 是企业数据信息的最终载体 是企业业务系统的核心 不同于网络传输，数据如果在数据库中被篡改或丢失，是难于恢复的 数据库风险点分析 数据库安全环境 操作系统/数据库 客户端应用 应用服务器 应用 DBA/开发人员工作终端 其他相关人员工作终端 数据库泄密环节 初始安装 数据库补丁或升级 数据库的日常维护 正常业务系统运行 应用软件的升级 数据库风险的产生 内部用户 合法权限滥用 权限盗用 越权滥用 权限分配不当 临时帐号未及时清理 备份数据缺乏保护 离职员工的后门 合作伙伴 合法权限滥用 权限盗用 越权滥用 后门程序 数据中心 数据库软件 数据库平台漏洞 通讯协议漏洞 弱鉴权机制 日志缺失或不完整 应用程序 程序漏洞 数据库类型面面观 Oracle SQL Server Mysql DB2 MS Access BEA Co