1 / 72

高校网站设防与安全监测

高校网站设防与安全监测. 诸葛建伟 北京大学计算机研究所信息安全工程研究中心. 内容纲要. 网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁:网络协议攻击 系统 / 服务安全威胁:服务器系统攻击 Web 应用安全威胁: Web 应用攻击 Web 数据安全威胁:敏感信息泄漏 / 网页篡改与不良信息内容 Web 浏览安全威胁:网站挂马 高校网站安全监测公益性服务 - 高校网站体检中心 总结. 网站系统 (Web 应用 ) 的体系结构. 网站系统 (Web 应用 ) 体系结构 传统 C/S 架构的计算  B/S 架构

tate-battle
Download Presentation

高校网站设防与安全监测

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 高校网站设防与安全监测 诸葛建伟 北京大学计算机研究所信息安全工程研究中心

  2. 内容纲要 • 网站系统的体系结构与主要安全威胁类型 • 高校网站主要安全威胁及设防措施 • 网络安全威胁:网络协议攻击 • 系统/服务安全威胁:服务器系统攻击 • Web应用安全威胁:Web应用攻击 • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容 • Web浏览安全威胁:网站挂马 • 高校网站安全监测公益性服务-高校网站体检中心 • 总结

  3. 网站系统(Web应用)的体系结构 • 网站系统(Web应用)体系结构 • 传统C/S架构的计算B/S架构 • “痩”客户端: Browser (Web客户端浏览器) • “厚”服务器: Web服务器、Web应用程序、数据… • 网络通讯机制: HTTP/HTTPS

  4. 网站系统的脆弱性与安全威胁 Web浏览安全威胁: 网站挂马,Phishing Web数据安全威胁: 敏感信息泄漏/内容篡改/不良信息内容 Web客户端浏览器 Web应用安全威胁: 针对Web应用的渗透攻击 服务安全威胁: 针对Web服务器的渗透攻击 系统安全威胁: 针对操作系统的渗透攻击 网络安全威胁: 机密窃听、假冒身份

  5. 内容纲要 • 网站系统的体系结构与主要安全威胁类型 • 高校网站主要安全威胁及设防措施 • 网络安全威胁:网络协议攻击 • 系统/服务安全威胁:服务器系统攻击 • Web应用安全威胁:Web应用攻击 • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容 • Web浏览安全威胁:网站挂马 • 高校网站安全监测公益性服务-高校网站体检中心 • 总结

  6. 网络协议攻击 - HTTP • HTTP明文传输不安全 – 容易被网络嗅探 • 门户网站登录尽量应使用HTTPS协议

  7. 网络协议攻击 – 网络层及传输层 • ARP欺骗攻击 • ARP欺骗中间人攻击 • 交换网络中实现网络嗅探 • ARP欺骗挂马 • 设防措施: ARP防火墙、MAC封禁机制、关键网站服务器静态绑定MAC-IP映射 • TCP Syn Flood • 网站拒绝服务攻击,消耗连接队列、计算和网络资源 • 缓解机制: Syn Cookie / Syn Proxy • 流量巨大的DDoS攻击:无法防御。应对措施:暂时转移到其他IP段,报案处理

  8. 内容纲要 • 网站系统的体系结构与主要安全威胁类型 • 高校网站主要安全威胁及设防措施 • 网络安全威胁:网络协议攻击 • 系统/服务安全威胁:服务器系统攻击 • Web应用安全威胁:Web应用攻击 • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容 • Web浏览安全威胁:网站挂马 • 高校网站安全监测公益性服务-高校网站体检中心 • 总结

  9. 网站操作系统及服务渗透攻击威胁 • 网站系统主流使用的操作系统+Web服务 • Windows Server + IIS + MSSQL +ASP/ASP.Net • LAMP: Linux + Apache + MySQL + PHP • 操作系统/Web服务存在的安全弱点 • 操作系统开放网络服务安全漏洞 • FTP(网站应用程序更新)、SSH(远程管理)、… • Web服务相关网络服务安全漏洞 • IIS/Apache; MSSQL/MySQL; … • 不安全配置: 缺省/弱口令、不必要服务、错误配置…

  10. 网站操作系统及服务安全设防措施 • 操作系统及Web服务的及时补丁更新 • Windows的补丁更新机制: 软件正版化,自动更新/WSUS服务,定期维护 • Linux的补丁更新机制:APT/YUM/crond设置定期更新任务 • 网站操作系统及Web服务的安全漏洞远程扫描 • 使用安全漏洞扫描在攻击者之前发现并修补漏洞和弱点 • 商业:绿盟“极光”漏洞扫描器/启明“天镜”… • 开源:Nessus软件 • 提升操作系统和Web服务安全性的一般性设防措施 • 关闭所有不必要的服务,避免使用明文传输服务(如FTP/Telnet) • 设置强口令,以及安全的服务配置(如禁止列出目录等) • 部署防火墙,设置对控制及内容上传通道的限制访问

  11. Nessus扫描软件

  12. 内容纲要 • 网站系统的体系结构与主要安全威胁类型 • 高校网站主要安全威胁及设防措施 • 网络安全威胁:网络协议攻击 • 系统/服务安全威胁:服务器系统攻击 • Web应用安全威胁:Web应用攻击 • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容 • Web浏览安全威胁:网站挂马 • 高校网站安全监测公益性服务-高校网站体检中心 • 总结

  13. Web应用安全威胁类型 • OWASP(开放式Web应用程序安全项目) Top 10

  14. SQL注入攻击 • SQL注入攻击 • 输入数据被Web应用程序用于生成SQL语句 • 输入数据合法性检查不严格 • 攻击者恶意构造输入,注入至SQL语句中恶意执行 • SQL注入点例子 • strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"'); " • userName, passWord是用户输入数据 • userName = "' OR '1'='1"; • passWord = "' OR '1'='1"; • 实际执行SQL语句: "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');" • SQL注入危害 • 窃取后台管理帐号;获取数据库管理员帐号;执行shell命令打开后门

  15. SQL注入攻击实例 • 某大学科研部科研经费查询系统 • where some_rec like ' %INPUT% ' • where some_rec like ' %a% ' or ' a ' like ' %a% '

  16. 自动化SQL注入攻击工具 • 自动化SQL注入漏洞发现 • Wposion • 能够在动态Web文档中找出SQL注入漏洞的工具 • mieliekoek.pl • 以网站镜像工具生成的输出为输入,找出含有表单页面 • 允许在配置文件中对注入字符串进行修改 • 自动化SQL注入测试 • SPIKE Proxy工具 • 允许使用者对待注入字符串进行定制 • SPI Toolkit工具包中的“SQL Injector”工具 • 国内黑客界工具 • NBSI、HDSI、阿D注入工具、CSC、WED… • Pangolin

  17. HDSI自动注入工具

  18. XSS攻击 • XSS (Cross-Site Scripting), 跨站脚本攻击 • 在Web页面中插入恶意脚本,使得其他用户浏览时执行恶意脚本,达到攻击目的 • 根源:Web应用程序没有对非预期输入做全面有效检查和净化. • 危害最严重的一类XSS攻击-持久性XSS • 典型案例: 留言本/论坛/博客/wiki等。 • 漏洞形式: Web应用程序允许用户输入内容并持久保存并显示在网页上. • 攻击方式: 攻击者通过利用跨站漏洞构建恶意脚本,对大量用户构成危害.

  19. 跨站漏洞攻击原理演示 攻击目标:迷你留言本 测试漏洞 漏洞确认 通过跨站漏洞植入网马 遭受网马攻击

  20. Web应用程序漏洞扫描与检测 • Web应用程序漏洞扫描器 • Web应用程序安全性测试: 自动化扫描工具作为辅助 • 需结合手工分析和测试

  21. WebInspect, WVS, AppScan

  22. Web应用程序安全设防措施 • 信息发布类网站无需引入动态网页 • 静态网页站点较动态网页站点安全性高,性能更好 • 通过后台系统产生信息发布静态页面 • 新浪、搜狐等门户网站也使用此方案 • 兰州大学信息门户的应用-李仲贤 COST论坛 • 必需Web应用程序的网站 – 需要提供用户交互 • 论坛/博客/留言/网上课程/门户应用… • 尽量使用具有良好安全信誉的Web应用软件包 • 活跃的开源和共享软件: phpwind, wordpress, wikimedia, … • 规范运作、注重安全的商业软件公司解决方案 • 定期的Web应用程序漏洞扫描评估 • Web应用程序的升级与安全漏洞修补 • 使用第三方Web应用软件应跟进版本更新和安全补丁 • 自己或委托实现的Web应用程序,需持续性的安全测试与维护

  23. 内容纲要 • 网站系统的体系结构与主要安全威胁类型 • 高校网站主要安全威胁及设防措施 • 网络安全威胁:网络协议攻击 • 系统/服务安全威胁:服务器系统攻击 • Web应用安全威胁:Web应用攻击 • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容 • Web浏览安全威胁:网站挂马 • 高校网站安全监测公益性服务-高校网站体检中心 • 总结

  24. 敏感信息泄漏 • 敏感信息类型 • GF、BM等科研敏感信息 • 教师、学生个人隐私信息 • 网络安全敏感信息 • 通常的信息泄漏途径和方式 • 未关闭Web服务器的目录遍历,不经意泄漏 • Upload、Incoming等目录中转文件时泄漏 • 缺乏安全意识,在公开的文档中包含个人隐私信息 • 在公开的个人简历、职称晋升材料、课题申请书等包含科研敏感信息

  25. 高校网站泄漏科研敏感信息实例

  26. 高校网站泄漏科研敏感信息实例 • Google: filetype:xls site:edu.cn 课题 身份证号

  27. 高校网站泄漏学生敏感信息的例子 • Google搜索词 • “filetype:xls 身份证号 site:edu.cn” • “filetype:xls 信用卡 site:edu.cn”

  28. 高校网站泄漏网络安全敏感信息实例 源代码中泄漏数据库连接地址、口令与密码MD5值的例子

  29. 网页内容篡改 • 2008年9月:北大/清华网站被黑,假冒校长发文

  30. 网页篡改站点列表

  31. 网页篡改站点列表(2)

  32. 使用Google搜索被黑网站 • 基于元搜索引擎实现被篡改网站发现与攻击者调查剖析

  33. 使用Google搜索被黑网站

  34. 不良信息内容 • 网站面临的不良信息内容威胁 • 网站被攻陷后可能成为不良信息的存储和中转仓库 • 提供用户交互的论坛/博客等网站可能涉及用户上传不良信息

  35. 不良信息内容-违法

  36. 网站数据安全设防措施 • 提高网站维护人员的数据安全意识 • BM不联网,联网信息不涉密,不应在网上公开团队/个人承担涉密项目(可能引来针对性攻击) • 注重个人隐私: 网上公布数据中尽可能不包括个人隐私信息 • 注意对论坛/博客/留言等允许用户提交数据的审查 (清除违法信息) • 注意不要公布网站安全相关的敏感信息 • 网站数据安全性监测和防护措施 • 提升网站系统、Web应用程序的安全性 • 善用Google等搜索引擎,定期进行敏感数据检查 • 对网站的安全配置进行检查,尽量消除目录遍历、随意上传渠道 • 对接受用户交互的网站列出清单,进行定期检查 • 建立规范快捷的网站安全响应机制和流程

  37. 内容纲要 • 网站系统的体系结构与主要安全威胁类型 • 高校网站主要安全威胁及设防措施 • 网络安全威胁:网络协议攻击 • 系统/服务安全威胁:服务器系统攻击 • Web应用安全威胁:Web应用攻击 • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容 • Web浏览安全威胁:网站挂马 • 高校网站安全监测公益性服务-高校网站体检中心 • 总结

  38. 网站挂马 • 网页木马 • 针对浏览器/插件/客户端软件漏洞的渗透攻击代码(browser-side exploit) • 通常被挂接至被黑网站上,危害网站的访问者 • 目的:植入盗号木马等恶意程序,窃取敏感信息,盗用资源进行DDoS和发送垃圾邮件等 • 网站挂马 • 将网页木马挂接至被黑网站的网页上,使得客户端浏览器在访问该网页同时加载网页木马,从而被渗透攻击,植入恶意程序 • 网站攻击手段:系统、服务、Web应用程序的渗透攻击 • 挂接手段:iframe, script等多种内嵌链接方式,通常不可见 • 通过混淆技术进行挂马链接的隐藏和对抗分析

  39. 高校招生网站挂马案例

  40. 精品课程类网站被大批挂马 • 52个精品课程类网站被挂马, 检测次数达413次 jpkc.51099.com 外连到各个精品网站url jpkc.cumt.edu.cn “中国矿业大学精品课程网站” jpkc.myvtc.edu.cn “绵阳职业技术学院精品课程” jpkc.fjau.edu.cn “福建农林大学——精品课程建设工程” gdjpkc.xmu.edu.cn “高等代数::厦门大学精品课程” www.jpkc.swust.edu.cn:8080 “精品课程_西南科技大学” jpkc.hust.edu.cn “华中科技大学精品课程” jpkc.haue.edu.cn “河南工程学院精品课程建设网” jpkc.sdau.edu.cn “山东农业大学 – 精品课程” jpkc.tongji.edu.cn “同济大学精品课程” jpkc.jsit.edu.cn “精品课程中心==江苏信息职业技术学院” jpkc.hzvtc.edu.cn “杭州职业技术学院精品课程网站” mkszy.jpkc1.ynnu.edu.cn “云南师范大学,省级精品课程建设平台” jpkch.qtech.edu.cn “青岛理工大学精品课程” jpkc.gzarts.edu.cn “广州美术学院精品课程建设网站” jpkc.ntu.edu.cn “南通大学精品课程网” jpkc.dlmu.edu.cn “大连海事大学本科教学质量与改革工程” jpkc.open.ha.cn “河南省精品课程” jpkc.gxun.edu.cn “广西民族大学精品课程网” jpkc1.ynnu.edu.cn “云南师范大学-高等学校高水平运动队建设–支撑材料网站” jpkc.znufe.edu.cn “中南财经政法大学精品课程” ……

  41. How? 精品课程类网站挂马案例 • jpkc.cumt.edu.cn,中国矿业大学精品课程网站 • 从2010年2月26日至9月13日(撰写材料当日)一直持续挂马,系统共检测出挂马URL 341条次 • ASP建站动态页面

  42. 该案例中的网页挂马链图示

  43. 该案例中的挂马链接 • hxxp://jpkc.cumt.edu.cn/huagong/default.asp页面被植入一大堆混淆后的恶意链接 • 活跃链接:hxxp://bio.isgre.at/b.js?google_ad=09x061

  44. 该案例中的跳转链接 • hxxp://bio.isgre.at/b.js?google_ad=09x061 • 设置Cookie干嘛? • 防止攻击重入

  45. 该案例中的分发链接 javascript中的 <!--  --> 欺骗HTML Parser,隐藏代码 jc()函数 检查是否有瑞星/360 探测是否存在Flash 通过Flash加载恶意链接 输出恶意链接av.htm

  46. 该案例中真正的渗透攻击代码 ie.jpg iee.jpg 带有混淆和对抗分析机制的 极风 MS10-018渗透攻击代码 ieee.jpg 6.htm

  47. 为什么大量精品课程网站被挂马? • 什么是精品课程网站? • 2003年教育部启动的精品课程建设,国家/省/校三级 • 天空教室由南京易学教育软件有限公司创立,成为各高校精品网站建设中最普及的工具 • 为什么大量精品课程网站被挂马? • 罪魁祸首: 天空教室精品课程建站Web应用软件 • 存在大量SQL注入安全漏洞

  48. 天空教室SQL注入攻击

  49. 天空教室SQL注入攻击

  50. 天空教室SQL注入攻击

More Related