2月25下午,CSDN(微博)在北京麗亭華苑酒店舉行了TUP第二十期活動——互聯(lián)網(wǎng)安全。本次活動邀請了眾多安全界專家,安天實驗室反病毒引擎研發(fā)中心經(jīng)理童志明,安恒信息安全服務(wù)部門經(jīng)理劉志樂,C/C++/ASM程序員,xsign成員張亞一和pr0zel windows安全研究員李敏怡。他們將在本次演講中以大量實例演示,闡明互聯(lián)網(wǎng)安全的安全防御與漏洞補殺、分析用戶身份認(rèn)證等亟需解決的問題所在。
安恒信息安全服務(wù)部門經(jīng)理劉志樂在活動中發(fā)表《“泄密門”帶給我們的警示》主題演講。
劉志樂演講中表示,目前75%的安全隱患來自于Web應(yīng)用系統(tǒng)所存在的安全漏洞,三分之二的WEB站點都相當(dāng)脆弱,易受到攻擊。Web應(yīng)用安全嚴(yán)峻的現(xiàn)狀。常見Web應(yīng)用安全漏洞說明主要從兩方面來闡述,一方面從權(quán)威的OWASP統(tǒng)計顯示2010年名列前十的安全漏洞;另一方面,通過從漏洞產(chǎn)生原因、危害以及加固建議三個方面來描述目前常見的高危WEB應(yīng)用安全漏洞。
從整體的安全產(chǎn)品防護(hù)、安全服務(wù)兩個方面來闡述如何對WEB應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)。安全產(chǎn)品防護(hù)主要是描述WEB應(yīng)用安全產(chǎn)品的部署防護(hù),安全服務(wù)主要是描述Web應(yīng)用系統(tǒng)的安全服務(wù)體系概述、安全服務(wù)內(nèi)容以及安全服務(wù)主要實施技術(shù)和工具。
以下是演講實錄:
今天跟大家一起交流外部應(yīng)用方面的安全,以及這些安全的漏洞原因,會展現(xiàn)這些漏洞簡單的演示,然后也會說一下怎么樣防護(hù)這個安全。
用戶數(shù)據(jù)泄露已被重視
首先我們看一看近期一個熱點。去年有很多網(wǎng)站的數(shù)據(jù)都遭到了竊密這一塊大家無論是在微博還是在媒體,還是在QQ都能看到。這些充分說明政府開始重視這一塊,還有一些行業(yè)重視這一塊。因為去年出了這個事情以后,我也去了很多地方,包括參加政府部門召開的一些會議,包括一些學(xué)術(shù)研究會議,給我的感覺就是每個單位當(dāng)時正在坐領(lǐng)導(dǎo)位置,尤其是主管信息安全的這些領(lǐng)導(dǎo),他們覺得坐的不扎實,如坐針氈。
同時國家也在這個方面做了一些重視,CSDN董事長曾經(jīng)發(fā)表一個文章,他說80%網(wǎng)站都是存在漏洞問題,過去這個問題都存在,只不過沒有人重視它、關(guān)注它而已,只不過這次泄密門事件,導(dǎo)致大家把眼球全部吸引到這個上面來,然后大家才知道,原來我們每天生活在如此不安全的社會里面。
作為國家這一塊通訊部目前已經(jīng)對一些站點已經(jīng)進(jìn)行了一些防護(hù),包括要求一些搜索引擎,必須把銀行的引擎排在第一位,防止一些釣魚事件的發(fā)生,大家也眾所周知,我不知道今天有沒有百度的人在,只不過有時候排名會影響到使用者,會容易被釣魚。
互聯(lián)網(wǎng)安全現(xiàn)狀
第二部分講目前的安全現(xiàn)狀。最近每一年都有一些國家的權(quán)威機(jī)構(gòu)都會發(fā)布一些權(quán)威布局,包括一些行業(yè)知名的安全公司,也會出現(xiàn)一些安全形式的數(shù)據(jù)。這一塊剛才前面蔣總的文章也提到了,外部的危機(jī)從2005年開始,那個時候更多人攻擊手段還是基于以前傳統(tǒng)的網(wǎng)絡(luò)層的溜光、去發(fā)現(xiàn)斷口上有沒有問題。但是到了2005年左右開始,因為當(dāng)時的人、整個社會他們已經(jīng)認(rèn)識到我要用防火墻把這些斷口防護(hù)住。分別把什么東西放在內(nèi)網(wǎng)里邊,通過這個區(qū)域網(wǎng)域來控制,這個時候?qū)τ诤诳蛠碇v,他唯一能入侵的手段就是你對外提供了服務(wù)的應(yīng)用系統(tǒng)。
因為你應(yīng)用系統(tǒng)掉對外服務(wù),你的斷口在防火墻上面必須開啟,那么這樣攻擊者就可以利用你開啟了的斷口,利用你應(yīng)用系統(tǒng)自身的弱點,對你的應(yīng)用系統(tǒng)發(fā)起攻擊。這是2010年CNCERT的一份統(tǒng)計報表,這份統(tǒng)計報表現(xiàn)實了逐月的篡改。
這一些是網(wǎng)馬的情況,我們經(jīng)常收到一些短信告訴我們推銷產(chǎn)品,或者是詐騙的,有時候我們的信息就是因為我們的電腦中了網(wǎng)馬,我們自己的信息被人家竊取了等等。
這一塊是另外一個統(tǒng)計報告,就是釣魚。實際上釣魚這塊,從去年上半年中國銀行的釣魚事件出來以后,整個的包括國家大大小小的銀行實際上對這一塊還是蠻關(guān)注的。
漏洞的入侵手段與防范建議
我們目前工作中,整個發(fā)現(xiàn)的Web應(yīng)用產(chǎn)品比較多的、危害比較大的一些漏洞。
第一類——SQL注入。這個SQL注入原理很簡單,就是由于客戶端的惡意攻擊者,他把自己想注入的提交的惡意的參數(shù),到了你的Wed服務(wù)器,你的Wed服務(wù)器對這個參數(shù)沒有進(jìn)行過濾和驗證,直接把他的參數(shù)就放到了后端的DP服務(wù)器做SQL查詢,這個時候就產(chǎn)生的注入。
這一塊注入,我們看一下注入形式是什么。比如說就像這個地方,本身可以填一個ID,他返回客戶端是adimin,我們看源代碼原本查詢的就要就是這么做的。大家看到這個ID直接從這邊就過來了,沒有進(jìn)行過濾措施。這個時候作為我的話,就可以這樣的。先加一個大引號,然后提交一下,這個時候就報錯了,這個報錯并不是應(yīng)用系統(tǒng)報錯了,而是后臺的SQL數(shù)據(jù)庫里報錯了,報錯了以后,應(yīng)用系統(tǒng)的前臺把這個報錯直接報到前臺給客戶看到了。
對于攻擊者來講,這種沒閉合或者閉合不閉合對他來講沒有多大意義。我們今天簡單演示一下,我們用聯(lián)合查詢,比如說我們查詢這張表里所有的信息,這個時候我就會把這張表里所有的數(shù)據(jù)查出來了,這個只是一個SQL注入的一個最簡單的演示,可能SQL注入產(chǎn)生危害有很多。首先他能把數(shù)據(jù)查出來,能夠把數(shù)據(jù)倒走。
對于這樣的漏洞我們有如下一些簡單的一些建議。這個建議肯定不完整,也因為本身我們今天只是一個簡單的交流,不可能寫一個長篇大論,來針對SQL注入說一大篇,我只能說簡單的幾方面。
第一個,你要檢查用戶的輸入,因為大家都知道HDDP協(xié)議是一個純文本協(xié)議,我們有句話講叫永遠(yuǎn)不要相信用戶的輸入,這個輸入不管是你他看得見的輸入,還是他看不見的輸入,這些東西都可以被攻擊者作為攻擊的參數(shù)。因為所有的東西,只要有一個代理工具都可以做到。
第二個,就是要轉(zhuǎn)義用戶的輸入,把用戶的輸入進(jìn)行轉(zhuǎn)義,讓他執(zhí)行不了。
第三個,就是拒絕已經(jīng)轉(zhuǎn)義過的輸入。
第四個,使用參數(shù)化的查詢。就是JAVA都帶這個功能,目前PHP沒有怎么研究,這一塊可以自動取做的。
第五個,是使用SQL的存儲過程。這個方式并不能百分之百避免SQL注入,有一些動態(tài)的過程也會觸發(fā)注入。你完全不能避免,有些地方可能有用你應(yīng)用的需要,你還真就需要去拼接SQL查詢語句,可以不拼接就不要拼接,用這個SQL存儲實現(xiàn)。
推薦閱讀
以后西鄉(xiāng)人體驗或者購買ThL手機(jī)再也不用跑去華強北那么遠(yuǎn)了!2月中,ThL西鄉(xiāng)體驗店正式落戶在西鄉(xiāng)街道富成路,屆時深圳市民又多了一個購機(jī)地點選擇。據(jù)了解,西鄉(xiāng)擁有非常好的手機(jī)消費氛圍,ThL希望借助西鄉(xiāng)布局深圳>>>詳細(xì)閱讀
本文標(biāo)題:安恒劉志樂:“泄密門”帶給我們的警示
地址:http://www.sdlzkt.com/a/kandian/20120305/36966.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示