2月25下午,CSDN(微博)在北京麗亭華苑酒店舉行了TUP第二十期活動(dòng)——互聯(lián)網(wǎng)安全。本次活動(dòng)邀請(qǐng)了眾多安全界專家,安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明,安恒信息安全服務(wù)部門(mén)經(jīng)理劉志樂(lè),C/C++/ASM程序員,xsign成員張亞一和pr0zel windows安全研究員李敏怡。他們將在本次演講中以大量實(shí)例演示,闡明互聯(lián)網(wǎng)安全的安全防御與漏洞補(bǔ)殺、分析用戶身份認(rèn)證等亟需解決的問(wèn)題所在。
安恒信息安全服務(wù)部門(mén)經(jīng)理劉志樂(lè)在活動(dòng)中發(fā)表《“泄密門(mén)”帶給我們的警示》主題演講。
劉志樂(lè)演講中表示,目前75%的安全隱患來(lái)自于Web應(yīng)用系統(tǒng)所存在的安全漏洞,三分之二的WEB站點(diǎn)都相當(dāng)脆弱,易受到攻擊。Web應(yīng)用安全嚴(yán)峻的現(xiàn)狀。常見(jiàn)Web應(yīng)用安全漏洞說(shuō)明主要從兩方面來(lái)闡述,一方面從權(quán)威的OWASP統(tǒng)計(jì)顯示2010年名列前十的安全漏洞;另一方面,通過(guò)從漏洞產(chǎn)生原因、危害以及加固建議三個(gè)方面來(lái)描述目前常見(jiàn)的高危WEB應(yīng)用安全漏洞。
從整體的安全產(chǎn)品防護(hù)、安全服務(wù)兩個(gè)方面來(lái)闡述如何對(duì)WEB應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)。安全產(chǎn)品防護(hù)主要是描述WEB應(yīng)用安全產(chǎn)品的部署防護(hù),安全服務(wù)主要是描述Web應(yīng)用系統(tǒng)的安全服務(wù)體系概述、安全服務(wù)內(nèi)容以及安全服務(wù)主要實(shí)施技術(shù)和工具。
以下是演講實(shí)錄:
今天跟大家一起交流外部應(yīng)用方面的安全,以及這些安全的漏洞原因,會(huì)展現(xiàn)這些漏洞簡(jiǎn)單的演示,然后也會(huì)說(shuō)一下怎么樣防護(hù)這個(gè)安全。
用戶數(shù)據(jù)泄露已被重視
首先我們看一看近期一個(gè)熱點(diǎn)。去年有很多網(wǎng)站的數(shù)據(jù)都遭到了竊密這一塊大家無(wú)論是在微博還是在媒體,還是在QQ都能看到。這些充分說(shuō)明政府開(kāi)始重視這一塊,還有一些行業(yè)重視這一塊。因?yàn)槿ツ瓿隽诉@個(gè)事情以后,我也去了很多地方,包括參加政府部門(mén)召開(kāi)的一些會(huì)議,包括一些學(xué)術(shù)研究會(huì)議,給我的感覺(jué)就是每個(gè)單位當(dāng)時(shí)正在坐領(lǐng)導(dǎo)位置,尤其是主管信息安全的這些領(lǐng)導(dǎo),他們覺(jué)得坐的不扎實(shí),如坐針氈。
同時(shí)國(guó)家也在這個(gè)方面做了一些重視,CSDN董事長(zhǎng)曾經(jīng)發(fā)表一個(gè)文章,他說(shuō)80%網(wǎng)站都是存在漏洞問(wèn)題,過(guò)去這個(gè)問(wèn)題都存在,只不過(guò)沒(méi)有人重視它、關(guān)注它而已,只不過(guò)這次泄密門(mén)事件,導(dǎo)致大家把眼球全部吸引到這個(gè)上面來(lái),然后大家才知道,原來(lái)我們每天生活在如此不安全的社會(huì)里面。
作為國(guó)家這一塊通訊部目前已經(jīng)對(duì)一些站點(diǎn)已經(jīng)進(jìn)行了一些防護(hù),包括要求一些搜索引擎,必須把銀行的引擎排在第一位,防止一些釣魚(yú)事件的發(fā)生,大家也眾所周知,我不知道今天有沒(méi)有百度的人在,只不過(guò)有時(shí)候排名會(huì)影響到使用者,會(huì)容易被釣魚(yú)。
互聯(lián)網(wǎng)安全現(xiàn)狀
第二部分講目前的安全現(xiàn)狀。最近每一年都有一些國(guó)家的權(quán)威機(jī)構(gòu)都會(huì)發(fā)布一些權(quán)威布局,包括一些行業(yè)知名的安全公司,也會(huì)出現(xiàn)一些安全形式的數(shù)據(jù)。這一塊剛才前面蔣總的文章也提到了,外部的危機(jī)從2005年開(kāi)始,那個(gè)時(shí)候更多人攻擊手段還是基于以前傳統(tǒng)的網(wǎng)絡(luò)層的溜光、去發(fā)現(xiàn)斷口上有沒(méi)有問(wèn)題。但是到了2005年左右開(kāi)始,因?yàn)楫?dāng)時(shí)的人、整個(gè)社會(huì)他們已經(jīng)認(rèn)識(shí)到我要用防火墻把這些斷口防護(hù)住。分別把什么東西放在內(nèi)網(wǎng)里邊,通過(guò)這個(gè)區(qū)域網(wǎng)域來(lái)控制,這個(gè)時(shí)候?qū)τ诤诳蛠?lái)講,他唯一能入侵的手段就是你對(duì)外提供了服務(wù)的應(yīng)用系統(tǒng)。
因?yàn)槟銘?yīng)用系統(tǒng)掉對(duì)外服務(wù),你的斷口在防火墻上面必須開(kāi)啟,那么這樣攻擊者就可以利用你開(kāi)啟了的斷口,利用你應(yīng)用系統(tǒng)自身的弱點(diǎn),對(duì)你的應(yīng)用系統(tǒng)發(fā)起攻擊。這是2010年CNCERT的一份統(tǒng)計(jì)報(bào)表,這份統(tǒng)計(jì)報(bào)表現(xiàn)實(shí)了逐月的篡改。
這一些是網(wǎng)馬的情況,我們經(jīng)常收到一些短信告訴我們推銷產(chǎn)品,或者是詐騙的,有時(shí)候我們的信息就是因?yàn)槲覀兊碾娔X中了網(wǎng)馬,我們自己的信息被人家竊取了等等。
這一塊是另外一個(gè)統(tǒng)計(jì)報(bào)告,就是釣魚(yú)。實(shí)際上釣魚(yú)這塊,從去年上半年中國(guó)銀行的釣魚(yú)事件出來(lái)以后,整個(gè)的包括國(guó)家大大小小的銀行實(shí)際上對(duì)這一塊還是蠻關(guān)注的。
漏洞的入侵手段與防范建議
我們目前工作中,整個(gè)發(fā)現(xiàn)的Web應(yīng)用產(chǎn)品比較多的、危害比較大的一些漏洞。
第一類——SQL注入。這個(gè)SQL注入原理很簡(jiǎn)單,就是由于客戶端的惡意攻擊者,他把自己想注入的提交的惡意的參數(shù),到了你的Wed服務(wù)器,你的Wed服務(wù)器對(duì)這個(gè)參數(shù)沒(méi)有進(jìn)行過(guò)濾和驗(yàn)證,直接把他的參數(shù)就放到了后端的DP服務(wù)器做SQL查詢,這個(gè)時(shí)候就產(chǎn)生的注入。
這一塊注入,我們看一下注入形式是什么。比如說(shuō)就像這個(gè)地方,本身可以填一個(gè)ID,他返回客戶端是adimin,我們看源代碼原本查詢的就要就是這么做的。大家看到這個(gè)ID直接從這邊就過(guò)來(lái)了,沒(méi)有進(jìn)行過(guò)濾措施。這個(gè)時(shí)候作為我的話,就可以這樣的。先加一個(gè)大引號(hào),然后提交一下,這個(gè)時(shí)候就報(bào)錯(cuò)了,這個(gè)報(bào)錯(cuò)并不是應(yīng)用系統(tǒng)報(bào)錯(cuò)了,而是后臺(tái)的SQL數(shù)據(jù)庫(kù)里報(bào)錯(cuò)了,報(bào)錯(cuò)了以后,應(yīng)用系統(tǒng)的前臺(tái)把這個(gè)報(bào)錯(cuò)直接報(bào)到前臺(tái)給客戶看到了。
對(duì)于攻擊者來(lái)講,這種沒(méi)閉合或者閉合不閉合對(duì)他來(lái)講沒(méi)有多大意義。我們今天簡(jiǎn)單演示一下,我們用聯(lián)合查詢,比如說(shuō)我們查詢這張表里所有的信息,這個(gè)時(shí)候我就會(huì)把這張表里所有的數(shù)據(jù)查出來(lái)了,這個(gè)只是一個(gè)SQL注入的一個(gè)最簡(jiǎn)單的演示,可能SQL注入產(chǎn)生危害有很多。首先他能把數(shù)據(jù)查出來(lái),能夠把數(shù)據(jù)倒走。
對(duì)于這樣的漏洞我們有如下一些簡(jiǎn)單的一些建議。這個(gè)建議肯定不完整,也因?yàn)楸旧砦覀兘裉熘皇且粋(gè)簡(jiǎn)單的交流,不可能寫(xiě)一個(gè)長(zhǎng)篇大論,來(lái)針對(duì)SQL注入說(shuō)一大篇,我只能說(shuō)簡(jiǎn)單的幾方面。
第一個(gè),你要檢查用戶的輸入,因?yàn)榇蠹叶贾繦DDP協(xié)議是一個(gè)純文本協(xié)議,我們有句話講叫永遠(yuǎn)不要相信用戶的輸入,這個(gè)輸入不管是你他看得見(jiàn)的輸入,還是他看不見(jiàn)的輸入,這些東西都可以被攻擊者作為攻擊的參數(shù)。因?yàn)樗械臇|西,只要有一個(gè)代理工具都可以做到。
第二個(gè),就是要轉(zhuǎn)義用戶的輸入,把用戶的輸入進(jìn)行轉(zhuǎn)義,讓他執(zhí)行不了。
第三個(gè),就是拒絕已經(jīng)轉(zhuǎn)義過(guò)的輸入。
第四個(gè),使用參數(shù)化的查詢。就是JAVA都帶這個(gè)功能,目前PHP沒(méi)有怎么研究,這一塊可以自動(dòng)取做的。
第五個(gè),是使用SQL的存儲(chǔ)過(guò)程。這個(gè)方式并不能百分之百避免SQL注入,有一些動(dòng)態(tài)的過(guò)程也會(huì)觸發(fā)注入。你完全不能避免,有些地方可能有用你應(yīng)用的需要,你還真就需要去拼接SQL查詢語(yǔ)句,可以不拼接就不要拼接,用這個(gè)SQL存儲(chǔ)實(shí)現(xiàn)。
推薦閱讀
與你親密接觸 ThL深圳西鄉(xiāng)體驗(yàn)店盛大開(kāi)張
以后西鄉(xiāng)人體驗(yàn)或者購(gòu)買(mǎi)ThL手機(jī)再也不用跑去華強(qiáng)北那么遠(yuǎn)了!2月中,ThL西鄉(xiāng)體驗(yàn)店正式落戶在西鄉(xiāng)街道富成路,屆時(shí)深圳市民又多了一個(gè)購(gòu)機(jī)地點(diǎn)選擇。據(jù)了解,西鄉(xiāng)擁有非常好的手機(jī)消費(fèi)氛圍,ThL希望借助西鄉(xiāng)布局深圳>>>詳細(xì)閱讀
本文標(biāo)題:安恒劉志樂(lè):“泄密門(mén)”帶給我們的警示
地址:http://www.sdlzkt.com/a/kandian/20120305/36966.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示