网站系统安全技术研究与评估.ppt

《网站系统安全技术研究与评估.ppt》由会员分享，可在线阅读，更多相关《网站系统安全技术研究与评估.ppt（29页珍藏版）》请在三一办公上搜索。

1、中国移动集团重点/联合研发项目结题汇报报告,项目名称：网站系统安全技术研究与评估项目编号：,一.开题计划完成情况,目 录,二、主要研究成果（整合后）,1.1 研究背景-主动进行网站安全研究是急迫任务,09年美国/韩国/土耳其等很多重要网站遭到攻击08年俄罗斯入侵格鲁吉亚前将总统及政府主页改为希特勒相关内容，迫使其迁往美国中国移动曾发生过严重的网站篡改事件，社会影响很大09国庆安全检查发现很多省网站有严重安全漏洞,WEB攻击在战争/经济/恐怖事件中频繁应用，WEB反恐、反黑成为重要任务,国际、国内黑色产业链逐渐形成，针对WEB的安全攻击层出不穷,09年国内木马产业链收入超百亿，绝大部分通过网站进

2、行传播09年国内众多知名网站的安全漏洞被利用挂马，例如神舟数码、新浪、搜狐、阿里巴巴等09年世界反钓鱼组织统计1-6月中国钓鱼网站的数量每月在世界的排名一直位于第二到四名区间09法国运营商Orange公司网站被入侵，导致大规模用户帐号与密码泄露,1.1 研究背景 当前网站安全形势日益严峻,中国每年大量网站遭到篡改，网站成为恶意人员宣泄、获利的主要目标,近几年发现的网站漏洞数量急速增长,09年Top10恶意代码符合网站安全趋势,Trojan/Win32.OnLineGames(网站挂马、下载器下载、文件捆绑传播)Trojan/Win32.QQPass(网站挂马、下载器下载、文件捆绑传播)Back

3、door/Win32.PcClient(网站挂马、下载器下载、文件捆绑传播)Trojan/HTML.Agent(网站挂马、下载器下载、文件捆绑传播)Trojan/Win32.SmallDownloader(网站挂马、下载器下载、文件捆绑传播)Worm/Win32.Otwycal(网站挂马、下载器下载、文件捆绑传播)Virus/Win32.VirutVrus/Win32.salityTrojan/VBS.Agent(网站挂马、下载器下载、文件捆绑传播)Trojan/Win32.KillAV(网站挂马、下载器下载、文件捆绑传播),1.1 研究背景-网络攻击与防护的变化,2,3,4,网站成为恶意人员

4、及灰色产业链的首选目标 防火墙、杀毒软件大大限制了灰色产业链的传播与生命周期 利用网站进行大规模传播几乎成为唯一的选择,1,YouTube,Symantec报告指出目前75%的攻击都是面向应用层的攻击，特别是网站系统是重要的目标 当前大约75%的安全投资都是面向网络层安全防护,对各种业务系统从外部进行OS层入侵变得异常困难：防火墙成为系统必选 不允许外部主动连接,现网中的实际统计数据：09年10大病毒中的7个通过网站传播 09年Sina、sohu、阿里巴巴、神州数码遭遇网站挂马 10年北大、清华遭遇网站挂马,1.1 研究背景 中国移动现网网站安全问题频发,部分公司门户及重要业务系统网站可以被篡

5、改某省重要业务系网站可以被利用向用户进行充值多省移动网上营业厅及重要业务系统存在漏洞，可以篡改、获取客户信息涉奥、世博等重要业务系统网站存在漏洞，可以窃取客户信息及业务信息重要业务系统网站存在漏洞，可以利用发送垃圾短信重要业务系统网站存在漏洞，可以利用批量破解用户帐号重要门户网站被黑客入侵，留下若干后门多部门多次整改后，多省门户网站仍出现重大安全漏洞现网大多重要网站都面临着用户帐号密码被破解的风险,1.1 研究目标,研究分析中国移动网站系统面临的典型安全问题研究分析中国移动融合的业务系统安全与网站系统安全问题及现状提出当前的技术手段能够发现和不能发现的中国移动网站的安全问题提出中国移动特有的网

6、站系统的安全问题分析与发现方法,1.2 主要研究内容,对中国移动网站系统面临的安全风险进行全面分析与研究；中国移动业务系统WEB化网站安全对业务安全带来的影响分析与研究对当前业界主流的Web安全扫描技术开展系统性梳理和研究；结合中国移动网站系统安全风险，研究并提出中国移动网站系统安全总体要求、网站安全漏洞系统技术要求；研究网页安全漏洞扫描系统的测试技术和方法，并制定测试规范；通过实验室测试及省公司现网试用，对上述技术要求和测试方法进行验证,1.2 主要分工,1.3 开题计划完成情况总结,一、开题计划执行情况：项目在开题之后，研究院、网络部、山东公司、四川公司分别按照计划时间完成了相应的任务。项

7、目人员分工完成了技术研究、实验室验证、现网验证等工作。研究成果包括3份技术规范、3份测试报告、若干现网扫描报告(10份)、研究报告2份。二、研究中存在的一些不足受到时间和工作范围限制，本项目仅对彩铃系统以及门户网站进行了现网漏洞扫描与分析。后续将进一步扩大现网推广范围。根据总部工作安全，下一步将广泛针对业界安全产品进行大范围测试，进一步对本项目的研究内容进行验证。,一.开题计划完成情况,目 录,二、主要研究成果,2.1中国移动网站系统安全风险分析与研究,基于对中国移动网站系统面临的安全风险及问题的研究，并结合Web安全领域的权威组织WASC及OWASP发布的研究成果，对中国移动面临的Web攻击

8、风险进行了系统性研究,2.1 中国移动网站系统安全风险分析与研究 9类安全问题梳理,SQL注入漏洞：网页系统对提交的数据过滤不严格，构造特定的参数实现对WEB系统后台数据库的非法操作。Cookie注入漏洞：网页系统对客户端的Cookie值处理不当，在访问网页时构造特定的Cookie参数值实现对WEB系统后台数据库的非法操作。跨站攻击漏洞：网页系统对提交的数据处理不当，将恶意脚本隐藏在用户提交的数据中，实现篡改服务器正常的响应页面。CSRF漏洞：网页系统对部分操作处理不当，恶意人员可以利用他人的浏览器向系统发送请求,最后达到攻击所需要的操作行为。目录遍历漏洞：网页系统的WEB Server配置不

9、当，恶意人员可以直接遍历系统的目录获取系统敏感信息。敏感信息泄漏：网页系统的实现不当，恶意人员可以利用各种方式获取IP、系统类型、实现方法等敏感的信息。管理后台开放：网页系统的WEB Server配置不当，可以从互联网上访问WEB系统的管理后台。认证方式不健壮：网页系统认证方式不健壮，可以被绕过或者存有固定的用户帐号密码等。隐藏字段操控：网页系统实现时应用了隐藏字段，而这些字段可能被恶意人员利用来进行相应攻击。,2.2中国移动业务系统WEB化对业务安全带来的影响分析与研究,业务系统传统业务提供相对安全，安全问题容易控制业务系统相对封闭，接入相对简单，可控在此情况下，每业务安全问题都导致较大损失

10、业务提供方式网站化后，网站安全将会直接导致业务安全；若网站安全程度低将会影响业务安全水平业务提供网站化后，带来了业务安全、网站安全融合后的更大挑战,业务安全与网站安全的融合,2,3,4,网站漏洞导致的业务安全问题可能导致我们经济上的损失或者社会影响利用网站漏洞免费使用业务、冒用他人名义等,1,YouTube,窃取用户的帐号、密码进行业务订购利用移动的影响与网站流量进行挂马,网站篡改是常见的，考虑到社会、政治影响也是我们首先要考虑进行防护的,利用网站漏洞获取客户信息成为日益关注的一个重点,短信呼死你,越来越多攻击转向网站(1),网络层的防护日益提高防火墙已经成为各种系统的必选补丁、安全配置成为基

11、础性的工作对各种系统从外部进行系统层的入侵已经变得非常困难系统不允许外部主动发起的连接系统对源地址的限制导致难以发起网络连接网站系统几乎成为最后一个允许任意主动连接的系统业务系统网站须对用户提供服务80端口须允许用户主动连接,越来越多攻击转向网站（2）,黑色产业链地下经济成熟带来的一些要求恶意代码与杀毒软件的斗争使得其生存周期受限利益导向更加明确，要求恶意代码的传播能力必须要很高防火墙等的网络层防护致使系统漏洞难以被利用网站恰逢其时成为目标访问流量大的网站进行挂马可以迅速传播利用IE等浏览器的应用层的漏洞可以实现各种入侵目的,网站安全发展趋势带来的影响(1),传统OS漏洞扫描器/验证系统作用急

12、速下降建议减少投资攻击已经难以突破网络层防护来入侵系统OS漏洞扫描器的原理也是分析OS、配置等，而对于我们而言这些都是已知依据当前的漏洞扫描原理，漏洞扫描与验证是矛和盾的关系更加适用于其他目的，对运营商而言考虑到业务需求需谨慎,对中国移动而言，应用安全问题与内部安全成为最突出的安全短板,网站安全发展趋势带来的影响(2),网站等应用层漏洞扫描器需求急速上升OS的漏洞依据补丁、配置自身就易于发现与控制，而网站等应用漏洞在不依赖工具前提下很难发现与控制利用必须开放的网站系统入侵有时成为唯一选择网站系统自身漏洞WEB Server的漏洞IE等浏览器漏洞,2.3中国移动网站系统安全总体要求,规划阶段,开

13、发阶段,测试阶段,运行阶段,安全规划网站安全规范,安全编码代码核查,取证、审计与恢复,网络侧：防DoS攻击主机侧：网页篡改防护,事中,事后,事前,防患于未然,攻防的关键,最后的防线,规划开发阶段,上线运维阶段,2.4网站安全漏洞扫描系统技术规范研究,具体功能要求,用户接口界面（管理界面、用户界面功能及访问控制）URL发现（网页中URL、解析脚本获得的URL、执行脚本获得、Flash）漏洞扫描（9种安全漏洞）扫描配置（模板、网络及超时、范围、登录、深广度、策略、任务、线程）安全漏洞验证（能验证的、可配置的自动验证的）报表、报告功能（管理、技术视角、用户归属、部门、系统、比较、汇总、排名）自身安全

14、帐号口令、权限管理（用户与归属分权设置、网站列表、任务设置、扫描范围）日志审计（用户、URL、登陆、任务、报表查看、过程、结果查看下载）数据安全机制（远程加密、配置加密、结果可加密等）代码安全（自身避免出现安全漏洞）漏洞管理功能（扫描结果对比、已修补、未修补、新发现）扫描过程管理（暂停、导入、导出）对外接口（对安全管理系统提供接口）,性能,URL发现比例SQL注入发现比例Cookie注入发现比例XSS发现比例CSRF发现比例目录遍历发现比例敏感信息泄漏发现比例认证方式不健壮发现比例隐藏字段操控发现比例SQL注入误报率Cookie注入误报率XSS误报率CSRF误报率目录遍历误报率敏感信息泄漏误报

15、率认证方式不健壮误报率隐藏字段操控误报率率连续扫描时间扫描效率漏洞库完备性WEB Server性能影响网络影响,可靠性、安全性及部署,自身系统稳定、可靠；扫描不影响网站；对扫描过程信息保存，故障时可恢复可扩展、负载均衡、任务调度支持集中部署,2.5漏洞扫描系统的测试技术和方法、测试规范,测试规范实验室完备性测试现网试用、验证部分重点网站系统漏洞扫描及分析,总结-1,本项目对中国移动网站系统面临的安全风险进行全面分析与研究，结合公司网站系统面临的安全风险，研究并提出网站系统安全总体要求及网站安全漏洞扫描系统技术要求，研究安全漏洞扫描系统的测试技术和方法，并制定测试规范，通过实验室测试及省公司现网试用，对上述技术要求和测试方法进行验证。,总结-2,项目输出技术规范3份、测试报告3份，现网扫描报告若干(超过10份)，详细如下：中国移动Web系统总体安全技术要求中国移动网页安全漏洞扫描系统技术规范中国移动网页安全漏洞扫描系统产品测试规范中国移动网页安全漏洞扫描系统产品测试报告中国移动网页安全漏洞扫描系统产品试用报告(山东公司)中国移动网页安全漏洞扫描系统产品试用报告(四川公司)省公司彩铃网站安全扫描报告若干同时，项目组还配合网络部、信息安全管理部等部门开展了现网彩铃网站、门户网站等重要系统的安全漏洞发现，有效提升了相关系统的安全性。,29,结束,谢谢大家！,