2009中國計算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會于2009年10月21日至24日在湖南長沙召開，本屆年會主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價值”。23日進(jìn)入會議第二天，在分會之“網(wǎng)絡(luò)安全新技術(shù)”會上，網(wǎng)絡(luò)安全專家范淵發(fā)表了關(guān)于Web應(yīng)用與數(shù)據(jù)庫安全剖析的演講。 以下是網(wǎng)絡(luò)安全專家范淵發(fā)言實錄：

主持人賈焰：感謝楊哲先生，下一位演講嘉賓是范淵先生，他演講的主題是Web應(yīng)用與數(shù)據(jù)庫安全剖析。
 
范淵：謝謝主持人。各位網(wǎng)絡(luò)安全同仁下午好!

我是OWASP中國區(qū)的副會長，今天花一些時間講講Web實際處理案例和當(dāng)中的工作經(jīng)驗交流，算不上剖析，如果大家關(guān)注這個領(lǐng)域的話，應(yīng)該會有一定的實用價值，我參與了北京奧組委關(guān)于網(wǎng)站安全和數(shù)據(jù)庫安全的評估和加固。

現(xiàn)在，通過網(wǎng)站安全進(jìn)行掛馬是黑客產(chǎn)業(yè)鏈最核心的一個主要部分，網(wǎng)站空間戰(zhàn)在美國02、03年就被經(jīng)常提及，CYBERWAR去年已經(jīng)開始浮現(xiàn)水面，比較體系化了。

在國內(nèi)，無論從政府、銀行、教育還是運營商，相信大家從媒體上可以獲知各式各樣的案例。我在這里講一個案例，國慶60周年公安部進(jìn)行安全大檢查，基本上50%的政府網(wǎng)站都存在嚴(yán)重安全漏洞，從安全風(fēng)險的比例來講占37.04%，也是非常嚴(yán)重的。在某省全省商業(yè)銀行網(wǎng)站安全調(diào)研也是配合國慶60周年所做的檢測，網(wǎng)銀也非常關(guān)注網(wǎng)絡(luò)安全漏洞，但查出的漏洞比例還是比較高的。

運營商也知道，內(nèi)部黑手頻頻探囊安全網(wǎng)絡(luò)—，“沒有密碼”的充值卡，很多人在免費打電話，其他的情況就不多說了。

去年的網(wǎng)絡(luò)群注是一種目前最流行的利用網(wǎng)站應(yīng)用程序漏洞進(jìn)行對數(shù)據(jù)庫以及服務(wù)器進(jìn)行攻擊的手段，這種攻擊可能是竊取數(shù)據(jù)，插入數(shù)據(jù)，篡改數(shù)據(jù)，刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務(wù)器。它的原理是對后臺數(shù)據(jù)庫中所有的字符型字段全部插入某段腳本，這個腳本是帶有木馬執(zhí)行的腳本，在我們的檢測中，發(fā)現(xiàn)有一臺肉雞對這個網(wǎng)站進(jìn)行攻擊，后來我們也攻入了那臺肉雞，發(fā)現(xiàn)這臺計算機(jī)工具也有很多的配置文件，如利用google發(fā)現(xiàn)大批能夠進(jìn)入攻擊的目標(biāo)點，然后把已經(jīng)編輯好的腳本注入進(jìn)去。其實，他們使用的工具并不復(fù)雜，但前后兩次造成全球?qū)⒔f個網(wǎng)站受到侵襲。

OWASP組織是一個國外開放社群、非營利性組織，在全球有130多個分會，近萬名會員;主要目標(biāo)是研議協(xié)助解決Web應(yīng)用安全標(biāo)準(zhǔn)、工具與技術(shù)，致力于協(xié)助政府、企業(yè)了解并改善應(yīng)用安全。OWASP國際影響力比較大，美國聯(lián)邦貿(mào)易委員會(FTC)強烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點防護(hù)守則。

目前OWASP有30多個進(jìn)行中的安全項目，主要包括OWASPTop10、webgoat等，OWASP中國分會致力于這些開源項目的引入以及研究，并通過各種渠道在國內(nèi)安全行業(yè)內(nèi)共享。同時，也歡迎更多的人參與以及加入OWASP中國分會，共同推動國內(nèi)應(yīng)用安全領(lǐng)域方面的研究。

OWASP最近正在做的事情是OWASP測試指南，也花了很多的精力，我、OWASP的會長和一個八級英語翻譯致力于將測試指南完全消化，并且爭取將測試指南盡快奉獻(xiàn)給大家，不涉及到任何的費用。

OWASP測試指南目錄章節(jié)：前沿、信息收集、配置管理測試、認(rèn)證測試、會話管理測試、授權(quán)測試、數(shù)據(jù)驗證測試、業(yè)務(wù)邏輯測試、拒絕服務(wù)測試、網(wǎng)絡(luò)服務(wù)測試、AJAX測試。還包含開發(fā)前、開發(fā)中、運行后的維護(hù)等，包含了很多的經(jīng)驗在里面，這兩天也和大家在交流，OWASP一方面比較新，但另一方面確實會涉及到白服和黑服的防護(hù)，以及事后的應(yīng)急處理，我認(rèn)為是不可或缺的，測試內(nèi)容比較多，章節(jié)也比較多，花了很多的精力。

去年是OWASP在臺灣舉行亞洲峰會，規(guī)模也很大，OWASP組織得好的話，完全可以組織不同的分會場，進(jìn)行細(xì)致地交流。計劃在2010年4-5月份會舉行OWASP亞洲峰會，到時也會邀請國外國內(nèi)的專家到一起交流，分別在臺灣、北京舉行。

Web攻擊悄然無聲，傳統(tǒng)的防火墻、防病毒幾乎沒有觸及，對于防火墻來說必須打開STTP80和STTPS，在這個范圍內(nèi)發(fā)起的所有攻擊都會變得比較容易。

Web應(yīng)用系統(tǒng)所面臨的風(fēng)險有系統(tǒng)層面的、應(yīng)用層面的、網(wǎng)絡(luò)層面的、業(yè)務(wù)層面的，如低版本的IIS、缺乏不定的windows，SQL注入、網(wǎng)頁木馬、惡意代碼、跨站腳本、表單漏洞、上傳漏洞、ARP欺騙攻擊等等。

(演示)SQL注入攻擊過程演示。對參數(shù)進(jìn)行變形，達(dá)到攻擊目標(biāo)后臺的目的。它也很多的類型，但基本原理沒有大的變化，表現(xiàn)形式和變形可能會有很多，不同的數(shù)據(jù)庫被它利用的類型也會不一樣。

CSRF測試最近受到關(guān)注，簡單來說是間接利用Web應(yīng)用程序的驗證漏洞，使得被攻擊者無意識地實施跨站攻擊。比如某個網(wǎng)站已經(jīng)被黑客所控制，一旦我被攻擊之后，它有可能讓我的機(jī)器再發(fā)起一次網(wǎng)銀轉(zhuǎn)帳，但我自己并不知道這個行為。這個時候，大家會發(fā)現(xiàn)做完網(wǎng)銀轉(zhuǎn)帳之后，可能會再彈出一個支付的口令，需要你人為再操作一次，其實這就是便于大家識別的一個簡單方法之一。

數(shù)據(jù)庫是企業(yè)信息系統(tǒng)的核心，剛才講了這么多的Web應(yīng)用，它們其實是不能分割的。很多關(guān)鍵數(shù)據(jù)在各個部門構(gòu)成了三層、四層，受攻擊的對象其實是數(shù)據(jù)庫，受攻擊之后反映在Web應(yīng)用層面，我認(rèn)為不應(yīng)該把兩者完全分開。當(dāng)然，Web應(yīng)用很大一部分時間是在內(nèi)網(wǎng)進(jìn)行，數(shù)據(jù)庫和內(nèi)控也就相關(guān)了，不知道大家關(guān)不關(guān)注等級保護(hù)，它其實會把應(yīng)用安全和數(shù)據(jù)庫分為幾個章節(jié)，更多的是涉及你在有權(quán)限的情況下，是否濫用了你的權(quán)限，它和相關(guān)的內(nèi)用和審計有關(guān)。

對于內(nèi)部用戶會造成合法權(quán)限濫用、權(quán)限盜用、越權(quán)濫用、權(quán)限分配不當(dāng)?shù)惹闆r;對于數(shù)據(jù)庫軟件會出現(xiàn)平臺漏洞，通訊協(xié)議漏洞，弱鑒權(quán)機(jī)制，日志缺失不完整的后果;對于應(yīng)用程序也會產(chǎn)生漏洞。

應(yīng)用系統(tǒng)安全常見的誤區(qū)：使用防火墻和入侵檢測設(shè)備，網(wǎng)站安全了;安裝了最新系統(tǒng)和數(shù)據(jù)庫補丁，網(wǎng)站和數(shù)據(jù)庫可以不被攻擊;使防篡改軟件，網(wǎng)站一定安全;數(shù)據(jù)庫位于內(nèi)網(wǎng)，一定不被攻擊;安裝了防病毒軟件，網(wǎng)站就不被掛馬;網(wǎng)站被掛馬了，請馬上幫我清掉我就萬事大吉了。更換新應(yīng)用系統(tǒng)也有誤區(qū)，如新應(yīng)用系統(tǒng)未必更安全;確保新應(yīng)用系統(tǒng)的安全性還是應(yīng)該從頭做起。那么，代碼層防護(hù)，應(yīng)用層防護(hù)，實時防護(hù)和事后防護(hù)還是相當(dāng)?shù)刂匾?BR>

【編輯推薦】

1. 簡單三步幫助企業(yè)解決Web業(yè)務(wù)安全防護(hù)問題
2. 惡意軟件猖獗 Web開發(fā)者難辭其咎
3. 企業(yè)級Web安全滲透測試之SSL篇