BIT7信息系統(tǒng)安全架構(gòu)-網(wǎng)站安全架構(gòu)

1、網(wǎng)站安全體系架構(gòu)孫建偉北京理工大學軟件學院提綱網(wǎng)站工作作原理網(wǎng)站架構(gòu)構(gòu)網(wǎng)站與瀏瀏覽器的的交互Web應(yīng)用攻擊擊網(wǎng)頁篡改改注入式攻攻擊跨站攻擊擊Web應(yīng)用安全全體系架架構(gòu)分析析輸入驗證證網(wǎng)站備份份恢復架架構(gòu)立體防護護體系Web應(yīng)用程序序的邏輯輯架構(gòu)三層架構(gòu)構(gòu)(3-tier application)通常意義義上的三三層架構(gòu)構(gòu)就是將將整個業(yè)業(yè)務(wù)應(yīng)用用劃分為為：表現(xiàn)現(xiàn)層（UI）、業(yè)務(wù)務(wù)邏輯層層（BLL）、數(shù)據(jù)據(jù)訪問層層（DAL）。區(qū)分分層次的的目的即即為了“高內(nèi)聚聚，低耦耦合”的的思想。、表現(xiàn)現(xiàn)層（UI）：通俗俗講就是是展現(xiàn)給給用戶的的界面，即用戶戶在使用用一個系系統(tǒng)的時時候他的的所見所所得。、業(yè)務(wù)務(wù)邏

2、輯層層（BLL）：針對對具體問問題的操操作，也也可以說說是對數(shù)數(shù)據(jù)層的的操作，對數(shù)據(jù)據(jù)業(yè)務(wù)邏邏輯處理理。、數(shù)據(jù)據(jù)訪問層層（DAL）：該層層所做事事務(wù)直接接操作數(shù)數(shù)據(jù)庫，針對數(shù)數(shù)據(jù)的增增、刪、改、查查。網(wǎng)站的層層次結(jié)構(gòu)構(gòu)操作系統(tǒng)統(tǒng)：管理理計算機機平臺資資源Web服務(wù)器：解析HTTP請求，處處理網(wǎng)頁頁文件，執(zhí)行動動態(tài)腳本本網(wǎng)站文件件系統(tǒng)靜態(tài)網(wǎng)頁頁動態(tài)網(wǎng)頁頁后臺數(shù)據(jù)據(jù)庫4HTTP工作原原理因特網(wǎng)HTTP使用此TCP連接瀏覽器 程序服務(wù)器 程序HTTP客戶建立 TCP 連接釋放 TCP 連接HTTP 響應(yīng)報文 響應(yīng)文檔HTTP 請求報文 請求文檔Web訪訪問工作作原理Web訪訪問工作作原理瀏覽器結(jié)結(jié)構(gòu)

3、與遠地服務(wù)器通通信輸出至顯顯示器從鼠標和和鍵盤輸輸入網(wǎng)絡(luò)絡(luò)接接口口可選客戶戶程序HTML解釋程序序可選解釋釋程序控 制程程序序驅(qū)動程序HTTP客戶程序序緩 存9服務(wù)器端端技術(shù)實實現(xiàn)原理理Web瀏覽器Web服務(wù)器HTTP請求HTTP響應(yīng)本地磁盤盤獲取請求求頁1.檢查網(wǎng)頁頁是否是是動態(tài)網(wǎng)網(wǎng)頁2.如果是則則運行其其中的服服務(wù)器端端程序3.生成靜態(tài)態(tài)網(wǎng)頁發(fā)發(fā)送到客客戶端10網(wǎng)站成為為網(wǎng)絡(luò)攻攻擊的焦焦點操作系統(tǒng)統(tǒng)的復雜雜性已公布超超過1萬萬多個系系統(tǒng)漏洞洞Web服務(wù)器的的漏洞網(wǎng)站應(yīng)用用漏洞網(wǎng)站配置置的問題題網(wǎng)站系統(tǒng)統(tǒng)設(shè)計缺缺乏安全全性架構(gòu)構(gòu)的支持持網(wǎng)頁的安安全性設(shè)設(shè)計不夠夠注入式攻攻擊多個應(yīng)用用系統(tǒng)不不

4、同的開開發(fā)者，組織的的缺陷 10Web攻擊事件件-篡改網(wǎng)頁頁 11Web攻擊事件件-篡改數(shù)據(jù)據(jù)12Web攻擊事件件-跨站攻擊擊13Web攻擊事件件-注入式攻攻擊14Web攻擊事件件-非法上傳傳15http:/a.txt常見Web攻擊類型型威脅手段后果注入式攻擊通過構(gòu)造SQL語句對數(shù)據(jù)庫進行非法查詢黑客可以訪問后端數(shù)據(jù)庫，偷竊和修改數(shù)據(jù)跨站腳本攻擊通過受害網(wǎng)站在客戶端顯不正當?shù)膬?nèi)容和執(zhí)行非法命令黑客可以對受害者客戶端進行控制，盜竊用戶信息上傳假冒文件繞過管理員的限制上傳任意類型的文件黑客可以篡改網(wǎng)頁、圖片和下載文件等不安全本地存儲偷竊cookie和session token信息黑客獲取用戶關(guān)鍵資

5、料，冒充用戶身份非法執(zhí)行腳本執(zhí)行系統(tǒng)默認的腳本或自行上傳的WebShell腳本等黑客完全控制服務(wù)器非法執(zhí)行系統(tǒng)命令利用Web服務(wù)器漏洞上執(zhí)行Shell命令Execute等黑客獲得服務(wù)器信息源代碼泄漏利用Web服務(wù)器漏洞或應(yīng)用漏洞獲得腳本源代碼黑客分析源代碼從而更有針對性的對網(wǎng)站攻擊URL訪問限制失效黑客可以訪問非授權(quán)的資源連接黑客可以強行訪問一些登陸網(wǎng)頁、歷史網(wǎng)頁16 攻擊手段段示例之之一Unicode漏洞漏洞選介介Unicode漏洞微軟的IIS在Unicode字符解碼碼的實現(xiàn)現(xiàn)中存在在一個安安全漏洞洞，導致致用戶可可以遠程程通過IIS執(zhí)行任意意命令可以復制制、刪除除、列目目錄、系系統(tǒng)配置置等

6、任何人利利用普通通瀏覽器器即可發(fā)發(fā)起攻擊擊存在于Windows NT/2000(IIS4.0/5.0)中2001年初發(fā)發(fā)現(xiàn)，2001年8月月修復 18漏洞原理理IIS對特殊字字符URL請求的解解碼錯誤誤%c1%1c-(0 xc1- 0 xc0) *0 x40+ 0 x1c=0 x5c =/%c0%2f-(0 xc0-0 xc0)* 0 x40+0 x2f =0 x2f= 構(gòu)造含有有特殊字字符的URL請求繞過IIS的路徑檢檢查可以執(zhí)行行或打開開任意文文件 19測試方法法測試URLhttp:/badou/scripts/.%u00255c./winnt/system32/cmd.exe?/c+di

7、r+d:badou是任意一一臺（未未打補丁丁的）Windows 2000主機的IIS服務(wù)器返回結(jié)果果目標主機機D盤下的文文件目錄錄 20利用漏洞洞列目錄錄 21利用漏洞洞進行攻攻擊22注入式攻攻擊注入式攻攻擊全稱為“SQL注入式攻攻擊”攻擊者利利用網(wǎng)站站動態(tài)網(wǎng)網(wǎng)頁程序序設(shè)計上上的漏洞洞，在目目標的Web服務(wù)器上上運行SQL命令繞過登錄錄身份檢檢查、獲獲得系統(tǒng)統(tǒng)管理員員密碼、非法獲獲取數(shù)據(jù)據(jù)、非法法篡改數(shù)數(shù)據(jù)、生生成非法法文件、非法執(zhí)執(zhí)行命令令等24漏洞原理理攻擊者在在表單輸輸入或者者URL請求中發(fā)發(fā)送SQL語句片斷斷，期望望通過Web應(yīng)用腳本本合成為為帶有攻攻擊目的的的SQL語句應(yīng)用腳本本：A

8、SP、JSP、PHP數(shù)據(jù)庫：一切支支持SQL的數(shù)據(jù)庫庫系統(tǒng) SQL注入機理理分析數(shù)據(jù)庫應(yīng)用程序服務(wù)器客戶端（瀏覽器）請求 響應(yīng) 查詢 結(jié)果集 SQL注入機理理分析（續(xù)）/構(gòu)建SQL查詢語句句=“SELECT nameFROMtbUserInfo WHERE id=(用戶輸入入的數(shù)據(jù)據(jù))”用戶名：wcor1=1 -密碼：xxxxSELECT name FROM tbUserInfo WHERE id= wc or 1=1 - SQL注入攻擊擊的一般般過程探測注入點確定數(shù)據(jù)庫類型和版本猜解數(shù)據(jù)庫結(jié)構(gòu)確定當前用戶權(quán)限提取信息息篡改數(shù)據(jù)據(jù)發(fā)起高級攻擊使用特定存儲過程遍歷目錄錄結(jié)構(gòu)修改注冊冊碼 SQL注

9、入攻擊擊的特點點SQL注入漏洞洞是一個個入口，攻擊者者通過它它可以發(fā)發(fā)動更高高級的攻攻擊，例例如控制制目標系系統(tǒng)。隱蔽性后果嚴重性使用黑客客工具NBSIHDSIDomainX-ScanPangolin30攻擊手段段示例之之三跨站攻擊擊防跨站攻攻擊示例例應(yīng)用系統(tǒng)統(tǒng)未對瀏瀏覽器輸輸入的參參數(shù)進行行檢查和和處理，直接返返回給用用戶的瀏瀏覽器。B請輸入轉(zhuǎn)轉(zhuǎn)賬金額額：B轉(zhuǎn)賬成功功！B銀行破產(chǎn)產(chǎn)！Xxxs blog:宣布破產(chǎn)請點擊官官方鏈接10000確定1.正常常業(yè)務(wù)2.跨站攻擊擊跨站攻擊擊還能做做什么在客戶端端執(zhí)行腳腳本JavaScriptVBScript偷取和仿仿冒用戶戶身份和和信息cookieses

10、sion向其他站站點提交交信息跳轉(zhuǎn)到其其他站點點 33對策配置和管管理配置網(wǎng)絡(luò)絡(luò)和主機機編寫安全全的應(yīng)用用程序安全掃描描模擬滲透透工具代碼復查查工具安全防護護網(wǎng)頁完整整性檢查查應(yīng)用防火火墻 34對策一配置和管管理應(yīng)用程序序安全設(shè)設(shè)計原則則權(quán)限區(qū)域域劃分使用最少少的特權(quán)權(quán)應(yīng)用深入入的防御御手段不要信任任用戶的的輸入在網(wǎng)關(guān)處處進行檢檢查出現(xiàn)故障障時的安安全性保證最脆脆弱的鏈鏈接的安安全創(chuàng)建安全全的默認認值減小受攻攻擊的范范圍 36應(yīng)用程序序安全關(guān)關(guān)注點“如何安安全地處處理異常常？”“如何保保證開發(fā)發(fā)人員工工作站的的安全性性？”“如何編編寫具有有最低權(quán)權(quán)限的代代碼？”“如何限限制文件件I/O？”“如

11、何防防止SQL注入？”“如何防防止跨站站點腳本本編寫？”“如何管管理機密密？”“如何安安全調(diào)用用非托管管代碼？”“如何執(zhí)執(zhí)行托管管代碼的的安全復復查？”“如何執(zhí)執(zhí)行安全全的輸入入驗證？”“如何保保證窗體體身份驗驗證的安安全性？” 37防范注入入式攻擊擊檢查用戶戶輸入關(guān)鍵字過過濾強數(shù)據(jù)類類型服務(wù)器端端檢查最小權(quán)限限原則使用存儲儲過程使用parameters對象控制錯誤誤信息回回顯 38防范跨站站攻擊檢查用戶戶輸入alert(xss)檢查請求求頭中的的referer 39對策二安全掃描描應(yīng)用安全全掃描測試方法法黑盒測試試（滲透透和黑客客工具）白盒測試試（代碼碼和開發(fā)發(fā)生命周周期）產(chǎn)品AppScan

12、 (IBM)WebInspect (HP)N-Stalker(N-Stalker)Acunetix(Acunetix)MatriXay(亞龍安恒恒,dbappsecurity)WebRavor(安域領(lǐng)創(chuàng)創(chuàng),SecDomain) 41對策三安全防護護應(yīng)用安全全防護網(wǎng)頁防篡篡改系統(tǒng)統(tǒng)保護網(wǎng)頁頁和腳本本的完整整性安全容忍忍類產(chǎn)品品iGuard應(yīng)用防火火墻防止針對對主機和和應(yīng)用程程序的威威脅安全防護護類產(chǎn)品品華誠ImpervaiWall 43網(wǎng)頁防篡篡改系統(tǒng)統(tǒng)設(shè)計思思路網(wǎng)站工作作的流程程Web服務(wù)器收收聽請求求解析url查找url對應(yīng)的網(wǎng)網(wǎng)頁文件件對于靜態(tài)態(tài)網(wǎng)頁文文件,發(fā)送給客客戶端;對于動態(tài)態(tài)網(wǎng)頁文

13、文件,服務(wù)器端端執(zhí)行腳腳本,生成頁面面文件發(fā)發(fā)送給客客戶端.網(wǎng)頁防篡篡改系統(tǒng)統(tǒng)設(shè)計思思路網(wǎng)站備份份恢復結(jié)結(jié)構(gòu)設(shè)計計網(wǎng)站文件件備份網(wǎng)站文件件在處理理前先做做完整性性校驗通過Hook函數(shù)修改改web服務(wù)器（IIS），擴展展完整性性校驗功功能校驗不通通過，則則從備份份系統(tǒng)中中恢復造造篡改的的文件為加速完完整性校校驗，采采用數(shù)字字摘要技技術(shù)預先生成成原始文文件的摘摘要（數(shù)數(shù)字水印印）實時比對對網(wǎng)頁防篡篡改系統(tǒng)統(tǒng)設(shè)計思思路網(wǎng)站備份份恢復結(jié)結(jié)構(gòu)處理理流程Web服務(wù)器收收聽請求求解析url查找url對應(yīng)的網(wǎng)網(wǎng)頁文件件讀取網(wǎng)頁頁文件后后，做完完整性校校驗校驗不通通過，則則從備份份中恢復復對于靜態(tài)態(tài)網(wǎng)頁文文件,

14、發(fā)送給客客戶端;對于動態(tài)態(tài)網(wǎng)頁文文件,服務(wù)器端端執(zhí)行腳腳本,生成頁面面文件發(fā)發(fā)送給客客戶端.Web核心內(nèi)嵌嵌模塊 47硬件平臺臺（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系統(tǒng)統(tǒng)（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服務(wù)器軟軟件(IIS/Apache/Weblogic/Websphere)安全核心心內(nèi)嵌模模塊requestresponse應(yīng)用防護護技術(shù)數(shù)字水印印技術(shù)Web服務(wù)器防篡改技技術(shù) 48發(fā)布服務(wù)務(wù)器Web服務(wù)器FTP/rsync一般發(fā)布布過程篡改檢測測模塊自動發(fā)布布子系統(tǒng)監(jiān)控和恢恢復子系統(tǒng)+篡改檢測測子

15、系統(tǒng)SSL1.上傳傳正常網(wǎng)網(wǎng)頁=X水印庫2.瀏覽正常常網(wǎng)頁3.篡改網(wǎng)頁頁4.瀏覽篡改改網(wǎng)頁5.自動恢復復文件系統(tǒng)統(tǒng)工作過程程發(fā)布過程程發(fā)布內(nèi)嵌嵌模塊檢檢測到文文件創(chuàng)建建/變化化為文件產(chǎn)產(chǎn)生加密密和不可可逆轉(zhuǎn)數(shù)數(shù)字水印印通過加密密通道傳傳送到Web服務(wù)器檢測過程程公眾發(fā)出出請求瀏瀏覽網(wǎng)頁頁應(yīng)用防護護子系統(tǒng)統(tǒng)檢查請請求的合合法性頁面保護護子系統(tǒng)統(tǒng)檢查數(shù)數(shù)字水印印完整性性其它網(wǎng)頁頁篡改防防護的技技術(shù)路線線外掛輪詢詢制作網(wǎng)站站備份定期抓取取網(wǎng)頁與與相應(yīng)的的備份網(wǎng)網(wǎng)頁比對對特點:可以是后后臺或前前臺無法做到到實時恢恢復其它網(wǎng)頁頁篡改防防護的技技術(shù)路線線文件保護護（事件件觸發(fā)）改造操作作系統(tǒng)文文件管理理功

16、能，監(jiān)控和和阻斷文文件寫操操作只有特權(quán)權(quán)帳戶才才能作寫寫操作Web服務(wù)器帳帳戶權(quán)限限只有讀讀取權(quán)限限特點:權(quán)限管理理過于嚴嚴格限制了web服務(wù)器功功能，不不能適應(yīng)應(yīng)Web2.0技術(shù)的要要求網(wǎng)頁防篡篡改技術(shù)術(shù)比較 外掛輪詢核心內(nèi)嵌事件觸發(fā)訪問篡改網(wǎng)頁可能不可能可能 動態(tài)網(wǎng)頁防護不支持支持不支持服務(wù)器負載中低極低 帶寬占用中無無 檢測時間分鐘級實時毫秒繞過檢測機制 不可能不可能可能防范連續(xù)篡改不能 支持 不支持斷線時檢測不能能不能 適用操作系統(tǒng)所有所有受限 Web服務(wù)器內(nèi)內(nèi)置的其其它防護護功能同完整性性校驗功功能的實實現(xiàn)類似似，web服務(wù)器在在結(jié)構(gòu)上上可以擴擴展其它它防護模模塊SQL參數(shù)的校校驗處

17、理理用戶提交交數(shù)據(jù)中中惡意腳腳本的檢檢查過濾濾上述處理理功能也也可以在在防火墻墻平臺上上實現(xiàn)不適用于于HTTPS模式防注入攻攻擊 SELECT*FROM userWHEREname=hackor1=1SELECT*FROM userWHEREname=zhangsanXOWeb服務(wù)器軟軟件應(yīng)用防護護模塊輸入用戶戶名：zhangsan輸入用戶戶名：hackor1=1or1.正常常訪問2.注入攻擊擊防跨站攻攻擊示例例 55B請輸入轉(zhuǎn)轉(zhuǎn)賬金額額：B轉(zhuǎn)賬成功功！B銀行破產(chǎn)產(chǎn)！Xxxs blog:宣布破產(chǎn)請點擊官官方鏈接10000確定?X1.正常常業(yè)務(wù)2.跨站攻擊擊3.應(yīng)用防護護應(yīng)用防火火墻實現(xiàn)現(xiàn)方式比

18、比較項目軟件實現(xiàn)方式硬件實現(xiàn)方式部署點Web服務(wù)器網(wǎng)關(guān)網(wǎng)絡(luò)配置無須改變須改變訪問性能影響小，無瓶頸效應(yīng)影響大，有瓶頸效應(yīng)單點失效不可能可能升級方便可以細粒度配置方便可以成本一般較高56 關(guān)鍵腳本本的安全全性設(shè)計計對于處理理用戶輸輸入數(shù)據(jù)據(jù)的網(wǎng)站站腳本文文件，考考慮安全全性設(shè)計計Web腳本軟件件的輸入入驗證：過濾跨跨站攻擊擊腳本、SQL注入攻擊擊等惡意意訪問對于CC攻擊類型型惡意訪訪問，增增加辨識識和拒絕絕功能兩種方案案的比較較兩種輸入入驗證方方案腳本安全全性設(shè)計計web服務(wù)器內(nèi)內(nèi)嵌模塊塊腳本安全全性設(shè)計計悟道系統(tǒng)功能能與結(jié)構(gòu)構(gòu)的關(guān)系系同樣的功功能需求求，包括括安全功功能需求求，可以以選擇不不同的技技術(shù)路線線，采用用不同的的結(jié)構(gòu)，使用不不同的部部署模式式復雜的安安全功能能必然需需要一種種組合的的結(jié)構(gòu)Web應(yīng)用安全全防護體體系傳統(tǒng)網(wǎng)絡(luò)絡(luò)安全設(shè)設(shè)備防火墻限制地址址和端口口訪問驗證和加加固網(wǎng)絡(luò)絡(luò)協(xié)議入侵檢測測基于網(wǎng)絡(luò)絡(luò)層的數(shù)數(shù)據(jù)包檢檢查問題Web/80端口誰來來保護？應(yīng)用數(shù)據(jù)據(jù)誰來保保護？如何保證證公眾瀏瀏覽到的的信息是原始的的？Web漏洞SQL數(shù)據(jù)庫注注入漏洞洞腳本