COST论坛报告文档 - 清华大学网络与信息安全实验室

Report
高校网站设防与安全监测
诸葛建伟
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
2
网站系统(Web应用)的体系结构

网站系统(Web应用)体系结构




传统C/S架构的计算B/S架构
“痩”客户端: Browser (Web客户端浏览器)
“厚”服务器: Web服务器、Web应用程序、数据…
网络通讯机制: HTTP/HTTPS
3
网站系统的脆弱性与安全威胁
Web浏览安全威胁:
Web数据安全威胁:
敏感信息泄漏/内容篡改
/不良信息内容
Web客户端浏览器
Web应用安全威胁:
网站挂马,Phishing
针对Web应用的渗透攻击
服务安全威胁:
针对Web服务器的渗透攻击
系统安全威胁:
网络安全威胁:
针对操作系统的渗透攻击
机密窃听、假冒身份
4
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
5
网络协议攻击 - HTTP


HTTP明文传输不安全 – 容易被网络嗅探
门户网站登录尽量应使用HTTPS协议
6 /30
网络协议攻击 – 网络层及传输层


ARP欺骗攻击
 ARP欺骗中间人攻击
 交换网络中实现网络嗅探
 ARP欺骗挂马
 设防措施: ARP防火墙、MAC封禁机制、关键网站服务
器静态绑定MAC-IP映射
TCP Syn Flood
 网站拒绝服务攻击,消耗连接队列、计算和网络资源
 缓解机制: Syn Cookie / Syn Proxy
 流量巨大的DDoS攻击:无法防御。应对措施:暂时转
移到其他IP段,报案处理
7
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
8
网站操作系统及服务渗透攻击威胁


网站系统主流使用的操作系统+Web服务
 Windows Server + IIS + MSSQL +ASP/ASP.Net
 LAMP: Linux + Apache + MySQL + PHP
操作系统/Web服务存在的安全弱点
 操作系统开放网络服务安全漏洞


Web服务相关网络服务安全漏洞


FTP(网站应用程序更新)、SSH(远程管理)、…
IIS/Apache; MSSQL/MySQL; …
不安全配置: 缺省/弱口令、不必要服务、错误配置…
9
网站操作系统及服务安全设防措施



操作系统及Web服务的及时补丁更新
 Windows的补丁更新机制: 软件正版化,自动更新/WSUS服务,
定期维护
 Linux的补丁更新机制:APT/YUM/crond设置定期更新任务
网站操作系统及Web服务的安全漏洞远程扫描
 使用安全漏洞扫描在攻击者之前发现并修补漏洞和弱点
 商业:绿盟“极光”漏洞扫描器/启明“天镜”…
 开源:Nessus软件
提升操作系统和Web服务安全性的一般性设防措施
 关闭所有不必要的服务,避免使用明文传输服务(如FTP/Telnet)
 设置强口令,以及安全的服务配置(如禁止列出目录等)
 部署防火墙,设置对控制及内容上传通道的限制访问
10
Nessus扫描软件
11 /30
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
12
Web应用安全威胁类型

OWASP(开放式Web应用程序安全项目) Top 10
OWASP Top 10 – 2007 (Previous)
OWASP Top 10 – 2010 (New)
A2 – Injection Flaws
A1 – Injection (注入攻击)
A1 – Cross Site Scripting (XSS)
A2 – Cross Site Scripting (XSS跨站脚本攻击)
A7 – Broken Authentication and Session Management
A3 – Broken Authentication and Session Management
(不安全的身份认证和会话管理)
A4 – Insecure Direct Object Reference
A4 – Insecure Direct Object References
(不安全的直接对象引用)
A5 – Cross Site Request Forgery (CSRF)
A5 – Cross Site Request Forgery (CSRF跨站伪造请求)
<was T10 2004 A10 – Insecure Configuration
Management>
A6 – Security Misconfiguration (不安全的配置)
A8 – Insecure Cryptographic Storage
A7 – Insecure Cryptographic Storage (不安全的加密存储)
A10 – Failure to Restrict URL Access
A8 – Failure to Restrict URL Access (未限制URL访问)
A9 – Insecure Communications
A9 – Insufficient Transport Layer Protection
(不充分的传输层保护)
<not in T10 2007>
A10 – Unvalidated Redirects and Forwards
(未经安全验证的重定向和前进链接)
A3 – Malicious File Execution
<dropped from T10 2010>
A6 – Information Leakage and Improper Error Handling
<dropped from T10 2010>
13
SQL注入攻击


SQL注入攻击
 输入数据被Web应用程序用于生成SQL语句
 输入数据合法性检查不严格
 攻击者恶意构造输入,注入至SQL语句中恶意执行
SQL注入点例子
 strSQL = "SELECT * FROM users WHERE (name = '" +
userName + "') and (pw = '"+ passWord +"'); "
 userName, passWord是用户输入数据




userName = "' OR '1'='1";
passWord = "' OR '1'='1";
实际执行SQL语句: "SELECT * FROM users WHERE (name
= '' OR '1'='1') and (pw = '' OR '1'='1');"
SQL注入危害

窃取后台管理帐号;获取数据库管理员帐号;执行shell命令打开后门
14
SQL注入攻击实例



某大学科研部科研经费查询系统
where some_rec like ' %INPUT% '
where some_rec like ' %a% ' or ' a ' like ' %a% '
15
自动化SQL注入攻击工具

自动化SQL注入漏洞发现
 Wposion


mieliekoek.pl



能够在动态Web文档中找出SQL注入漏洞的工具
以网站镜像工具生成的输出为输入,找出含有表单页面
允许在配置文件中对注入字符串进行修改
自动化SQL注入测试
 SPIKE Proxy工具

允许使用者对待注入字符串进行定制
SPI Toolkit工具包中的“SQL Injector”工具
国内黑客界工具
 NBSI、HDSI、阿D注入工具、CSC、WED…
 Pangolin


16
HDSI自动注入工具
17
XSS攻击


XSS (Cross-Site Scripting), 跨站脚本攻击
 在Web页面中插入恶意脚本,使得其他用户浏览时执行
恶意脚本,达到攻击目的
 根源:Web应用程序没有对非预期输入做全面有效检查
和净化.
危害最严重的一类XSS攻击-持久性XSS
 典型案例: 留言本/论坛/博客/wiki等。
 漏洞形式: Web应用程序允许用户输入内容并持久保存
并显示在网页上.
 攻击方式: 攻击者通过利用跨站漏洞构建恶意脚本,对
大量用户构成危害.
18
跨站漏洞攻击原理演示
测试漏洞
攻击目标:
迷你留言本
漏洞确认
通过跨站漏洞
植入网马
遭受网马攻击
19
Web应用程序漏洞扫描与检测

Web应用程序漏洞扫描器
 Web应用程序安全性测试: 自动化扫描工具作为辅助
 需结合手工分析和测试
20
WebInspect, WVS, AppScan
21
Web应用程序安全设防措施

信息发布类网站无需引入动态网页
 静态网页站点较动态网页站点安全性高,性能更好
 通过后台系统产生信息发布静态页面



新浪、搜狐等门户网站也使用此方案
兰州大学信息门户的应用-李仲贤 COST论坛
必需Web应用程序的网站 – 需要提供用户交互
 论坛/博客/留言/网上课程/门户应用…
 尽量使用具有良好安全信誉的Web应用软件包




活跃的开源和共享软件: phpwind, wordpress, wikimedia, …
规范运作、注重安全的商业软件公司解决方案
定期的Web应用程序漏洞扫描评估
Web应用程序的升级与安全漏洞修补


使用第三方Web应用软件应跟进版本更新和安全补丁
自己或委托实现的Web应用程序,需持续性的安全测试与维护
22
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
23
敏感信息泄漏

敏感信息类型




GF、BM等科研敏感信息
教师、学生个人隐私信息
网络安全敏感信息
通常的信息泄漏途径和方式




未关闭Web服务器的目录遍历,不经意泄漏
Upload、Incoming等目录中转文件时泄漏
缺乏安全意识,在公开的文档中包含个人隐私信息
在公开的个人简历、职称晋升材料、课题申请书等
包含科研敏感信息
24
高校网站泄漏科研敏感信息实例
25
高校网站泄漏科研敏感信息实例

Google: filetype:xls site:edu.cn 课题 身份证号
26
高校网站泄漏学生敏感信息的例子

Google搜索词


“filetype:xls 身份证号 site:edu.cn”
“filetype:xls 信用卡 site:edu.cn”
27
高校网站泄漏网络安全敏感信息实例
源代码中泄漏数据库连接地址、口令与密码MD5值的例子
28
网页内容篡改

2008年9月:北大/清华网站被黑,假冒校长发文
29
网页篡改站点列表
30 /30
网页篡改站点列表(2)
31 /60
使用Google搜索被黑网站

基于元搜索引擎实现被篡改网站发现与攻击者调查剖析
32 /30
使用Google搜索被黑网站
33 /60
不良信息内容

网站面临的不良信息内容威胁


网站被攻陷后可能成为不良信息的存储和中转仓库
提供用户交互的论坛/博客等网站可能涉及用户上
传不良信息
34 /30
不良信息内容-违法
35 /60
网站数据安全设防措施

提高网站维护人员的数据安全意识





BM不联网,联网信息不涉密,不应在网上公开团队/个人承担涉
密项目(可能引来针对性攻击)
注重个人隐私: 网上公布数据中尽可能不包括个人隐私信息
注意对论坛/博客/留言等允许用户提交数据的审查 (清除违法信息)
注意不要公布网站安全相关的敏感信息
网站数据安全性监测和防护措施





提升网站系统、Web应用程序的安全性
善用Google等搜索引擎,定期进行敏感数据检查
对网站的安全配置进行检查,尽量消除目录遍历、随意上传渠道
对接受用户交互的网站列出清单,进行定期检查
建立规范快捷的网站安全响应机制和流程
36
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
37
网站挂马

网页木马




针对浏览器/插件/客户端软件漏洞的渗透攻击代码(browser-side
exploit)
通常被挂接至被黑网站上,危害网站的访问者
目的:植入盗号木马等恶意程序,窃取敏感信息,盗用资源进行
DDoS和发送垃圾邮件等
网站挂马




将网页木马挂接至被黑网站的网页上,使得客户端浏览器在访问
该网页同时加载网页木马,从而被渗透攻击,植入恶意程序
网站攻击手段:系统、服务、Web应用程序的渗透攻击
挂接手段:iframe, script等多种内嵌链接方式,通常不可见
通过混淆技术进行挂马链接的隐藏和对抗分析
38
高校招生网站挂马案例
39
精品课程类网站被大批挂马

52个精品课程类网站被挂马, 检测次数达413次
jpkc.51099.com 外连到各个精品网站url
jpkc.cumt.edu.cn “中国矿业大学精品课程网站”
jpkc.myvtc.edu.cn “绵阳职业技术学院精品课程”
jpkc.fjau.edu.cn “福建农林大学——精品课程建设工程”
gdjpkc.xmu.edu.cn “高等代数::厦门大学精品课程”
www.jpkc.swust.edu.cn:8080 “精品课程_西南科技大学”
jpkc.hust.edu.cn “华中科技大学精品课程”
jpkc.haue.edu.cn “河南工程学院精品课程建设网”
jpkc.sdau.edu.cn “山东农业大学 – 精品课程”
jpkc.tongji.edu.cn “同济大学精品课程”
jpkc.jsit.edu.cn “精品课程中心==江苏信息职业技术学院”
jpkc.hzvtc.edu.cn “杭州职业技术学院精品课程网站”
mkszy.jpkc1.ynnu.edu.cn “云南师范大学,省级精品课程建设平台”
jpkch.qtech.edu.cn “青岛理工大学精品课程”
jpkc.gzarts.edu.cn “广州美术学院精品课程建设网站”
jpkc.ntu.edu.cn “南通大学精品课程网”
jpkc.dlmu.edu.cn “大连海事大学本科教学质量与改革工程”
jpkc.open.ha.cn “河南省精品课程”
jpkc.gxun.edu.cn “广西民族大学精品课程网”
jpkc1.ynnu.edu.cn “云南师范大学-高等学校高水平运动队建设–支撑材料网站”
jpkc.znufe.edu.cn “中南财经政法大学精品课程”
……
40 /60
How? 精品课程类网站挂马案例



jpkc.cumt.edu.cn,中国矿业大学精品课程网站
从2010年2月26日至9月13日(撰写材料当日)一直持续挂
马,系统共检测出挂马URL 341条次
ASP建站动态页面
41
该案例中的网页挂马链图示
42
该案例中的挂马链接


hxxp://jpkc.cumt.edu.cn/huagong/default.asp页面被植入一大堆
混淆后的恶意链接
活跃链接:hxxp://bio.isgre.at/b.js?google_ad=09x061
43 /60
该案例中的跳转链接

hxxp://bio.isgre.at/b.js?google_ad=09x061

设置Cookie干嘛?

防止攻击重入
44
该案例中的分发链接
javascript 中的 <!-- -->
欺骗HTML Parser,隐藏代码
jc()函数
检查是否有瑞星/360
探测是否存在Flash
通过Flash加载恶意链接
输出恶意链接av.htm
45
该案例中真正的渗透攻击代码
ie.jpg
iee.jpg
带有混淆和对
抗分析机制的
极风 MS10-018
渗透攻击代码
6.htm
ieee.jpg
46
为什么大量精品课程网站被挂马?

什么是精品课程网站?



2003年教育部启动的精品课程建设,国家/省/校三级
天空教室由南京易学教育软件有限公司创立,成为各高校精品网
站建设中最普及的工具
为什么大量精品课程网站被挂马?


罪魁祸首: 天空教室 精品课程建站Web应用软件
存在大量SQL注入安全漏洞
47
天空教室SQL注入攻击
48 /60
天空教室SQL注入攻击
49 /60
天空教室SQL注入攻击
50 /60
天空教室SQL注入攻击
51 /60
天空教室SQL注入攻击
52 /60
针对网站挂马的安全设防措施

防范网站挂马,首先还是立足于网站应用安全


注意网站中第三方内嵌组件的安全性



通常情况下,网站挂马是网站被黑之后的一类危害
常见第三方内嵌组件:流量统计、点击广告、UI模块、天气预报等功能
组件
09年5月CNZZ流量统计内嵌组件被挂马,导致大范围网站挂马
网站挂马监测和应对措施


选择网站挂马监测服务: 赛尔网络网站体检中心、Google安全浏览计划、
360/瑞星/知道创宇…
及时、积极响应网站挂马事件




第一时间移除挂马链接,消除对网站访问用户的威胁
对网站服务器进行全面深入检查,移除后门
找出被挂马的原因,加固网站系统
必要时,选择专业的网络安全检测、评估与应急服务
53
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
54
中国教育网体检中心 – 赛尔网络

宁雄雁, COST技术专题讲座:网页挂马监测及web服务安全加固
55
网站体检项目
56
57
北京大学-网站挂马监测系统
58
高校网站挂马2010上半年监测总体情况


监测范围:教育网3.5万个网站
2010年上半年累计检测结果

1,374个网站被挂马 (3.88%)

425个教育网顶级域名,几乎包括所有985/211知名高校

Google安全浏览未检出比例: 59%
Google
未检出高
校挂马网
站数
59%
Google
标注高校
挂马网站
数
41%
Google标注高校挂马网站的比例
2010年上半年教育网网站挂马数量和月度挂马率统计
59
高校网站挂马持续时间分析


平均检出次数和持续时间: 3.9次, 25.7天
最大检出次数和持续时间: 28次(某精品课程网站), 143天(
某高校生物技术学院)
2010年上半年教育网挂马网站检出次数和挂马持续时间分布(每3天检测一次)
60
高校网站挂马顶级域名分析

检出挂马网站最多顶级域名(haue.edu.cn)


48个不同的网站被检出挂马,检出次数达到233次
同一IP服务器,ASP动态页面建站,同一渗透攻击网马包
教育网检出挂马网站数量和次数的顶级域名分布情况
61
高校网站挂马宿主站点追踪分析

挂马宿主站点追踪



1,001个恶意宿主站点
影响范围最广的宿主根域名Top 10分布
挂马宿主的高度动态变化性



72.7%的挂马网站所挂接的宿主站点进行了变化转移
每个挂马网站平均对应的宿主站点数竟达到了5.32
回避产业界和国家监管部门普遍实施的黑名单域名和网址过滤机制
影响挂马网站数量最多的网页木马宿主站点根域名Top 10
网页木马宿主站点根域名
8800.org
6600.org
3322.org
lookforhosting.com
zuowenxiu.info
9966.org
caipiaoyuce.info
chinawordpress.info
cptiandi.info
tbag.info
根域名所属类型
希网免费动态域名
希网免费动态域名
希网免费动态域名
恶意注册滥用域名
恶意注册滥用域名
希网免费动态域名
恶意注册滥用域名
恶意注册滥用域名
恶意注册滥用域名
恶意注册滥用域名
影响网站数量
614
475
264
257
210
167
157
129
118
113
网页木马宿主站点域名数
69
63
63
10
14
20
16
7
7
8
62
高校网站挂马主要利用安全漏洞和攻击方式
1
2
3
4
5
6
7
8
9
10
漏洞位置
MS漏洞编号 CVE编号
漏洞类型
IE浏览器iepeers.dll
IE浏览器DOM模型 CEventObj
类
Office OWC10.Spreadsheet 控
件
MPEG-2 视 频 directshow
控件(msvidctl.dll)
windows media player
联众GLIEDown.IEDown.1控件
RealPlayer IERPCtl.IERPCtl.1控
件
MDAC RDS.Dataspace ActiveX
控件
MS10-018
CVE-2010-0806
use-after-free
漏洞信息公
布时间
2010-3-10
MS10-002
CVE-2010-0249
use-after-free
2010-1-15
MS09-043
CVE-2009-1136
不安全方法
2009-7-13
MS09-032
CVE-2009-1919
缓冲区溢出
2009-7-6
MS08-054
N/A
CVE-2008-2253
BID: 29118,29446
边界条件错误
缓冲区溢出
2008-9-9
2008-5-7
N/A
CVE-2007-5601
缓冲区溢出
2007-10-20
MS06-014
CVE-2006-0003
不安全方法
2006-4-11
Adobe Flash Player (swf)
N/A
多个
Acrobat PDF Reader (pdf)
N/A
多个
Swf装载网页,如
LoadMovie()
Acrobat JavaScript
API封装攻击
N/A
N/A
63
“极光”与“极风”漏洞利用趋势对比
64
高校网站上半年典型网马攻击实例

MS10-018极风网马攻击场景

多漏洞集成网马攻击场景
65
如何申请高校网站体检中心服务


http://www.nhcc.edu.cn
服务平台流程
66
提交网站列表

需提供高校网站域名列表,并选择体检项目
67
如何发现高校网站 – 借助Google


allinurl:-php -html -htm -asp -aspx -ppt -pdf -swf doc -xls site:pku.edu.cn
限制条件: Google只返回1000个搜索结果项,对大型高校,可按域
名进一步细致查询
68
网站安全体检报告
69
内容纲要


网站系统的体系结构与主要安全威胁类型
高校网站主要安全威胁及设防措施







网络安全威胁:网络协议攻击
系统/服务安全威胁:服务器系统攻击
Web应用安全威胁:Web应用攻击
Web数据安全威胁:敏感信息泄漏/网页篡改与不良
信息内容
Web浏览安全威胁:网站挂马
高校网站安全监测公益性服务-高校网站体检中心
总结
70
总结



网站系统的安全威胁非常多样化,且广泛存在
 网络协议、操作系统/服务、Web应用、数据、客户端
 高校网站安全性尤为薄弱,各种安全问题频出
高校网站管理人员应负起责任,学习技能,加大投入,提
升网站安全性
 安全意识非常重要:在网站建设、运营各阶段都需要
关注安全问题
 具备对网络攻击技术的了解,掌握安全设防措施和技能
高校网站安全需要多方协作


高校网络管理部门、网站管理员:安全责任主体
运营商、科研机构和安全公司应提供支持和帮助
71
谢谢!
诸葛建伟
[email protected]
72

similar documents