2月25下午,CSDN(微博)在北京麗亭華苑酒店舉行了TUP第二十期活動——互聯網安全。本次活動邀請了眾多安全界專家,安天實驗室反病毒引擎研發中心經理童志明,安恒信息安全服務部門經理劉志樂,C/C++/ASM程序員,xsign成員張亞一和pr0zel windows安全研究員李敏怡。他們將在本次演講中以大量實例演示,闡明互聯網安全的安全防御與漏洞補殺、分析用戶身份認證等亟需解決的問題所在。
安恒信息安全服務部門經理劉志樂在活動中發表《“泄密門”帶給我們的警示》主題演講。
劉志樂演講中表示,目前75%的安全隱患來自于Web應用系統所存在的安全漏洞,三分之二的WEB站點都相當脆弱,易受到攻擊。Web應用安全嚴峻的現狀。常見Web應用安全漏洞說明主要從兩方面來闡述,一方面從權威的OWASP統計顯示2010年名列前十的安全漏洞;另一方面,通過從漏洞產生原因、危害以及加固建議三個方面來描述目前常見的高危WEB應用安全漏洞。
從整體的安全產品防護、安全服務兩個方面來闡述如何對WEB應用系統進行安全防護。安全產品防護主要是描述WEB應用安全產品的部署防護,安全服務主要是描述Web應用系統的安全服務體系概述、安全服務內容以及安全服務主要實施技術和工具。
以下是演講實錄:
今天跟大家一起交流外部應用方面的安全,以及這些安全的漏洞原因,會展現這些漏洞簡單的演示,然后也會說一下怎么樣防護這個安全。
用戶數據泄露已被重視
首先我們看一看近期一個熱點。去年有很多網站的數據都遭到了竊密這一塊大家無論是在微博還是在媒體,還是在QQ都能看到。這些充分說明政府開始重視這一塊,還有一些行業重視這一塊。因為去年出了這個事情以后,我也去了很多地方,包括參加政府部門召開的一些會議,包括一些學術研究會議,給我的感覺就是每個單位當時正在坐領導位置,尤其是主管信息安全的這些領導,他們覺得坐的不扎實,如坐針氈。
同時國家也在這個方面做了一些重視,CSDN董事長曾經發表一個文章,他說80%網站都是存在漏洞問題,過去這個問題都存在,只不過沒有人重視它、關注它而已,只不過這次泄密門事件,導致大家把眼球全部吸引到這個上面來,然后大家才知道,原來我們每天生活在如此不安全的社會里面。
作為國家這一塊通訊部目前已經對一些站點已經進行了一些防護,包括要求一些搜索引擎,必須把銀行的引擎排在第一位,防止一些釣魚事件的發生,大家也眾所周知,我不知道今天有沒有百度的人在,只不過有時候排名會影響到使用者,會容易被釣魚。
互聯網安全現狀
第二部分講目前的安全現狀。最近每一年都有一些國家的權威機構都會發布一些權威布局,包括一些行業知名的安全公司,也會出現一些安全形式的數據。這一塊剛才前面蔣總的文章也提到了,外部的危機從2005年開始,那個時候更多人攻擊手段還是基于以前傳統的網絡層的溜光、去發現斷口上有沒有問題。但是到了2005年左右開始,因為當時的人、整個社會他們已經認識到我要用防火墻把這些斷口防護住。分別把什么東西放在內網里邊,通過這個區域網域來控制,這個時候對于黑客來講,他唯一能入侵的手段就是你對外提供了服務的應用系統。
因為你應用系統掉對外服務,你的斷口在防火墻上面必須開啟,那么這樣攻擊者就可以利用你開啟了的斷口,利用你應用系統自身的弱點,對你的應用系統發起攻擊。這是2010年CNCERT的一份統計報表,這份統計報表現實了逐月的篡改。
這一些是網馬的情況,我們經常收到一些短信告訴我們推銷產品,或者是詐騙的,有時候我們的信息就是因為我們的電腦中了網馬,我們自己的信息被人家竊取了等等。
這一塊是另外一個統計報告,就是釣魚。實際上釣魚這塊,從去年上半年中國銀行的釣魚事件出來以后,整個的包括國家大大小小的銀行實際上對這一塊還是蠻關注的。
漏洞的入侵手段與防范建議
我們目前工作中,整個發現的Web應用產品比較多的、危害比較大的一些漏洞。
第一類——SQL注入。這個SQL注入原理很簡單,就是由于客戶端的惡意攻擊者,他把自己想注入的提交的惡意的參數,到了你的Wed服務器,你的Wed服務器對這個參數沒有進行過濾和驗證,直接把他的參數就放到了后端的DP服務器做SQL查詢,這個時候就產生的注入。
這一塊注入,我們看一下注入形式是什么。比如說就像這個地方,本身可以填一個ID,他返回客戶端是adimin,我們看源代碼原本查詢的就要就是這么做的。大家看到這個ID直接從這邊就過來了,沒有進行過濾措施。這個時候作為我的話,就可以這樣的。先加一個大引號,然后提交一下,這個時候就報錯了,這個報錯并不是應用系統報錯了,而是后臺的SQL數據庫里報錯了,報錯了以后,應用系統的前臺把這個報錯直接報到前臺給客戶看到了。
對于攻擊者來講,這種沒閉合或者閉合不閉合對他來講沒有多大意義。我們今天簡單演示一下,我們用聯合查詢,比如說我們查詢這張表里所有的信息,這個時候我就會把這張表里所有的數據查出來了,這個只是一個SQL注入的一個最簡單的演示,可能SQL注入產生危害有很多。首先他能把數據查出來,能夠把數據倒走。
對于這樣的漏洞我們有如下一些簡單的一些建議。這個建議肯定不完整,也因為本身我們今天只是一個簡單的交流,不可能寫一個長篇大論,來針對SQL注入說一大篇,我只能說簡單的幾方面。
第一個,你要檢查用戶的輸入,因為大家都知道HDDP協議是一個純文本協議,我們有句話講叫永遠不要相信用戶的輸入,這個輸入不管是你他看得見的輸入,還是他看不見的輸入,這些東西都可以被攻擊者作為攻擊的參數。因為所有的東西,只要有一個代理工具都可以做到。
第二個,就是要轉義用戶的輸入,把用戶的輸入進行轉義,讓他執行不了。
第三個,就是拒絕已經轉義過的輸入。
第四個,使用參數化的查詢。就是JAVA都帶這個功能,目前PHP沒有怎么研究,這一塊可以自動取做的。
第五個,是使用SQL的存儲過程。這個方式并不能百分之百避免SQL注入,有一些動態的過程也會觸發注入。你完全不能避免,有些地方可能有用你應用的需要,你還真就需要去拼接SQL查詢語句,可以不拼接就不要拼接,用這個SQL存儲實現。
推薦閱讀
以后西鄉人體驗或者購買ThL手機再也不用跑去華強北那么遠了!2月中,ThL西鄉體驗店正式落戶在西鄉街道富成路,屆時深圳市民又多了一個購機地點選擇。據了解,西鄉擁有非常好的手機消費氛圍,ThL希望借助西鄉布局深圳>>>詳細閱讀
本文標題:安恒劉志樂:“泄密門”帶給我們的警示
地址:http://m.sdlzkt.com/a/kandian/20120305/36966.html
網友點評
精彩導讀
科技快報
品牌展示