《网站应用层安全隐患评估系统.ppt》由会员分享,可在线阅读,更多相关《网站应用层安全隐患评估系统.ppt(97页珍藏版)》请在三一文库上搜索。
1、网站应用层安全隐患评估系统 AppExplore Version1.0,RealSOI Information Security R&D Lab,业界专家论证会,FU NianDong(傅念东) Network Security Researcher REALSOI INFO TECH CISO,目录,专家介绍 公司简介 RealSOI AppExplore &APP Security 产品化特点 典型案例 总结,专家介绍,高庆狮 院士 卿斯汉 中科院研究员 贺也平 中科院副研究员 陈立杰 军方高工 徐广方 军方总工、高工 江常青 国家测评认证中心情报部主任,目录,专家介绍 公司简介 Real
2、SOI AppExplore &APP Security 产品化特点 典型案例 总结,REALSOI INFO TECH,瑞索讯杰信息技术(北京)有限公司是成立于2002年7月的高新技术型企业和“双软认证”企业 公司位于中国北京,并在西安、上海设有研发合作小组,从事网络安全领先技术的研究和产品开发 公司定位于App Security和Computer Forensics Certified Information Systems Security Professional (CISSP) Certified Information Systems Auditor (CISA) CISP lec
3、turer RealSOI-Anitsolution Information Security R&D Lab 一流的App Security Lab & Computer Forensics Lab,Anitsolution,北京华安永诚信息系统有限公司由资深信息技术、网络安全专家创建的专业服务公司 公司致力于网络安全集成和专业的网络安全服务 与瑞索讯杰共同出资组建信息安全积极防御实验室,专注应用安全和计算机取证技术、产品的研发与推广 主流安全厂商良好的合作关系 骨干员工来自国内外知名的网络安全公司,企业技术领导人于90年代中期开始致力于网络事业 开始于1998年,先后为国内两家一流安全企业
4、创办积极防御研究中心并担任技术负责人 成功参与和负责国家信息安全项目的设计和监理 国际CISSP认证/国内CISP讲师认证 成功参与过多起计算机犯罪专家取证 成功领导多个行业安全风险评估工程中国电信/中国移动/证券/银行,REALSOI LEADER,REALSOI LEADER,1999年创办中国最大的驱动程序开发资源论坛-”中国驱动开发网” 著作JAVA高级开发指南; 著作DriverStudio 开发指南及库参考; 著作Windriver开发指南及库参考; 著作程序春秋,REALSOI成功案例,成功案例,REALSOI 的安全研究历程,与Anitsolution 共同 为用户提供一流的
5、 安全资源整合 和企业风险管理,非法途径拨号外联管理,HTTP/HTTPS 80/443,黑客自由出入的通道?,Middle-Ware,APP SERVER,WEB SERVER,DATABASE,当前70%的入侵来自WEB应用层,企业级应用层安全隐患评估,统计,统计,全球黑客利用应用层已知或者未知的安全隐患入侵 破坏技术,对各类型网站应用平台构成巨大威胁:,-新闻报道,-黑客已经无数次地造成:,1. 网上电子商城业务系统遭受黑客完全访问 2. 网上花市用户信用卡数据失窃 3. 网上电子书城重要数据被删除 4. 网上电子商务交易被黑客伪造等 5. 政府网上形象站点页面被黑客涂抹 6. 其它方面
6、影响,统计,根据美国联邦商务委员会(Federal Trade Commission)调查显示,2002年期间,全球与网络安全直接相关的经济损失高达18亿美金 恶性蠕虫出现之后,损失将显著增加 研究跟踪发现:近期将出现利用网站应用层漏洞如SQL INJECTION隐患进行破坏性攻击的新一代恶性蠕虫! 60% 的入侵者会考虑从 Application level 进行入侵,通常,网络中的加密手段和防火墙措施都被绕过 事实上, WEB应用正逐渐成为网上商业的核心 “Security is a BUSINESS DRIVER !” 只有安全,网上商业才能有动力! 专业针对应用中未被揭露的安全隐患自动
7、化评估系统已经被成功研制,可以辅助解决应用层大量已知和未知的安全问题,最新动态,瑞索咨询家网站应用层安全隐患评估系统AppExplore受到中国信息安全产品测评认证中心的关注,并在中心试用 受到北京信息安全测评中心的关注,拟作为党政网站的应用安全评估工具,Thanks!,网站应用层安全隐患评估系统 AppExplore Version1.0,FU NianDong(傅念东) Network Security Researcher REALSOI INFO TECH CISO,RealSOI Information Security R&D Lab,业界专家论证会,关注应用安全-完善安全体系,大
8、量黑客事件警示了防火墙和入侵监测系统在应用层攻击手段下往往无能为力 安装补丁不能完全解决应用安全问题 应用程序安全编码对于完善整个安全体系的重要性 采用科学的评估手段针对企业WEB系统进行“黑箱子测试”,实施多方位的应用层入侵技术模拟评估,揭露应用安全隐患迫在眉睫,应用安全启示:,REALSOI 的安全定位,App Security 应用安全 Computer Forensics 计算机取证,RealSOI AppExplore &APP Security,专家介绍 公司简介 RealSOI AppExplore &APP Security 产品化特点 典型案例 总结,REALSOI AppE
9、xplore,成熟产品化商业评估软件 专业应用层安全隐患揭露系统 普通Scanner + AppExplore形成完整有效的新一代测评组合 安全服务市场的主要切入点将会逐渐转向应用安全领域 应用层的专业评估将在完整的安全解决方案中担任重要角色,AppExplore定位:,AppExplore为谁服务?,电子商务应用平台和形象宣传平台 网上银行应用平台和形象宣传平台 电子政府应用平台和形象宣传平台 大中型企业网站应用和宣传平台 ISP/ASP客户增值评估服务工具系统 第三方测评认证机构工具系统 军方专用敌对网站打击渗透工具系统(直接打击功能为特别定制) 其他任何具有应用层安全服务需求的客户群,A
10、ppExplore思考的十大类安全问题,APPLICATION BUFFER OVERFLOW 应用层缓冲区溢出(压力测试) COOKIE POISONING cookie安全使用状况评估 CROSS-SITE SCRIPTING 跨站脚本攻击风险评估 HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估 STEALTH COMMANDING 系统隐蔽指令执行风险评估 3RD PARTY MISCONFIGURATION 第三方误配置安全隐患 KNOWN VULNERABILITIES 各类型已知安全漏洞 PARAMETER TAMPERING URL参数篡改攻击风险评估 BAC
11、KDOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患 FORCEFUL BROWSING 网站内容强力浏览问题,应用安全方面的权威书籍,权威资料参考: Web Hacking: Attacks and Defense by Stuart McClure, Saumil Shah, Shreeraj Shah Hacking Exposed (TM) Web Applications by Joel Scambray, Mike Shema,如果存在以上十大类问题,那么。,由于COOKIE中毒安全隐患,导致黑客可能实施身份伪装攻击; 由于隐藏字段信息篡改隐患,黑客可能实施电子欺
12、骗; 由于URL参数、表单变量存在安全隐患,黑客因此可能进行系统指令执行、逻辑认证绕过、后台数据库攻击等; 由于应用程序缓冲区溢出隐患,黑客可能导致业务终止甚至获取非法权限; 由于跨站点脚本执行隐患,导致黑客可能实施不同程度基于信息泄漏的攻击; 由于第三方软件的错误设置和典型的已知安全隐患存在,导致不同类型的黑客入侵破坏;,AppExplore面对的市场背景,用户普遍还停留在FW+IDS层次的安全防护意识; 国内用户对应用安全知识了解不够,对应用安全隐患和风险认识不够,在国外,应用安全专家已经开始就应用安全问题进行普及宣传; 面对网络级和系统级安全,多数用户”亡羊补牢”,而应用级安全迫在眉睫,
13、需要的是”未雨绸缪”; 应用层隐患普遍存在,一旦爆发蠕虫式恶意攻击,将形成”NIMDA现象”; 这是一份来自台湾的调查统计:针对最为严重的SQL Injection漏洞的調查,由於國內九成以上網站皆使用SQL資料庫系統,因此,經警方測試,研判國內八成以上的網站已面臨資料隱碼攻擊方式的嚴重威脅。 5. 整体上,安全编程意识的不足导致不安全的应用不断出现,应用安全风险之应用层缓冲区溢出,缓冲区溢出是一种很典型的软件漏洞,黑客通过输入超长的恶意参数,让程序处理该参数时超过预设的缓冲区范围,导致难以预料的后果。此类漏洞在Web应用程序中也时常出现 举例:对象是一个要求客户输入个人信息的页面。用户查看该页面的源代码后发现,“company name”字段的最大长度设为30 (), 这就可能意味着服务器端的CGI程序期望处理的最大字符串长度是30。如果恶意用户修改了这个值,比如改成10000,然后在“companyname“输入字段中填充大量的字符,提交给Web服务器后,CGI程序很可能发生缓冲区溢出,Web服务器将发生难以预料的后果。,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,应用安全风险之应用层缓冲区溢出,