范淵：Web應(yīng)用與數(shù)據(jù)庫(kù)安全剖析(1)

2009中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會(huì)于2009年10月21日至24日在湖南長(zhǎng)沙召開，本屆年會(huì)主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價(jià)值”。23日進(jìn)入會(huì)議第二天，在分會(huì)之“網(wǎng)絡(luò)安全新技術(shù)”會(huì)上，網(wǎng)絡(luò)安全專家范淵發(fā)表了關(guān)于Web應(yīng)用與數(shù)據(jù)庫(kù)安全剖析的演講。 以下是網(wǎng)絡(luò)安全專家范淵發(fā)言實(shí)錄：

主持人賈焰：感謝楊哲先生，下一位演講嘉賓是范淵先生，他演講的主題是Web應(yīng)用與數(shù)據(jù)庫(kù)安全剖析。

范淵：謝謝主持人。各位網(wǎng)絡(luò)安全同仁下午好!

我是OWASP中國(guó)區(qū)的副會(huì)長(zhǎng)，今天花一些時(shí)間講講Web實(shí)際處理案例和當(dāng)中的工作經(jīng)驗(yàn)交流，算不上剖析，如果大家關(guān)注這個(gè)領(lǐng)域的話，應(yīng)該會(huì)有一定的實(shí)用價(jià)值，我參與了北京奧組委關(guān)于網(wǎng)站安全和數(shù)據(jù)庫(kù)安全的評(píng)估和加固。

現(xiàn)在，通過(guò)網(wǎng)站安全進(jìn)行掛馬是黑客產(chǎn)業(yè)鏈最核心的一個(gè)主要部分，網(wǎng)站空間戰(zhàn)在美國(guó)02、03年就被經(jīng)常提及，CYBERWAR去年已經(jīng)開始浮現(xiàn)水面，比較體系化了。

在國(guó)內(nèi)，無(wú)論從政府、銀行、教育還是運(yùn)營(yíng)商，相信大家從媒體上可以獲知各式各樣的案例。我在這里講一個(gè)案例，國(guó)慶60周年公安部進(jìn)行安全大檢查，基本上50%的政府網(wǎng)站都存在嚴(yán)重安全漏洞，從安全風(fēng)險(xiǎn)的比例來(lái)講占37.04%，也是非常嚴(yán)重的。在某省全省商業(yè)銀行網(wǎng)站安全調(diào)研也是配合國(guó)慶60周年所做的檢測(cè)，網(wǎng)銀也非常關(guān)注網(wǎng)絡(luò)安全漏洞，但查出的漏洞比例還是比較高的。

運(yùn)營(yíng)商也知道，內(nèi)部黑手頻頻探囊安全網(wǎng)絡(luò)—，“沒(méi)有密碼”的充值卡，很多人在免費(fèi)打電話，其他的情況就不多說(shuō)了。

去年的網(wǎng)絡(luò)群注是一種目前最流行的利用網(wǎng)站應(yīng)用程序漏洞進(jìn)行對(duì)數(shù)據(jù)庫(kù)以及服務(wù)器進(jìn)行攻擊的手段，這種攻擊可能是竊取數(shù)據(jù)，插入數(shù)據(jù)，篡改數(shù)據(jù)，刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務(wù)器。它的原理是對(duì)后臺(tái)數(shù)據(jù)庫(kù)中所有的字符型字段全部插入某段腳本，這個(gè)腳本是帶有木馬執(zhí)行的腳本，在我們的檢測(cè)中，發(fā)現(xiàn)有一臺(tái)肉雞對(duì)這個(gè)網(wǎng)站進(jìn)行攻擊，后來(lái)我們也攻入了那臺(tái)肉雞，發(fā)現(xiàn)這臺(tái)計(jì)算機(jī)工具也有很多的配置文件，如利用google發(fā)現(xiàn)大批能夠進(jìn)入攻擊的目標(biāo)點(diǎn)，然后把已經(jīng)編輯好的腳本注入進(jìn)去。其實(shí)，他們使用的工具并不復(fù)雜，但前后兩次造成全球?qū)⒔�十萬(wàn)個(gè)網(wǎng)站受到侵襲。

OWASP組織是一個(gè)國(guó)外開放社群、非營(yíng)利性組織，在全球有130多個(gè)分會(huì)，近萬(wàn)名會(huì)員;主要目標(biāo)是研議協(xié)助解決Web應(yīng)用安全標(biāo)準(zhǔn)、工具與技術(shù)，致力于協(xié)助政府、企業(yè)了解并改善應(yīng)用安全。OWASP國(guó)際影響力比較大，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)強(qiáng)烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點(diǎn)防護(hù)守則。

目前OWASP有30多個(gè)進(jìn)行中的安全項(xiàng)目，主要包括OWASPTop10、webgoat等，OWASP中國(guó)分會(huì)致力于這些開源項(xiàng)目的引入以及研究，并通過(guò)各種渠道在國(guó)內(nèi)安全行業(yè)內(nèi)共享。同時(shí)，也歡迎更多的人參與以及加入OWASP中國(guó)分會(huì)，共同推動(dòng)國(guó)內(nèi)應(yīng)用安全領(lǐng)域方面的研究。

OWASP最近正在做的事情是OWASP測(cè)試指南，也花了很多的精力，我、OWASP的會(huì)長(zhǎng)和一個(gè)八級(jí)英語(yǔ)翻譯致力于將測(cè)試指南完全消化，并且爭(zhēng)取將測(cè)試指南盡快奉獻(xiàn)給大家，不涉及到任何的費(fèi)用。

OWASP測(cè)試指南目錄章節(jié)：前沿、信息收集、配置管理測(cè)試、認(rèn)證測(cè)試、會(huì)話管理測(cè)試、授權(quán)測(cè)試、數(shù)據(jù)驗(yàn)證測(cè)試、業(yè)務(wù)邏輯測(cè)試、拒絕服務(wù)測(cè)試、網(wǎng)絡(luò)服務(wù)測(cè)試、AJAX測(cè)試。還包含開發(fā)前、開發(fā)中、運(yùn)行后的維護(hù)等，包含了很多的經(jīng)驗(yàn)在里面，這兩天也和大家在交流，OWASP一方面比較新，但另一方面確實(shí)會(huì)涉及到白服和黑服的防護(hù)，以及事后的應(yīng)急處理，我認(rèn)為是不可或缺的，測(cè)試內(nèi)容比較多，章節(jié)也比較多，花了很多的精力。

去年是OWASP在臺(tái)灣舉行亞洲峰會(huì)，規(guī)模也很大，OWASP組織得好的話，完全可以組織不同的分會(huì)場(chǎng)，進(jìn)行細(xì)致地交流。計(jì)劃在2010年4-5月份會(huì)舉行OWASP亞洲峰會(huì)，到時(shí)也會(huì)邀請(qǐng)國(guó)外國(guó)內(nèi)的專家到一起交流，分別在臺(tái)灣、北京舉行。

Web攻擊悄然無(wú)聲，傳統(tǒng)的防火墻、防病毒幾乎沒(méi)有觸及，對(duì)于防火墻來(lái)說(shuō)必須打開STTP80和STTPS，在這個(gè)范圍內(nèi)發(fā)起的所有攻擊都會(huì)變得比較容易。
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]