資源描述:
《網(wǎng)頁(yè)防篡改方案》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1���、[網(wǎng)頁(yè)防篡改解決方案上海睿宏電子科技發(fā)展有限公司2013-02-05領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商23/24上海睿宏電子科技發(fā)展有限公司www.sh-junpai.com目錄1方案概述31.1WEB安全現(xiàn)狀分析31.2企業(yè)WEB服務(wù)器面臨的威脅51.2.1跨站腳本51.2.2注入攻擊51.2.3越權(quán)操作61.2.4文件上傳61.2.5信息泄露71.3面向應(yīng)用層新型攻擊特點(diǎn)72防篡改總體方案設(shè)計(jì)82.1防篡改系統(tǒng)部署方式82.1.1系統(tǒng)組成82.1.2系統(tǒng)部署82.2防篡改系統(tǒng)平臺(tái)支持132.3防篡改系統(tǒng)功能特點(diǎn)142.
2�����、3.1網(wǎng)頁(yè)文件保護(hù)142.3.2網(wǎng)絡(luò)攻擊防護(hù)142.3.3系統(tǒng)自我保護(hù)142.3.4網(wǎng)站安全發(fā)布14領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商23/24上海睿宏電子科技發(fā)展有限公司www.sh-junpai.com2.3.5網(wǎng)站備份還原142.3.6實(shí)時(shí)報(bào)警152.3.7管理員權(quán)限分級(jí)152.3.8日志審計(jì)152.3.9網(wǎng)站智能分析152.3.10系統(tǒng)信息檢測(cè)182.3.11集中管理182.4防篡改系統(tǒng)優(yōu)勢(shì)182.5WEB防篡改系統(tǒng)為企業(yè)帶來的價(jià)值183網(wǎng)站系統(tǒng)漏洞評(píng)估專業(yè)服務(wù)193.1漏洞評(píng)估服務(wù)概述193.2服務(wù)內(nèi)容介紹193
3�����、.3評(píng)估實(shí)踐介紹204部分用戶案例22領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商23/24上海睿宏電子科技發(fā)展有限公司www.sh-junpai.com1方案概述1.1WEB安全現(xiàn)狀分析隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展���,許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來越多地依賴于WEB應(yīng)用���,在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時(shí),企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加�。主要表現(xiàn)在兩個(gè)層面:一是隨著Web應(yīng)用程序的增多,這些Web應(yīng)用程序所帶來的安全漏洞越來越多��;二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展��,被用來進(jìn)行攻擊的黑客工具越來越多�、黑客活動(dòng)越來越猖獗,組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)
4、非常明顯���。然而與之形成鮮明對(duì)比的卻是:現(xiàn)階段的安全解決方案無(wú)一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面��,致使面臨應(yīng)用層攻擊(如:針對(duì)WEB應(yīng)用的SQL注入攻擊��、跨站腳本攻擊等)發(fā)生時(shí)����,傳統(tǒng)的網(wǎng)絡(luò)防火墻�、IDS/IPS等安全產(chǎn)品對(duì)網(wǎng)站攻擊幾乎不起作用����,許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑����。據(jù)統(tǒng)計(jì)75%的網(wǎng)絡(luò)攻擊和互聯(lián)網(wǎng)安全侵害源于應(yīng)用軟件��,網(wǎng)頁(yè)上的漏洞的根源還是來自程序開發(fā)者對(duì)網(wǎng)頁(yè)程序編制和檢測(cè)�����。未經(jīng)過安全訓(xùn)練的程序員缺乏相關(guān)的網(wǎng)頁(yè)安全知識(shí)���;應(yīng)用部門缺乏良好的編程規(guī)范和代碼檢測(cè)機(jī)制等等���。解決此類問題必須在WEB應(yīng)用軟件開發(fā)程
5、序上整治����,僅僅靠打補(bǔ)丁和安裝防火墻是遠(yuǎn)遠(yuǎn)不夠的。2008年上半年���,中國(guó)大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢(shì)�����。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)達(dá)到35113個(gè)�,同比增加了23.7%。按月統(tǒng)計(jì)情況如圖所示:領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商23/24上海睿宏電子科技發(fā)展有限公司www.sh-junpai.com2008年上半年中國(guó)被篡改網(wǎng)站數(shù)量2008年1月至6月期間�����,中國(guó)大陸政府網(wǎng)站被篡改數(shù)量基本保持平穩(wěn)���,各月累計(jì)達(dá)2242個(gè)����。與去年上半年同期監(jiān)測(cè)情況相比��,增加了41%����。從中可以看出,每
6�、月被篡改的gov.cn域名網(wǎng)站約占整個(gè)大陸地區(qū)被篡改網(wǎng)站的7%,而gov.cn域名網(wǎng)站僅占.cn域名的2.3%����,因此政府網(wǎng)站仍然是黑客攻擊的重要目標(biāo)��。具體比例如下圖:領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商23/24上海睿宏電子科技發(fā)展有限公司www.sh-junpai.com1.2企業(yè)WEB服務(wù)器面臨的威脅1.2.1跨站腳本跨站腳本攻擊全稱為CrossSiteScript,一般縮寫為XSS���。此漏洞是由于應(yīng)用程序在服務(wù)器端獲取用戶提交的數(shù)據(jù)時(shí)�,沒有對(duì)內(nèi)容進(jìn)行驗(yàn)證�。使得攻擊者精心構(gòu)造的惡意腳本在普通用戶的瀏覽器中得到執(zhí)行,除了可以
7�����、竊取其他用戶�、管理員的Cookie外,還可以進(jìn)行掛馬���,使得更多的訪問者感染惡意代碼�����。在Web2.0技術(shù)流行的今天���,跨站腳本漏洞還有可能被蠕蟲利用,進(jìn)行大規(guī)模的攻擊�����,危害很大。此類漏洞的根本原因是��,開發(fā)人員在編寫應(yīng)用程序時(shí)�,對(duì)用戶提交的數(shù)據(jù)過濾的不夠嚴(yán)格,或者未過濾���。由于考慮在實(shí)際開發(fā)中需要過濾的內(nèi)容比較多���,可能會(huì)有遺漏,因此我們建議開發(fā)人員在對(duì)用戶輸入的變量進(jìn)行檢查時(shí)�����,使用白名單方式�����,即��,檢查用戶傳入的變量是否是系統(tǒng)允許的類型��,如果不是�����,就提示錯(cuò)誤,直到用戶傳入合法的數(shù)據(jù)��。1.2.2注入攻擊注入攻擊中最常見的是SQL注入�,此攻擊類型
8����、是由于應(yīng)用程序在服務(wù)器端獲取用戶提交的數(shù)據(jù)時(shí),沒有對(duì)內(nèi)容進(jìn)行嚴(yán)格驗(yàn)證��,就拼接到SQL語(yǔ)句中執(zhí)行�����。攻擊者可以精心構(gòu)造特定的SQL語(yǔ)句使服務(wù)器執(zhí)行���,從而進(jìn)行未授權(quán)的數(shù)據(jù)修改���,甚至在數(shù)據(jù)庫(kù)服務(wù)器上執(zhí)行系統(tǒng)命令,對(duì)Web站點(diǎn)的安全造成嚴(yán)重威脅
