slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
高校网站设防与安全监测 PowerPoint Presentation
Download Presentation
高校网站设防与安全监测

Loading in 2 Seconds...

play fullscreen
1 / 72

高校网站设防与安全监测 - PowerPoint PPT Presentation


  • 167 Views
  • Uploaded on

高校网站设防与安全监测. 诸葛建伟 北京大学计算机研究所信息安全工程研究中心. 内容纲要. 网站系统的体系结构与主要安全威胁类型 高校网站主要安全威胁及设防措施 网络安全威胁:网络协议攻击 系统 / 服务安全威胁:服务器系统攻击 Web 应用安全威胁: Web 应用攻击 Web 数据安全威胁:敏感信息泄漏 / 网页篡改与不良信息内容 Web 浏览安全威胁:网站挂马 高校网站安全监测公益性服务 - 高校网站体检中心 总结. 网站系统 (Web 应用 ) 的体系结构. 网站系统 (Web 应用 ) 体系结构 传统 C/S 架构的计算  B/S 架构

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '高校网站设防与安全监测' - tate-battle


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

高校网站设防与安全监测

诸葛建伟

北京大学计算机研究所信息安全工程研究中心

slide2
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide3
网站系统(Web应用)的体系结构
  • 网站系统(Web应用)体系结构
    • 传统C/S架构的计算B/S架构
    • “痩”客户端: Browser (Web客户端浏览器)
    • “厚”服务器: Web服务器、Web应用程序、数据…
    • 网络通讯机制: HTTP/HTTPS
slide4
网站系统的脆弱性与安全威胁

Web浏览安全威胁:

网站挂马,Phishing

Web数据安全威胁:

敏感信息泄漏/内容篡改/不良信息内容

Web客户端浏览器

Web应用安全威胁:

针对Web应用的渗透攻击

服务安全威胁:

针对Web服务器的渗透攻击

系统安全威胁:

针对操作系统的渗透攻击

网络安全威胁:

机密窃听、假冒身份

slide5
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide6
网络协议攻击 - HTTP
  • HTTP明文传输不安全 – 容易被网络嗅探
  • 门户网站登录尽量应使用HTTPS协议
slide7
网络协议攻击 – 网络层及传输层
  • ARP欺骗攻击
    • ARP欺骗中间人攻击
    • 交换网络中实现网络嗅探
    • ARP欺骗挂马
    • 设防措施: ARP防火墙、MAC封禁机制、关键网站服务器静态绑定MAC-IP映射
  • TCP Syn Flood
    • 网站拒绝服务攻击,消耗连接队列、计算和网络资源
    • 缓解机制: Syn Cookie / Syn Proxy
    • 流量巨大的DDoS攻击:无法防御。应对措施:暂时转移到其他IP段,报案处理
slide8
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide9
网站操作系统及服务渗透攻击威胁
  • 网站系统主流使用的操作系统+Web服务
    • Windows Server + IIS + MSSQL +ASP/ASP.Net
    • LAMP: Linux + Apache + MySQL + PHP
  • 操作系统/Web服务存在的安全弱点
    • 操作系统开放网络服务安全漏洞
      • FTP(网站应用程序更新)、SSH(远程管理)、…
    • Web服务相关网络服务安全漏洞
      • IIS/Apache; MSSQL/MySQL; …
    • 不安全配置: 缺省/弱口令、不必要服务、错误配置…
slide10
网站操作系统及服务安全设防措施
  • 操作系统及Web服务的及时补丁更新
    • Windows的补丁更新机制: 软件正版化,自动更新/WSUS服务,定期维护
    • Linux的补丁更新机制:APT/YUM/crond设置定期更新任务
  • 网站操作系统及Web服务的安全漏洞远程扫描
    • 使用安全漏洞扫描在攻击者之前发现并修补漏洞和弱点
    • 商业:绿盟“极光”漏洞扫描器/启明“天镜”…
    • 开源:Nessus软件
  • 提升操作系统和Web服务安全性的一般性设防措施
    • 关闭所有不必要的服务,避免使用明文传输服务(如FTP/Telnet)
    • 设置强口令,以及安全的服务配置(如禁止列出目录等)
    • 部署防火墙,设置对控制及内容上传通道的限制访问
slide12
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide13
Web应用安全威胁类型
  • OWASP(开放式Web应用程序安全项目) Top 10
slide14
SQL注入攻击
  • SQL注入攻击
    • 输入数据被Web应用程序用于生成SQL语句
    • 输入数据合法性检查不严格
    • 攻击者恶意构造输入,注入至SQL语句中恶意执行
  • SQL注入点例子
    • strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"'); "
    • userName, passWord是用户输入数据
      • userName = "' OR '1'='1";
      • passWord = "' OR '1'='1";
    • 实际执行SQL语句: "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');"
  • SQL注入危害
    • 窃取后台管理帐号;获取数据库管理员帐号;执行shell命令打开后门
slide15
SQL注入攻击实例
  • 某大学科研部科研经费查询系统
  • where some_rec like ' %INPUT% '
  • where some_rec like ' %a% ' or ' a ' like ' %a% '
slide16
自动化SQL注入攻击工具
  • 自动化SQL注入漏洞发现
    • Wposion
      • 能够在动态Web文档中找出SQL注入漏洞的工具
    • mieliekoek.pl
      • 以网站镜像工具生成的输出为输入,找出含有表单页面
      • 允许在配置文件中对注入字符串进行修改
  • 自动化SQL注入测试
    • SPIKE Proxy工具
      • 允许使用者对待注入字符串进行定制
    • SPI Toolkit工具包中的“SQL Injector”工具
  • 国内黑客界工具
    • NBSI、HDSI、阿D注入工具、CSC、WED…
    • Pangolin
slide18
XSS攻击
  • XSS (Cross-Site Scripting), 跨站脚本攻击
    • 在Web页面中插入恶意脚本,使得其他用户浏览时执行恶意脚本,达到攻击目的
    • 根源:Web应用程序没有对非预期输入做全面有效检查和净化.
  • 危害最严重的一类XSS攻击-持久性XSS
    • 典型案例: 留言本/论坛/博客/wiki等。
    • 漏洞形式: Web应用程序允许用户输入内容并持久保存并显示在网页上.
    • 攻击方式: 攻击者通过利用跨站漏洞构建恶意脚本,对大量用户构成危害.
slide19
跨站漏洞攻击原理演示

攻击目标:迷你留言本

测试漏洞

漏洞确认

通过跨站漏洞植入网马

遭受网马攻击

slide20
Web应用程序漏洞扫描与检测
  • Web应用程序漏洞扫描器
    • Web应用程序安全性测试: 自动化扫描工具作为辅助
    • 需结合手工分析和测试
slide22
Web应用程序安全设防措施
  • 信息发布类网站无需引入动态网页
    • 静态网页站点较动态网页站点安全性高,性能更好
    • 通过后台系统产生信息发布静态页面
      • 新浪、搜狐等门户网站也使用此方案
      • 兰州大学信息门户的应用-李仲贤 COST论坛
  • 必需Web应用程序的网站 – 需要提供用户交互
    • 论坛/博客/留言/网上课程/门户应用…
    • 尽量使用具有良好安全信誉的Web应用软件包
      • 活跃的开源和共享软件: phpwind, wordpress, wikimedia, …
      • 规范运作、注重安全的商业软件公司解决方案
    • 定期的Web应用程序漏洞扫描评估
    • Web应用程序的升级与安全漏洞修补
      • 使用第三方Web应用软件应跟进版本更新和安全补丁
      • 自己或委托实现的Web应用程序,需持续性的安全测试与维护
slide23
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide24
敏感信息泄漏
  • 敏感信息类型
    • GF、BM等科研敏感信息
    • 教师、学生个人隐私信息
    • 网络安全敏感信息
  • 通常的信息泄漏途径和方式
    • 未关闭Web服务器的目录遍历,不经意泄漏
    • Upload、Incoming等目录中转文件时泄漏
    • 缺乏安全意识,在公开的文档中包含个人隐私信息
    • 在公开的个人简历、职称晋升材料、课题申请书等包含科研敏感信息
slide26
高校网站泄漏科研敏感信息实例
  • Google: filetype:xls site:edu.cn 课题 身份证号
slide27
高校网站泄漏学生敏感信息的例子
  • Google搜索词
    • “filetype:xls 身份证号 site:edu.cn”
    • “filetype:xls 信用卡 site:edu.cn”
slide28
高校网站泄漏网络安全敏感信息实例

源代码中泄漏数据库连接地址、口令与密码MD5值的例子

slide29
网页内容篡改
  • 2008年9月:北大/清华网站被黑,假冒校长发文
google
使用Google搜索被黑网站
  • 基于元搜索引擎实现被篡改网站发现与攻击者调查剖析
slide34
不良信息内容
  • 网站面临的不良信息内容威胁
    • 网站被攻陷后可能成为不良信息的存储和中转仓库
    • 提供用户交互的论坛/博客等网站可能涉及用户上传不良信息
slide36
网站数据安全设防措施
  • 提高网站维护人员的数据安全意识
    • BM不联网,联网信息不涉密,不应在网上公开团队/个人承担涉密项目(可能引来针对性攻击)
    • 注重个人隐私: 网上公布数据中尽可能不包括个人隐私信息
    • 注意对论坛/博客/留言等允许用户提交数据的审查 (清除违法信息)
    • 注意不要公布网站安全相关的敏感信息
  • 网站数据安全性监测和防护措施
    • 提升网站系统、Web应用程序的安全性
    • 善用Google等搜索引擎,定期进行敏感数据检查
    • 对网站的安全配置进行检查,尽量消除目录遍历、随意上传渠道
    • 对接受用户交互的网站列出清单,进行定期检查
    • 建立规范快捷的网站安全响应机制和流程
slide37
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide38
网站挂马
  • 网页木马
    • 针对浏览器/插件/客户端软件漏洞的渗透攻击代码(browser-side exploit)
    • 通常被挂接至被黑网站上,危害网站的访问者
    • 目的:植入盗号木马等恶意程序,窃取敏感信息,盗用资源进行DDoS和发送垃圾邮件等
  • 网站挂马
    • 将网页木马挂接至被黑网站的网页上,使得客户端浏览器在访问该网页同时加载网页木马,从而被渗透攻击,植入恶意程序
    • 网站攻击手段:系统、服务、Web应用程序的渗透攻击
    • 挂接手段:iframe, script等多种内嵌链接方式,通常不可见
    • 通过混淆技术进行挂马链接的隐藏和对抗分析
slide40
精品课程类网站被大批挂马
  • 52个精品课程类网站被挂马, 检测次数达413次

jpkc.51099.com 外连到各个精品网站url

jpkc.cumt.edu.cn “中国矿业大学精品课程网站”

jpkc.myvtc.edu.cn “绵阳职业技术学院精品课程”

jpkc.fjau.edu.cn “福建农林大学——精品课程建设工程”

gdjpkc.xmu.edu.cn “高等代数::厦门大学精品课程”

www.jpkc.swust.edu.cn:8080 “精品课程_西南科技大学”

jpkc.hust.edu.cn “华中科技大学精品课程”

jpkc.haue.edu.cn “河南工程学院精品课程建设网”

jpkc.sdau.edu.cn “山东农业大学 – 精品课程”

jpkc.tongji.edu.cn “同济大学精品课程”

jpkc.jsit.edu.cn “精品课程中心==江苏信息职业技术学院”

jpkc.hzvtc.edu.cn “杭州职业技术学院精品课程网站”

mkszy.jpkc1.ynnu.edu.cn “云南师范大学,省级精品课程建设平台”

jpkch.qtech.edu.cn “青岛理工大学精品课程”

jpkc.gzarts.edu.cn “广州美术学院精品课程建设网站”

jpkc.ntu.edu.cn “南通大学精品课程网”

jpkc.dlmu.edu.cn “大连海事大学本科教学质量与改革工程”

jpkc.open.ha.cn “河南省精品课程”

jpkc.gxun.edu.cn “广西民族大学精品课程网”

jpkc1.ynnu.edu.cn “云南师范大学-高等学校高水平运动队建设–支撑材料网站”

jpkc.znufe.edu.cn “中南财经政法大学精品课程”

……

slide41
How? 精品课程类网站挂马案例
  • jpkc.cumt.edu.cn,中国矿业大学精品课程网站
  • 从2010年2月26日至9月13日(撰写材料当日)一直持续挂马,系统共检测出挂马URL 341条次
  • ASP建站动态页面
slide43
该案例中的挂马链接
  • hxxp://jpkc.cumt.edu.cn/huagong/default.asp页面被植入一大堆混淆后的恶意链接
  • 活跃链接:hxxp://bio.isgre.at/b.js?google_ad=09x061
slide44
该案例中的跳转链接
  • hxxp://bio.isgre.at/b.js?google_ad=09x061
  • 设置Cookie干嘛?
    • 防止攻击重入
slide45
该案例中的分发链接

javascript中的 <!--  -->

欺骗HTML Parser,隐藏代码

jc()函数

检查是否有瑞星/360

探测是否存在Flash

通过Flash加载恶意链接

输出恶意链接av.htm

slide46
该案例中真正的渗透攻击代码

ie.jpg

iee.jpg

带有混淆和对抗分析机制的

极风 MS10-018渗透攻击代码

ieee.jpg

6.htm

slide47
为什么大量精品课程网站被挂马?
  • 什么是精品课程网站?
    • 2003年教育部启动的精品课程建设,国家/省/校三级
    • 天空教室由南京易学教育软件有限公司创立,成为各高校精品网站建设中最普及的工具
  • 为什么大量精品课程网站被挂马?
    • 罪魁祸首: 天空教室精品课程建站Web应用软件
    • 存在大量SQL注入安全漏洞
slide53
针对网站挂马的安全设防措施
  • 防范网站挂马,首先还是立足于网站应用安全
    • 通常情况下,网站挂马是网站被黑之后的一类危害
  • 注意网站中第三方内嵌组件的安全性
    • 常见第三方内嵌组件:流量统计、点击广告、UI模块、天气预报等功能组件
    • 09年5月CNZZ流量统计内嵌组件被挂马,导致大范围网站挂马
  • 网站挂马监测和应对措施
    • 选择网站挂马监测服务: 赛尔网络网站体检中心、Google安全浏览计划、360/瑞星/知道创宇…
    • 及时、积极响应网站挂马事件
      • 第一时间移除挂马链接,消除对网站访问用户的威胁
      • 对网站服务器进行全面深入检查,移除后门
      • 找出被挂马的原因,加固网站系统
    • 必要时,选择专业的网络安全检测、评估与应急服务
slide54
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide55
中国教育网体检中心 – 赛尔网络
  • 宁雄雁, COST技术专题讲座:网页挂马监测及web服务安全加固
slide59
高校网站挂马2010上半年监测总体情况
  • 监测范围:教育网3.5万个网站
  • 2010年上半年累计检测结果
    • 1,374个网站被挂马 (3.88%)
    • 425个教育网顶级域名,几乎包括所有985/211知名高校
    • Google安全浏览未检出比例: 59%

Google标注高校挂马网站的比例

2010年上半年教育网网站挂马数量和月度挂马率统计

slide60
高校网站挂马持续时间分析
  • 平均检出次数和持续时间: 3.9次, 25.7天
  • 最大检出次数和持续时间: 28次(某精品课程网站), 143天(某高校生物技术学院)

2010年上半年教育网挂马网站检出次数和挂马持续时间分布(每3天检测一次)

slide61
高校网站挂马顶级域名分析
  • 检出挂马网站最多顶级域名(haue.edu.cn)
    • 48个不同的网站被检出挂马,检出次数达到233次
    • 同一IP服务器,ASP动态页面建站,同一渗透攻击网马包

教育网检出挂马网站数量和次数的顶级域名分布情况

slide62
高校网站挂马宿主站点追踪分析
  • 挂马宿主站点追踪
    • 1,001个恶意宿主站点
    • 影响范围最广的宿主根域名Top 10分布
  • 挂马宿主的高度动态变化性
    • 72.7%的挂马网站所挂接的宿主站点进行了变化转移
    • 每个挂马网站平均对应的宿主站点数竟达到了5.32
    • 回避产业界和国家监管部门普遍实施的黑名单域名和网址过滤机制

影响挂马网站数量最多的网页木马宿主站点根域名Top 10

slide65
高校网站上半年典型网马攻击实例
  • MS10-018极风网马攻击场景
  • 多漏洞集成网马攻击场景
slide66
如何申请高校网站体检中心服务
  • http://www.nhcc.edu.cn
  • 服务平台流程
slide67
提交网站列表
  • 需提供高校网站域名列表,并选择体检项目
google2
如何发现高校网站 – 借助Google
  • allinurl:-php -html -htm -asp -aspx -ppt -pdf -swf -doc -xls site:pku.edu.cn
  • 限制条件: Google只返回1000个搜索结果项,对大型高校,可按域名进一步细致查询
slide70
内容纲要
  • 网站系统的体系结构与主要安全威胁类型
  • 高校网站主要安全威胁及设防措施
    • 网络安全威胁:网络协议攻击
    • 系统/服务安全威胁:服务器系统攻击
    • Web应用安全威胁:Web应用攻击
    • Web数据安全威胁:敏感信息泄漏/网页篡改与不良信息内容
    • Web浏览安全威胁:网站挂马
  • 高校网站安全监测公益性服务-高校网站体检中心
  • 总结
slide71
总结
  • 网站系统的安全威胁非常多样化,且广泛存在
    • 网络协议、操作系统/服务、Web应用、数据、客户端
    • 高校网站安全性尤为薄弱,各种安全问题频出
  • 高校网站管理人员应负起责任,学习技能,加大投入,提升网站安全性
    • 安全意识非常重要:在网站建设、运营各阶段都需要关注安全问题
    • 具备对网络攻击技术的了解,掌握安全设防措施和技能
  • 高校网站安全需要多方协作
    • 高校网络管理部门、网站管理员:安全责任主体
    • 运营商、科研机构和安全公司应提供支持和帮助
zhugejianwei@icst pku edu cn zhugejw@gmail com http blog cost edu cn zhugejw
谢谢!诸葛建伟zhugejianwei@icst.pku.edu.cnzhugejw@gmail.comhttp://blog.cost.edu.cn/zhugejw谢谢!诸葛建伟zhugejianwei@icst.pku.edu.cnzhugejw@gmail.comhttp://blog.cost.edu.cn/zhugejw