中国IDC产业年度大典 纵观中国WEB安全5年发展历程及趋势与挑战 -下.ppt

纵观中国WEB安全5年发展历程及趋势与挑战 Frank.Fan (范渊) DBAPPSecurity Sec-Team OWASP 中国分会副会长 Founder and CTO of DBAPPSecurity (安恒信息) * Mass Injection Tool -- Config.ini [init] edkey=inurl:(.aspx? -(gov)) {自动产生} ranklimit=1000000 cipin=50 timeout=20 process=1 retry=3 thread=88 bufferlength=10 cpu=115 sellang=0 scanmode=0 chkbox1=1 chkbox2=0 chkbox3=1 chkbox4=0 chkbox5=1 chkbox6=0 chkbufferlength=1 chkranklimit=0 IgnoreUrl=163.com#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A IgnoreKey=Not Found#$D#$A盗链#$D#$A文件不存在#$D#$A 2009年度回顾 国庆60周年政府网站安全检查报告 2009年8月，杭州安恒信息的网站漏洞远程检测平台，被用于公安部十一局，对全国31个省、直辖市6000多个政府网站进行远程安全检测和抽检，发现存在安全漏洞网站个数达到2264个，占被检测网站总数的37.40%。 2009年度回顾 2009年度回顾 其中存在sql注入漏洞的网站1331个，占漏洞网站总数的58.79%；存在跨站脚本漏洞的网站1257个，占漏洞网站总数的55.52%； 存在表单绕过漏洞的网站55个，占漏洞网站总数的2.43%；存在其他漏洞的网站24个，占漏洞网站总数的1.06%；已被挂马的网站3个，占漏洞网站总数的0.20%。 2009年度回顾 2009年度回顾 由以上数据可以看出，目前政府网站所面临的安全威胁主要来自SQL注入、跨站脚本以及表单绕过漏洞。由以上漏洞将导致网页篡改、网页挂马甚至服务器沦陷危害内网安全等风险。 2010年度现状 框架安全 Struts2/XWork 2.2.0远程执行任意代码漏洞 Struts—在JSP Web应用开发中，广泛采用的开放源代码应用框架：有文献评价它是JSP Web应用框架的事实标准。 XWork是一个命令模式框架，用于支持Struts 2及其他应用。  XWork处理用户请求参数数据时存在漏洞，远程攻击者可以利用此漏洞在系统上执行任意命令。 2010年度现状 因为xwork的OGNL漏洞，经过utf-8转义的“#” 即“\u0023”会被XWork解析，并因此带来安全隐患。 攻击者可以根据需要构造任意语句并执行，比如 java.lang.Runtime.getRuntime().exit(1); java.lang.Runtime.getRuntime().exec(rm –rf /root)?? 等等。 由此带来的安全隐患是巨大的——凡采用Struts应用框架的系统，可利用该漏洞直接获取最高权限，任何安全防护形同虚设。 ? 2010年度现状 .NET Framework ASP.NET Padding Oracle攻击信息泄露漏洞? .NET Framework ASP.NET处理应用会话中的敏感数据的加密机制上存在弱点，采用ASP.NET框架开发的Web应用受此漏洞的影响，远程攻击者可以利用此漏洞解密或 篡改应用会话中包含的加密数据。对于Web应用会话中加密数据的获取和篡改导致的后果取决于具体ASP.NET应用的实现方式，如果在加密数据中设置了口 令等敏感信息则可能导致应用受到非授权的访问。对于使用了ASP.Net 3.5 SP1版本的应用，加密数据的破解则会导致攻击者可以读取ASP.NET应用中任意文件的内容。 2010年度现状 此漏洞基本涵盖所有.NET框架： Microsoft .NET Framework 4.0 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5  Microsoft .NET Framework 2.0 SP2 Microsoft .NET Framework