2009中國計算機網(wǎng)絡安全應急年會于2009年10月21日至24日在湖南長沙召開，本屆年會主題是“網(wǎng)絡促進發(fā)展 安全創(chuàng)造價值”。23日進入會議第二天，在分會之“網(wǎng)絡安全新技術”會上，網(wǎng)絡安全專家范淵發(fā)表了關于Web應用與數(shù)據(jù)庫安全剖析的演講。 以下是網(wǎng)絡安全專家范淵發(fā)言實錄：

主持人賈焰：感謝楊哲先生，下一位演講嘉賓是范淵先生，他演講的主題是Web應用與數(shù)據(jù)庫安全剖析。
 
范淵：謝謝主持人。各位網(wǎng)絡安全同仁下午好!

我是OWASP中國區(qū)的副會長，今天花一些時間講講Web實際處理案例和當中的工作經(jīng)驗交流，算不上剖析，如果大家關注這個領域的話，應該會有一定的實用價值，我參與了北京奧組委關于網(wǎng)站安全和數(shù)據(jù)庫安全的評估和加固。

現(xiàn)在，通過網(wǎng)站安全進行掛馬是黑客產業(yè)鏈最核心的一個主要部分，網(wǎng)站空間戰(zhàn)在美國02、03年就被經(jīng)常提及，CYBERWAR去年已經(jīng)開始浮現(xiàn)水面，比較體系化了。

在國內，無論從政府、銀行、教育還是運營商，相信大家從媒體上可以獲知各式各樣的案例。我在這里講一個案例，國慶60周年公安部進行安全大檢查，基本上50%的政府網(wǎng)站都存在嚴重安全漏洞，從安全風險的比例來講占37.04%，也是非常嚴重的。在某省全省商業(yè)銀行網(wǎng)站安全調研也是配合國慶60周年所做的檢測，網(wǎng)銀也非常關注網(wǎng)絡安全漏洞，但查出的漏洞比例還是比較高的。

運營商也知道，內部黑手頻頻探囊安全網(wǎng)絡—，“沒有密碼”的充值卡，很多人在免費打電話，其他的情況就不多說了。

去年的網(wǎng)絡群注是一種目前最流行的利用網(wǎng)站應用程序漏洞進行對數(shù)據(jù)庫以及服務器進行攻擊的手段，這種攻擊可能是竊取數(shù)據(jù)，插入數(shù)據(jù)，篡改數(shù)據(jù)，刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務器。它的原理是對后臺數(shù)據(jù)庫中所有的字符型字段全部插入某段腳本，這個腳本是帶有木馬執(zhí)行的腳本，在我們的檢測中，發(fā)現(xiàn)有一臺肉雞對這個網(wǎng)站進行攻擊，后來我們也攻入了那臺肉雞，發(fā)現(xiàn)這臺計算機工具也有很多的配置文件，如利用google發(fā)現(xiàn)大批能夠進入攻擊的目標點，然后把已經(jīng)編輯好的腳本注入進去。其實，他們使用的工具并不復雜，但前后兩次造成全球將近十萬個網(wǎng)站受到侵襲。

OWASP組織是一個國外開放社群、非營利性組織，在全球有130多個分會，近萬名會員;主要目標是研議協(xié)助解決Web應用安全標準、工具與技術，致力于協(xié)助政府、企業(yè)了解并改善應用安全。OWASP國際影響力比較大，美國聯(lián)邦貿易委員會(FTC)強烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點防護守則。

目前OWASP有30多個進行中的安全項目，主要包括OWASPTop10、webgoat等，OWASP中國分會致力于這些開源項目的引入以及研究，并通過各種渠道在國內安全行業(yè)內共享。同時，也歡迎更多的人參與以及加入OWASP中國分會，共同推動國內應用安全領域方面的研究。

OWASP最近正在做的事情是OWASP測試指南，也花了很多的精力，我、OWASP的會長和一個八級英語翻譯致力于將測試指南完全消化，并且爭取將測試指南盡快奉獻給大家，不涉及到任何的費用。

OWASP測試指南目錄章節(jié)：前沿、信息收集、配置管理測試、認證測試、會話管理測試、授權測試、數(shù)據(jù)驗證測試、業(yè)務邏輯測試、拒絕服務測試、網(wǎng)絡服務測試、AJAX測試。還包含開發(fā)前、開發(fā)中、運行后的維護等，包含了很多的經(jīng)驗在里面，這兩天也和大家在交流，OWASP一方面比較新，但另一方面確實會涉及到白服和黑服的防護，以及事后的應急處理，我認為是不可或缺的，測試內容比較多，章節(jié)也比較多，花了很多的精力。

去年是OWASP在臺灣舉行亞洲峰會，規(guī)模也很大，OWASP組織得好的話，完全可以組織不同的分會場，進行細致地交流。計劃在2010年4-5月份會舉行OWASP亞洲峰會，到時也會邀請國外國內的專家到一起交流，分別在臺灣、北京舉行。

Web攻擊悄然無聲，傳統(tǒng)的防火墻、防病毒幾乎沒有觸及，對于防火墻來說必須打開STTP80和STTPS，在這個范圍內發(fā)起的所有攻擊都會變得比較容易。

Web應用系統(tǒng)所面臨的風險有系統(tǒng)層面的、應用層面的、網(wǎng)絡層面的、業(yè)務層面的，如低版本的IIS、缺乏不定的windows，SQL注入、網(wǎng)頁木馬、惡意代碼、跨站腳本、表單漏洞、上傳漏洞、ARP欺騙攻擊等等。

(演示)SQL注入攻擊過程演示。對參數(shù)進行變形，達到攻擊目標后臺的目的。它也很多的類型，但基本原理沒有大的變化，表現(xiàn)形式和變形可能會有很多，不同的數(shù)據(jù)庫被它利用的類型也會不一樣。

CSRF測試最近受到關注，簡單來說是間接利用Web應用程序的驗證漏洞，使得被攻擊者無意識地實施跨站攻擊。比如某個網(wǎng)站已經(jīng)被黑客所控制，一旦我被攻擊之后，它有可能讓我的機器再發(fā)起一次網(wǎng)銀轉帳，但我自己并不知道這個行為。這個時候，大家會發(fā)現(xiàn)做完網(wǎng)銀轉帳之后，可能會再彈出一個支付的口令，需要你人為再操作一次，其實這就是便于大家識別的一個簡單方法之一。

數(shù)據(jù)庫是企業(yè)信息系統(tǒng)的核心，剛才講了這么多的Web應用，它們其實是不能分割的。很多關鍵數(shù)據(jù)在各個部門構成了三層、四層，受攻擊的對象其實是數(shù)據(jù)庫，受攻擊之后反映在Web應用層面，我認為不應該把兩者完全分開。當然，Web應用很大一部分時間是在內網(wǎng)進行，數(shù)據(jù)庫和內控也就相關了，不知道大家關不關注等級保護，它其實會把應用安全和數(shù)據(jù)庫分為幾個章節(jié)，更多的是涉及你在有權限的情況下，是否濫用了你的權限，它和相關的內用和審計有關。

對于內部用戶會造成合法權限濫用、權限盜用、越權濫用、權限分配不當?shù)惹闆r;對于數(shù)據(jù)庫軟件會出現(xiàn)平臺漏洞，通訊協(xié)議漏洞，弱鑒權機制，日志缺失不完整的后果;對于應用程序也會產生漏洞。

應用系統(tǒng)安全常見的誤區(qū)：使用防火墻和入侵檢測設備，網(wǎng)站安全了;安裝了最新系統(tǒng)和數(shù)據(jù)庫補丁，網(wǎng)站和數(shù)據(jù)庫可以不被攻擊;使防篡改軟件，網(wǎng)站一定安全;數(shù)據(jù)庫位于內網(wǎng)，一定不被攻擊;安裝了防病毒軟件，網(wǎng)站就不被掛馬;網(wǎng)站被掛馬了，請馬上幫我清掉我就萬事大吉了。更換新應用系統(tǒng)也有誤區(qū)，如新應用系統(tǒng)未必更安全;確保新應用系統(tǒng)的安全性還是應該從頭做起。那么，代碼層防護，應用層防護，實時防護和事后防護還是相當?shù)刂匾?BR>

【編輯推薦】

1. 簡單三步幫助企業(yè)解決Web業(yè)務安全防護問題
2. 惡意軟件猖獗 Web開發(fā)者難辭其咎
3. 企業(yè)級Web安全滲透測試之SSL篇