终极Web安全防护解决方案——主动出击
在Web信息系统高速发展的今天,Web信息系统的各种各样的安全问题已暴漏在我们面前。就在8月份联想网御安全服务部渗透测试工程师在给某部委的OA信息系统做渗透测试时,发现该OA信息系统的多处安全漏洞。OA信息系统采用JSP+Oracle的B/S架构设计,渗透测试工程师对OA信息安全测试时发现几处SQL注入及XSS跨站漏洞。SQL注入漏洞可以获取所有表的数据,可以对数据库的数据进行添加、删除等操作,可以获取数据库的诸多配置及对主机系统执行shell命令。应客户要求,渗透测试工程师针对XSS跨站漏洞进行了测试,在短时间内就收集到多个用户的Cookies,发现Cookies信息里包含用户密码的MD5值。此处的XSS跨站漏洞经测试都可以被嵌入恶意网页、自动发送短信息、网络钓鱼等。OA系统的多处XSS漏洞,如果被人恶意利用,严重的话就会在OA系统内产生XSS蠕虫病毒。
仅在2009年上半年,著名的社交网站校内网就爆发了多处的XSS Worm威胁,就在前几天在校内网又爆发了Flash XSS Worm威胁,现在已经有许多的用户执行恶意代码并受到了各种病毒威胁。相信08年的QQ Mail的XSS跨站漏洞大家都还记忆犹新,当你打开一封QQ好友发来的信件时,恶意代码已经悄悄被你执行了,此时你主机可能成为黑客的一台肉机。
Web信息系统各种安全问题潜伏在Web系统中,Web系统的时时刻刻遭受各种攻击的安全威胁。现在大多数的企业已经意识到Web信息系统的安全威胁,采取了众多安全措施,花费大量的人力物力在网络及服务器的安全上,为什么信息系统还是得不到真正的安全呢?
企业的Web安全现状:
现在据调查统计75%网络攻击行为都来自于Web应用层面而非网络层面,同时调查表明国内有近大于50%的站点存在各种Web层面的安全问题。现在很多的企业给自己的网络应用了入侵检测系统、网络防火墙、VPN、网络防病毒系统等,为什么还得不到真正的安全呢?我们应用了诸多的安全设备,但是我们的Web服务还是要外开放的,也就是说80、443端口还是要开放的。80及443即是Http及Http服务的端口,只要你的Web服务开放,那么与Web服务通讯的信息,有些是正常的访问,有些是带有攻击行为的访问,Web系统无法判断那些访问是恶意的访问,所有你的Web系统就会出现诸多Web层面的安全问题。
现在企业的Web信息系统大多为新闻、留言版、邮件、Blog、论坛、OA及其它应用系统,试想一下这些多的Web信息系统没有安全漏洞的吗?目前关于Web信息系统出现的漏洞最多最严重的漏洞就是SQL Injection、XSS跨站安全漏洞。
SQL Injection漏洞
SQL Injection,中文名称为“SQL 注入”是一种数据库攻击手段,也是Web应用程序漏洞存在的一种表现形式,它的实际意义就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。
Web程序员在编写Web系统时对Web的安全性考虑不够,对用户输入的数据没有进行有限的验证及过滤,从而会引发SQL注入漏洞。如果我们的新闻系统或者OA办公系统出现SQL注入漏洞,那么攻击者通过构造的特殊SQL语句就可以查看、插入、删除数据的的数据及可以执行主机的系统命令等具有很大的危害。
SQL注入攻击具有如下特点:
(1)sql 注入种类繁多
(2)攻击过程简单
(3)危害大
(4)SQL攻击语句多样性
在Web信息系统高速发展的今天,Web信息系统的各种各样的安全问题已暴漏在我们面前。就在8月份联想网御安全服务部渗透测试工程师在给某部委的OA信息系统做渗透测试时,发现该OA信息系统的多处安全漏洞。OA信息系统采用JSP+Oracle的B/S架构设计,渗透测试工程师对OA信息安全测试时发现几处SQL注入及XSS跨站漏洞。SQL注入漏洞可以获取所有表的数据,可以对数据库的数据进行添加、删除等操作,可以获取数据库的诸多配置及对主机系统执行shell命令。应客户要求,渗透测试工程师针对XSS跨站漏洞进行了测试,在短时间内就收集到多个用户的Cookies,发现Cookies信息里包含用户密码的MD5值。此处的XSS跨站漏洞经测试都可以被嵌入恶意网页、自动发送短信息、网络钓鱼等。OA系统的多处XSS漏洞,如果被人恶意利用,严重的话就会在OA系统内产生XSS蠕虫病毒。
仅在2009年上半年,著名的社交网站校内网就爆发了多处的XSS Worm威胁,就在前几天在校内网又爆发了Flash XSS Worm威胁,现在已经有许多的用户执行恶意代码并受到了各种病毒威胁。相信08年的QQ Mail的XSS跨站漏洞大家都还记忆犹新,当你打开一封QQ好友发来的信件时,恶意代码已经悄悄被你执行了,此时你主机可能成为黑客的一台肉机。
Web信息系统各种安全问题潜伏在Web系统中,Web系统的时时刻刻遭受各种攻击的安全威胁。现在大多数的企业已经意识到Web信息系统的安全威胁,采取了众多安全措施,花费大量的人力物力在网络及服务器的安全上,为什么信息系统还是得不到真正的安全呢?
企业的Web安全现状:
现在据调查统计75%网络攻击行为都来自于Web应用层面而非网络层面,同时调查表明国内有近大于50%的站点存在各种Web层面的安全问题。现在很多的企业给自己的网络应用了入侵检测系统、网络防火墙、VPN、网络防病毒系统等,为什么还得不到真正的安全呢?我们应用了诸多的安全设备,但是我们的Web服务还是要外开放的,也就是说80、443端口还是要开放的。80及443即是Http及Http服务的端口,只要你的Web服务开放,那么与Web服务通讯的信息,有些是正常的访问,有些是带有攻击行为的访问,Web系统无法判断那些访问是恶意的访问,所有你的Web系统就会出现诸多Web层面的安全问题。
现在企业的Web信息系统大多为新闻、留言版、邮件、Blog、论坛、OA及其它应用系统,试想一下这些多的Web信息系统没有安全漏洞的吗?目前关于Web信息系统出现的漏洞最多最严重的漏洞就是SQL Injection、XSS跨站安全漏洞。
SQL Injection漏洞
SQL Injection,中文名称为“SQL 注入”是一种数据库攻击手段,也是Web应用程序漏洞存在的一种表现形式,它的实际意义就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。
Web程序员在编写Web系统时对Web的安全性考虑不够,对用户输入的数据没有进行有限的验证及过滤,从而会引发SQL注入漏洞。如果我们的新闻系统或者OA办公系统出现SQL注入漏洞,那么攻击者通过构造的特殊SQL语句就可以查看、插入、删除数据的的数据及可以执行主机的系统命令等具有很大的危害。
SQL注入攻击具有如下特点:
(1)sql 注入种类繁多
(2)攻击过程简单
(3)危害大
(4)SQL攻击语句多样性
