范淵：Web應(yīng)用與數(shù)據(jù)庫安全剖析(1)

2009中國計算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會于2009年10月21日至24日在湖南長沙召開，本屆年會主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價值”。23日進(jìn)入會議第二天，在分會之“網(wǎng)絡(luò)安全新技術(shù)”會上，網(wǎng)絡(luò)安全專家范淵發(fā)表了關(guān)于Web應(yīng)用與數(shù)據(jù)庫安全剖析的演講。 以下是網(wǎng)絡(luò)安全專家范淵發(fā)言實錄：

主持人賈焰：感謝楊哲先生，下一位演講嘉賓是范淵先生，他演講的主題是Web應(yīng)用與數(shù)據(jù)庫安全剖析。

范淵：謝謝主持人。各位網(wǎng)絡(luò)安全同仁下午好!

我是OWASP中國區(qū)的副會長，今天花一些時間講講Web實際處理案例和當(dāng)中的工作經(jīng)驗交流，算不上剖析，如果大家關(guān)注這個領(lǐng)域的話，應(yīng)該會有一定的實用價值，我參與了北京奧組委關(guān)于網(wǎng)站安全和數(shù)據(jù)庫安全的評估和加固。

現(xiàn)在，通過網(wǎng)站安全進(jìn)行掛馬是黑客產(chǎn)業(yè)鏈最核心的一個主要部分，網(wǎng)站空間戰(zhàn)在美國02、03年就被經(jīng)常提及，CYBERWAR去年已經(jīng)開始浮現(xiàn)水面，比較體系化了。

在國內(nèi)，無論從政府、銀行、教育還是運營商，相信大家從媒體上可以獲知各式各樣的案例。我在這里講一個案例，國慶60周年公安部進(jìn)行安全大檢查，基本上50%的政府網(wǎng)站都存在嚴(yán)重安全漏洞，從安全風(fēng)險的比例來講占37.04%，也是非常嚴(yán)重的。在某省全省商業(yè)銀行網(wǎng)站安全調(diào)研也是配合國慶60周年所做的檢測，網(wǎng)銀也非常關(guān)注網(wǎng)絡(luò)安全漏洞，但查出的漏洞比例還是比較高的。

運營商也知道，內(nèi)部黑手頻頻探囊安全網(wǎng)絡(luò)—，“沒有密碼”的充值卡，很多人在免費打電話，其他的情況就不多說了。

去年的網(wǎng)絡(luò)群注是一種目前最流行的利用網(wǎng)站應(yīng)用程序漏洞進(jìn)行對數(shù)據(jù)庫以及服務(wù)器進(jìn)行攻擊的手段，這種攻擊可能是竊取數(shù)據(jù)，插入數(shù)據(jù)，篡改數(shù)據(jù)，刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務(wù)器。它的原理是對后臺數(shù)據(jù)庫中所有的字符型字段全部插入某段腳本，這個腳本是帶有木馬執(zhí)行的腳本，在我們的檢測中，發(fā)現(xiàn)有一臺肉雞對這個網(wǎng)站進(jìn)行攻擊，后來我們也攻入了那臺肉雞，發(fā)現(xiàn)這臺計算機(jī)工具也有很多的配置文件，如利用google發(fā)現(xiàn)大批能夠進(jìn)入攻擊的目標(biāo)點，然后把已經(jīng)編輯好的腳本注入進(jìn)去。其實，他們使用的工具并不復(fù)雜，但前后兩次造成全球?qū)⒔�十萬個網(wǎng)站受到侵襲。

OWASP組織是一個國外開放社群、非營利性組織，在全球有130多個分會，近萬名會員;主要目標(biāo)是研議協(xié)助解決Web應(yīng)用安全標(biāo)準(zhǔn)、工具與技術(shù)，致力于協(xié)助政府、企業(yè)了解并改善應(yīng)用安全。OWASP國際影響力比較大，美國聯(lián)邦貿(mào)易委員會(FTC)強(qiáng)烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點防護(hù)守則。

目前OWASP有30多個進(jìn)行中的安全項目，主要包括OWASPTop10、webgoat等，OWASP中國分會致力于這些開源項目的引入以及研究，并通過各種渠道在國內(nèi)安全行業(yè)內(nèi)共享。同時，也歡迎更多的人參與以及加入OWASP中國分會，共同推動國內(nèi)應(yīng)用安全領(lǐng)域方面的研究。

OWASP最近正在做的事情是OWASP測試指南，也花了很多的精力，我、OWASP的會長和一個八級英語翻譯致力于將測試指南完全消化，并且爭取將測試指南盡快奉獻(xiàn)給大家，不涉及到任何的費用。

OWASP測試指南目錄章節(jié)：前沿、信息收集、配置管理測試、認(rèn)證測試、會話管理測試、授權(quán)測試、數(shù)據(jù)驗證測試、業(yè)務(wù)邏輯測試、拒絕服務(wù)測試、網(wǎng)絡(luò)服務(wù)測試、AJAX測試。還包含開發(fā)前、開發(fā)中、運行后的維護(hù)等，包含了很多的經(jīng)驗在里面，這兩天也和大家在交流，OWASP一方面比較新，但另一方面確實會涉及到白服和黑服的防護(hù)，以及事后的應(yīng)急處理，我認(rèn)為是不可或缺的，測試內(nèi)容比較多，章節(jié)也比較多，花了很多的精力。

去年是OWASP在臺灣舉行亞洲峰會，規(guī)模也很大，OWASP組織得好的話，完全可以組織不同的分會場，進(jìn)行細(xì)致地交流。計劃在2010年4-5月份會舉行OWASP亞洲峰會，到時也會邀請國外國內(nèi)的專家到一起交流，分別在臺灣、北京舉行。

Web攻擊悄然無聲，傳統(tǒng)的防火墻、防病毒幾乎沒有觸及，對于防火墻來說必須打開STTP80和STTPS，在這個范圍內(nèi)發(fā)起的所有攻擊都會變得比較容易。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ：１５０１２８１７５８（億恩星辰）　　　聯(lián)系電話：０３７１—６３３２２２２０

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]