4月23日下午,由深圳市網絡與信息安全行業協會主辦的主題沙龍迎來了第二期,本期沙龍的主題是Web安全,來自極限網絡的賴鵬、綠盟科技的賴東方和深信服的黃平,分別從滲透測試、Web安全風險及防御技術和WAF的攻防三個角度向我們描述了Web安全,本文將向各位展示本期沙龍的詳細過程。
主題一:滲透測試技術探討
極限網絡的賴鵬第一個向大家分享,主要介紹了什么是滲透測試,滲透測試的意義及常用的滲透測試方法:
期間,賴鵬詳細闡述了SQL注入、跨站請求偽造等滲透方法。
接著,賴鵬向我們介紹了滲透測試的業務流程,滲透測試的過程解析,涵蓋信息收集、腳本層分析、應用層分析和系統層分析等環節,每個環節均有更細粒度的工作,如代碼審計、跨站攻擊漏洞分析、中間件分析、反編譯分析等等。
在演示環節,賴鵬不僅向我們介紹了SQL盲注和任意文件上傳漏洞兩個樣例,還借助協會的網站,向我們實戰演示了漏洞的發現過程,并做了簡要分析。
主題二:Web安全風險及防御技術
由綠盟科技的賴東方分享,東方在信息安全行業從業多年,分享中不僅有網絡安全態勢的分析,Web業務面臨的主要風險,還為我們著重介紹了Web安全防護的三道防線,安全開發規范的重要性,從數據流和業務流等多個角度考慮安全問題。
首先,東方從2015年互聯網網絡安全態勢談起,個人信息屢遭泄露,詐騙勒索事件頻發,網站內容篡改屢禁不止等,以金融行業web漏洞Top 10舉例,引導出WEB業務面臨的主要風險:web漏洞攻擊、基礎環境缺陷、拒絕服務攻擊、業務缺陷、社會工程學、敲詐勒索等等,面對如此繁雜的風險,我們該怎么辦?
東方建議我們應該至少做到三道防線:
事前,做web脆弱性分析,防患于未然;
事中,快速發現攻擊行為,快速響應,及時阻斷入侵,直接參與到攻防對抗中來;
事后,要對攻擊進行溯源,要分析事件,進行必要的整改,即評估與改善。
環境安全是基礎中的基礎,所以我們要分析開發框架的風險,通用平臺的風險。同時,在開發環節,我們要建立安全開發規范,并嚴格執行,這樣才能有效降低開發不規范導致各類漏洞的出現。東方例舉了微軟在實施SDL后,漏洞的改善情況。
接下來,東方為我們闡述了數據效驗的重要性,一個簡單的登陸界面,就有十幾個地方會有潛在的風險可供黑客利用,所以一定要對數據進行安全效驗。東方還從攻擊的角度引領大家看待安全防護,黑客不僅僅有各種滲透的技術,目前黑客也已經進入大數據時代,利用各種泄露的數據做關聯分析,撞庫,另人防不勝防。
最后,東方表示,安全建設過程中既要注意木桶原理,做到不留短板,又要避免在安全建設中出現左傾錯誤,過度注意安全而影響了業務的便捷性,我們要對Web系統做全生命周期的安全管控。
主題三:WAF的攻與防
最后一個分享是由深信服的黃平帶來,主要涵蓋了WAF繞過的幾種方法,及WAF如何應對,以避免這類繞過行為。
WAF,即Web應用防火墻,在Web安全防護中起到的作用越來越重要,黃平此次給我們帶來了幾類WAF繞過的方法,首先是三四層協議棧異常導致的繞過:
-
分片、亂序問題
-
協議異常問題,如TCP標志位不合法、TCO效驗和不合法、較小的TTL值導致逃逸就檢測、TCP偽造重傳調度等
面對這類繞過,WAF應完善TCP、IP協議棧的處理過程,并添加異常TCP數據包的檢測功能,以阻止此類繞過行為。
接下來是HTTP異常協議可導致的繞過行為:
-
基于HTTP POST溢出繞過
-
基于HTTP協議頭異常的繞過
-
HTTP其他字段異常引發的繞過,如文件上傳時,利用Content-Type等字段異常而進行繞過
黃平建議,通過對URL及POST實體做溢出檢測,對HTTP異常方進行過濾及對HTTP協議異常進行檢測可以避免這類繞過的發生。
針對應用的特性,也存在各種繞過的方法,黃平舉例,利用IIS和WAF對特殊字符識別的不同,可以繞過WAF的檢測,來執行一些入侵的命令。針對數據庫的特性,也有繞過方法:某些數據庫可以將特殊字符和注釋轉化成空格,而WAF無法檢測出,從而導致bypass行為。利用數據庫特殊的語法也可以進行繞過,這就要求WAF應該增加更多語法的支持,以識別出此類繞過行為。
最后,黃平表示,WAF是個功能強大的防入侵工具,但若配置不當,也會出現被繞過的情況,建議WAF部署上后,要及時的做維護及策略更新,以應對各類繞過行為。
沙龍的最后是我們的圓桌討論環節,此環節中,大家不僅對企業WEB安全防護做了詳細的討論,還就近期曝出的WAF bypass事件做了分析,是由web應用開發不當導致的,當然廠家也對此類繞過行為更新了補丁。還有一個引起大家廣泛討論的話題是白帽子的合法性,及如何應對各類滲透測試等交換了意見。
本期沙龍的內容就這些,后續將更加精彩,敬請期待!
