WEB应用安全和数据库安全.ppt

安恒机密.|1目录简介WEB应用安全数据库安全解决方案安恒机密.|2公司介绍杭州安恒信息技术有限公司北京奥组委安全产品和服务提供商安恒机密.|3黑客产业链-网上木马典型传播途径锁定网站目标如电子商务网站利用Web应用的弱点特别是各类SQL注入等Web安全漏洞,入侵和控制Web服务器篡改网页植入恶意代码网站客户在访问网站时候被自动植入木马；在控制个人用户计算机(肉鸡)后，攻击者更多的是通过用户身份窃取（如：利用间谍软件和木马程序等）手段，偷取用户游戏账号、银行账号、密码或针对性的窃取商业信息等。安恒机密.|408年7月网络与信息安全协调小组组织某省大检查总共检测省级网站近70家90%网站存在严重安全隐患部分网站已经被挂马或被黑客控制大检查基本上使用评测工具进行远程评估工作安恒机密.|5发现问题的网站漏洞类型分布图安恒机密.|6电子商务网站所面临的风险系统层面 存在弱点的操作系统、存在问题的WEB发布系统 IIS、Apache、Weblogic、tomcat等应用层面 SQL 注入 跨站脚本(钓鱼攻击)表单漏洞 上传漏洞 网页木马(恶意代码)网络层面-ARP欺骗攻击 网络嗅探 安恒机密.|7网络安全现状触目惊心2008年上半年网络安全报告主机数达主机数达主机数达主机数达520520多万多万多万多万僵尸网络僵尸网络僵尸网络僵尸网络被篡改网站（被篡改网站（被篡改网站（被篡改网站（2836728367）比去年同期增加比去年同期增加比去年同期增加比去年同期增加4 4 4 4倍，比去年全年增加了近倍，比去年全年增加了近倍，比去年全年增加了近倍，比去年全年增加了近16.9%16.9%16.9%16.9%网络仿冒事件网络仿冒事件网络仿冒事件网络仿冒事件超过去年全年总数的超过去年全年总数的超过去年全年总数的超过去年全年总数的14.6%14.6%网页恶意代码事件网页恶意代码事件网页恶意代码事件网页恶意代码事件超过去年全年总数的超过去年全年总数的超过去年全年总数的超过去年全年总数的12.5%12.5%被植入木马主机被植入木马主机被植入木马主机被植入木马主机远远超过去年全年远远超过去年全年远远超过去年全年远远超过去年全年，增幅达增幅达增幅达增幅达2121倍倍倍倍安恒机密.|8黑客产业链入侵者入侵者入侵企业入侵企业服务器服务器窃取机密信息窃取机密信息(图纸、财务报图纸、财务报表等）表等）出售出售收费传播流氓软件获取金获取金钱钱拒绝服务攻击发送垃圾邮件批量入批量入侵网站侵网站盗取银行帐号盗取银行帐号盗取银行帐号盗取银行帐号盗取信用卡帐号盗取信用卡帐号盗取信用卡帐号盗取信用卡帐号盗取证券交易帐号盗取证券交易帐号盗取证券交易帐号盗取证券交易帐号盗取虚拟财产盗取虚拟财产盗取虚拟财产盗取虚拟财产组建僵尸网络组建僵尸网络组建僵尸网络组建僵尸网络洗钱洗钱主动攻击勒索网站受雇攻击收取佣金安恒机密.|9层出不穷的应用和数据库安全事件针对政府、银行、电子商务等公众网站安恒机密.|10层出不穷的应用和数据库安全事件针对运营商内部黑手频频探囊安全网络内部黑手频频探囊安全网络-“没有密码没有密码”的充值卡的充值卡互联星空被挂木马互联星空被挂木马,宽带用户集体中毒宽带用户集体中毒电信电信HTTPHTTP劫持服务器被挂木马劫持服务器被挂木马黑客使电信企业损失被判刑黑客使电信企业损失被判刑1313年年.安恒机密.|11攻击悄无声息数据库Web服务器AuthenticationData DictionaryPrivileges/RolesSensitive App DataOS file AccessBuffer overflowDOS防火墙安恒机密.|12安恒安全团队发现的部分跨站漏洞安恒机密.|13利用跨站获取COOKIE安恒机密.|14利用跨站造成页面被黑安恒机密.|15百度也有跨站!安恒机密.|16安恒机密.|17数据库篡改-动态网页被挂马目前最流行,最严重的方式安恒机密.|18层出不穷的数据库安全事件2005年，美国爆发了堪称迄今为止最大的金融数据泄密事件，有黑客侵入了为万事达、Visa、AmericanExpress和Discover服务的“信用卡第三方付款处理器”的网络系统，造成4000多万信用卡用户的数据资料被窃。2006年2月，某运维公司的工程师利用之前给西藏移动安装系统的机会，盗取了370多万元的移动充值卡，并出售套利。2006年6月份，某网络公司工程师利用编写的程序盗取了70多万元的移动充值卡。从2006年8月至2007年4月，四川省某学院综合教务管理网络化系统被黑客入侵，电脑管理系统中有130余名学生多达302科学习成绩被黑客非正常改动。数据库保护工作的缺失数据库保护工作的缺失带来的影响带来的影响客户流失国家机密的泄密企业品牌的损害企业经济损失正常服务的中断法律问题安恒机密.|19防火墙防火墙局域网交换机局域网交换机骨干路由器骨干路由器数据库服务器数据库服务器应用服务器应用服务器内部办公系统内部办公系统业务系统业务系统B B共享存储共享存储专线路由器专线路由器防火墙防火墙局域网交换机局域网交换机应用服务器应用服务器业务系统业务系统A A数据库服务器数据库服务器客户客户/合作伙伴合作伙伴数据库的安全是信息系统安全的核心数据库的安全是信息系统安全的核心是企业数据信息的最终载体是企业业务系统的核心不同于网络传输，数据如果在数据库中被篡改或丢失，是难于恢复的安恒机密.|20数据库风险点分析数据数据库库安全安全环环境境操作系统/数据库客户端应用应用服务器应用DBA/开发人员工作终端其他相关人员工作终端数据数据库库泄密泄密环节环节初始安装数据库补丁或升级数据库的日常维护正常业务系统运行应用软件的升级安恒机密.|21数据库风险的产生内部用户内部用户合法权限滥用合法权限滥用权限盗用权限盗用越权滥用越权滥用权限分配不当权限分配不当临时帐号未及时清理临时帐号未及时清理备份数据缺乏保护备份数据缺乏保护离职员工的后门离职员工的后门合作伙伴合作伙伴合法权限滥用合法权限滥用权限盗用权限盗用越权滥用越权滥用后门程序后门程序数据中心数据中心数据库软件数据库软件数据库平台漏洞数据库平台漏洞通讯协议漏洞通讯协议漏洞弱鉴权机制弱鉴权机制日志缺失或不完整日志缺失或不完整应用程序应用程序程序漏洞程序漏洞安恒机密.|22数据库类型面面观Oracle SQL ServerMysqlDB2MS Access安恒机密.|23数据库攻击形式多样数据库木马弱口令攻击溢出攻击注入攻击权限提升绕过审计安恒机密.|24常见误区使用防火墙和入侵检测设备,网站安全了安装了最新系统和数据库补丁,网站和数据库可以不被攻击使用防篡改软件,网站一定安全数据库位于内网,一定不被攻击安装了防病毒软件,网站就不被挂马网站被挂马了,请马上帮我清掉我就万事大吉安恒机密.|25产品线产品产品系列系列核心核心用途用途WEBWEB应用应用数据库数据库明鉴扫描 WEB应用弱点扫描器MatriXay 2.0软件产品数据库弱点扫描器DAS-DBScan 1.5软件产品明御防御WEB应用深度防御系统DAS-WebDefender 2.0W200/W500/W1000/W3000硬件设备数据库防御与审计系统DAS-DBAuditor 2.0A1000/A3000/A5000硬件设备网站卫士DAS-WebProtectorP1000/P3000软件产品安恒机密.|26明鉴Web应用弱点扫描器(MatriXay)产品产品概述概述产品用途：发现WEB应用存在的弱点，降低WEB应用受攻击风险适用于“政府、电信、金融、证券、公安、教育、税务、电力、电子商务”等各领域的网站和内部B/S系统产品历程：MatriXay1.0 于2006年8月世界安全大会BlackHat和Def-Con上首次发布MatriXay2.0 于2007年12月发布,集成网页木马监控功能被评价为被评价为被评价为被评价为“最佳的最佳的最佳的最佳的WEBWEBWEBWEB安全评估工具安全评估工具安全评估工具安全评估工具”安恒机密.|27明鉴数据库弱点扫描器(DAS-DBScan)产品产品概述概述由世界顶级数据库安全专家亲自设计与开发，拥有权威的弱点规则库扫描数据库的木马、溢出攻击、弱口令、权限滥用、补丁更新、不安全配置等等数据库安全问题，并提供适当的修补建议全球唯一发现数据库潜藏木马的评估工具全球唯一发现数据库潜藏木马的评估工具全球唯一发现数据库潜藏木马的评估工具全球唯一发现数据库潜藏木马的评估工具 安恒机密.|28明御WEB应用深度防御系统产品定位面向企业在线WEB应用用途自动化的WEB应用风险评估全方位的访问控制：管理层面、网络层面、业务层面多形式的实时防护：告警、Send E-mail、Syslog、短信、阻断目的：采用主动安全技术,阻止所有WEB应用层的已知、未知攻击。产产品品概概述述安恒机密.|29明御WEB应用深度防御系统可挫败绕过网络防火墙和可挫败绕过网络防火墙和可挫败绕过网络防火墙和可挫败绕过网络防火墙和IPSIPSIPSIPS的攻击，因此可以和网络防火墙、的攻击，因此可以和网络防火墙、的攻击，因此可以和网络防火墙、的攻击，因此可以和网络防火墙、IPSIPSIPSIPS设备等互补对应用形成有效的保护设备等互补对应用形成有效的保护设备等互补对应用形成有效的保护设备等互补对应用形成有效的保护保护保护保护保护WebWebWebWeb应用及相关的应用资源免受利用应用及相关的应用资源免受利用应用及相关的应用资源免受利用应用及相关的应用资源免受利用WebWebWebWeb协议漏洞发动的攻击协议漏洞发动的攻击协议漏洞发动的攻击协议漏洞发动的攻击客户行业 典型应用解决的问题客户收益政府门户网站网页篡改、网站木马降低无形资产损失电信金融证券门户网站网页篡改、网站木马提升企业形象网上营业厅网上银行网上交易钓鱼攻击、敏感信息窃取、应用层DOS/DDOS攻击等确保业务的可持续性、避免客户流失、减少交易纠纷其他互联网企业电子商务网网上商城各类WEB攻击避免交易量减少、交易纠纷、降低品牌损失、防止敏感信息泄露安恒机密.|30明御数据库防御与审计系统产品定位面向企业核心数据库全方位保护和审计用途深层次的数据库风险评估全方位的访问控制：管理层面、网络层面、数据库对象层面多形式的实时防护：告警、Send E-mail、Syslog、短信全方位的审计分析：数据库操作审计、远程访问审计目的：数据库运行可视化日常操作可监控危险操作可阻断所有行为可审计安全事件可鉴定产品产品概述概述安恒机密.|31互动讨论