logo

中文|English|客服热线:4008107766

售后服务
4008107766
当前位置:首页 > 解决方案
解决方案

网御星云安全服务漫谈
——从应用安全事件谈安全服务

时间:2012-03-15

2011年最有影响的安全事件非个人隐私非法泄露的“拖库”(或“脱库”)事件莫属。据报道称,CSDN600万用户密码及账户数据都被黑客泄露,且该消息已经被其官方证实, CSDN官方已经向广大用户发布了道歉信。此后,网络上爆出了更惊人的消息:用户密码及账户数据泄露的不止CSDN一家网站,其中还有一些知名网站的用户数据也惨遭泄露,比如天涯等。另据报道,截至20111229日,官方CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。这一系列消息在去年底一经发出,一时间引起网民广泛的心理恐慌,人人自危,社会影响相当大,至今仍然余波未平。

在利益驱动下,从几年前开始,网络游戏服务端、彩票、电子商务等实际上就已经逐步成为黑客 “拖库”的主要攻击目标,一些网站数据库信息内容早已在?#8220;地下世界”里“裸奔”,这已经是业界公开的秘密,只是用户不知道或不以为然而已。

在经历了多年博弈之后,信息安全防御产品的成熟度逐步加强,国内网站安全运维水平不断提升,单纯从技术角度对目标系统进行渗透攻击的难度加大。而通过收集分析管理员、用户信息等一系列被安全界称作“社会工程学”的手段的攻击效果则被广大攻击者认可。由于获得更多的用户信息数据有利于提高攻击的实际效率,因此攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站。目前,攻击者仅公开了曾经获取到的部分数据库信息内容,让相关曝光的数据库信息内容所有者发现自己的危险处境。但这只是冰山一角,而水面以下的部分更加可怕。

基于上述,工信部于20111228日发布通告,要求各互联网站要高度重视用户信息安全工作。

综上所述,国内信息安全领军企业网御星云就从专业安全服务的角度与各位共同探讨类似事件该如何防护。

类似“拖库”事件暴露出的针对应用系统的SQL注入攻击、跨站脚本攻击等常见黑客攻击方式,全球每天会发生6000次以上。面对这种情况,如何能保障应用系统的安全?如何发现更隐蔽的安全问题?

由于应用安全的独特性,即应用独特复杂而没有大规模复制的可能性,需要规模化才能成型的安全产品很难应对,安全服务产品线就成为各安全厂商能够提供的解决方案。

如果我们站在攻击者的角度对信息系统进行渗透测试,利用攻击者的思路和技术,来模拟攻击者的攻击行为,就能够就此判断出信息系统存在的薄弱环境。

北京网御星云信息技术有限公司(以下简称网御星云)的安全服务产品线可以从两方面来解决问题。

一、渗透测试服务

首先,可以为客户应用系统提供渗透测试服务。此服务是对系统安全的一种深度测试方法,可以弥补普通安全评估手段深度不足的缺点。通过渗透测试,可发现信息系统更隐蔽的安全弱点。

黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

为了让大家对渗透测试的基本内容有初步了解,我们分阶段描述如下:

1
、预测试阶段操作简述

Ø 获取目标基本信息

可以了解目标主机和网络的一些基本的安全信息,

Ø 搜索网页

确定目标信息,为以后发动字典和木马入侵做准备;寻找网页源代码找注释和隐藏域,寻找隐藏域中的"FORM"等标记,可以发起SQL注入攻击,为以后入侵数据库做准备。

Ø 链接搜索

目标网站所在的服务器可能有其他具有弱点的网站,可以进行迂回入侵,而且可以发现某些隐含的信息。

Ø 信息收集

确定目标的域名和相关的网络信息。

u Whois查询,通过Whois数据库查询可以得到以下的信息:

ü 注册机构:显示相关的注册信息和相关的Whois服务器

ü 机构本身:显示与某个特定机构相关的所有信息

ü 域名:显示与某个特定域名相关的所有信息

ü 网络:显示与某个特定网络或单个IP地址相关的所有信息

ü 联系点:显示与某位特定人员相关的所有信息

ü ……

u 利用ARIN数据库查询某个域名所对应的网络地址分配信息

知道了目标所在的网络,可以进行迂回渗透,寻找薄弱点,进入目标网络,然后再攻击目标。

u DNS信息查询

域名系统允许把一个DNS命名空间分割成多个区,各个区分别保存一个或多个DNS域的名字信息。

区复制和区传送:DNS服务器之间是采用区传送的机制来同步和复制区内数据的。区传送的安全问题不在于所传输的域名信息,而在于其配置是否正确。因为有些域名信息当中包含了不应该公开的内部主机和服务器的域名信息。

Ø 网络扫描

使用漏洞扫描工具和定制的脚本工具对客户应用系统进行扫描,发现存在的明显安全漏洞。大多数网络攻击者就是使用这种简便快捷的方式来收集被攻击系统的相关信息,从而有针对性对系统进行攻击。

Ø 获取进一步信息

从这一步可以得到比之前更多更具体的有用信息,例如:帐户信息等。

2、渗透测试阶段

Ø WEB测试

现在的入侵事件,攻击WWW居多,原因也很简单,那就是程序员在编写WEB脚本程序时根本不注重安全因素,导致了上传shell、提升权限之类的严重后果,入侵渗透测试主要通过以下几个方面进行测试:

u 搜索SQL注入点;

u 搜索特定目录和文件,例如:上传程序文件;

u 寻找管理员登陆网页,进行弱口令登陆、暴力破解登陆或SQL饶过登陆等入侵方式;

u 寻找WEB程序的源代码,进行漏洞挖掘,主要涉及的漏洞类型有:SQL注入、跨站脚本、文件包含漏洞、目录跳转漏洞、以脚本文件格式保存错误日志漏洞,上传漏洞等。

Ø 远程溢出

对于防火墙内的系统同样存在这样的风险,只要对跨接防火墙内的一台主机攻击测试成功,那么通过这台主机对防火墙内的主机进行攻击测试就易如反掌。

Ø 口令猜测

口令猜测也是一种出现概率很高的攻击方法,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。

对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。

Ø 本地提升权限

所谓本地提升权限是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法.

通过网御星云的渗透测试服务,客户可以了解应用系统中存在的深层次安全隐患,提高管理层及内部员工对信息安全的重视,得到信息系统安全状况的直观结果。通过渗透测试结果,制定出有针对性的安全防御方案.

二、 用户安全意识培养

其次,本次“拖库”事件也暴露出的用户安全意识薄弱问题。泄露出的某常用简单密码竟有十几万人同时使用,密码强度实在堪忧;另外2011年商业银行动态口令升级群发短信诈骗的事件(俗称“网上钓鱼”)也暴露出这一问题。20112月农历春节前后,多家全国性的商业银行和地方城市银行客户遭遇大批量网上钓鱼诈骗。骗子群发短信称银行动态口令升级,请储户访问指定网站更新。许多储户信以为真,“被钓”上网登录了这些冒充的银行网站后主动将自己的银行卡、手机号等信息提交,并随后按网站提示,将银行系统返回的手机验证码也一并提交。攻击者利用用户主动告知的这些真实信息,登陆真的银行网站的用户账户转账,结果导致大量储户资金被盗,损失数千元至数百万元不等,也造成较大社会影响。

用户安全意识问题是安全界老生常谈的问题,由于信息安全在中国诞生发展不过十几年,信息安全意识在社会大众中普遍薄弱,用户安全意识问题至今仍然非常普遍。因此工信部于20111228日发布通告中同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码,提高密码的安全强度并定期修改。

在信息安全体系中信息安全意识是最底层的基座,涉及面广,很难一蹴而就。要提高公众的信息安全意识,一般只有2种途径:

1通过教训被迫增强信息安全意识

像这次大规模个人隐私非法泄露事件让大众得到深刻教训,连夜修改密码,吃一堑,长一智,增强信息安全意识。

2安全培训提高信息安全意识

通过教训增强信息安全意识毕竟是在有损失的前提下,要想没有或减少损失,就要通过安全培训提高信息安全意识,安全培训作为预防性安全措施可以让大家防患于未然。

网御星云的安全培训是中国信息安全产品测评认证中心第一批授权的培训机构。拥有近多名技术精湛,经验丰富的信息安全专家。此外,一流的教学环境、完善的专业化培训体系(CISP —“注册信息安全专业人员”培训、LSPE —安全产品工程师” 培训和定制培训)、丰富的教学管理经验,为学员创造一个良好的学习氛围,保证了学习的质量。与此同时,网御星云的安全培训本着“学以致用”的宗旨,通过广泛的培训内容、灵活的培训方式,满足不同用户的求学需要.

三、 总结

网御星云安全服务产品线以信息系统合规性需求为主线,以建立适合客户信息系统的安全体系为目标。产品线设计覆盖信息系统从规划到运维的整个生命周期,分为安全规划阶段、安全设计阶段、开发和实施阶段、运行维护阶段以及辅助认证和信息安全培训,从各个层面全面满足客户安全需求,全程帮助用户达到全面、持续、突出重点的安全保障。

其安全培训学习理念是“专业、学以致用”。以培养高素质信息安全人才,助力提升我国各政府机构及企事业单位信息系统的安全保障水平为使命。目标是为各个层面的人员从意识和技能方面得到提高,为管理人员、开发人员、维护人员进行了不同级别的安全培训。

 

 

 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
IPS特征库升级服务
防火墙
入侵检测系统
网御WEB防火墙Leadsec-7GXWAF-ZF
服务与下载
支持与服务
在线升级
联系我们
二维码