網(wǎng)絡(luò)層及web應用層的安全技術(shù)研究(一)

目錄     

引言            

一． 網(wǎng)絡(luò)威脅

   1.1 網(wǎng)絡(luò)威脅的來源  -------------------------------------------------------------------2

   1.2 網(wǎng)絡(luò)攻擊的發(fā)展趨勢----------------------------------------------------------------3

   1.3 網(wǎng)絡(luò)安全管理措施-------------------------------------------------------------------4

   1.4 通過核心交換機對匯聚交換機進行ACL控制端口 ------------------5

二．網(wǎng)絡(luò)安全技術(shù)發(fā)展，目前常見安全組件技術(shù)分析

    2.1 防火墻技術(shù)--------------------------------------------------6

    2.2 加密及數(shù)字簽名技術(shù)------------------------------------------7

    2.3 PKI技術(shù)加密技術(shù) -----------------------------------------------------------------8

三．入侵檢測機制及入侵防御系統(tǒng)的工作過程

    3.1 入侵防御系統(tǒng)的概念及其特點----------------------------------9

    3.2 入侵防御系統(tǒng)的分類、部署方式及工作原理----------------------10

    3.3 入侵防御系統(tǒng)的具體實現(xiàn)-------------------------------------11

四．研究web應用安全產(chǎn)生的根源，及防護措施

    4.1 Web 應用的安全現(xiàn)狀-----------------------------------------12

4.2 Web 安全防護措施-------------------------------------------13

4.3 應急措實---------------------------------------------------14

4.4 什么是XSS攻擊---------------------------------------------15

4.5 XSS漏洞如何利用--------------------------------------------15

4.6 XSS跨站漏洞的防范和應對------------------------------------16

4.7 結(jié)合某公司真實情況，案例分析----------------------------17-21

五．主要研究sql注入攻擊的形為分析

     5.1 sql注入原理-----------------------------------------------22

     5.2 SQL注入攻擊的簡單示例 ------------------------------------23

     5.3 SQL注入式攻擊的防治---------------------------------------23

     5.4 MySQL表名注入案例分析-------------------------------------------24-26

                             引言

21世紀全世界的計算機大部分都將通過互聯(lián)網(wǎng)連到一起，在信息社會中，隨著國民經(jīng)濟的信息化程度的提高，有關(guān)的大量情報和商務信息都高度集中地存放在計算機中，隨著網(wǎng)絡(luò)應用范圍的擴大，信息的泄露問題也變得日益嚴重，因此，計算機網(wǎng)絡(luò)的安全性問題就越來越重要。計算機網(wǎng)絡(luò)安全從技術(shù)上來說，主要由防病毒、防火墻等多個安全組件組成，一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、加密及數(shù)字簽名技術(shù)、PKI技術(shù)等，隨著互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)的推進與完善，Web 技術(shù)的迅速發(fā)展，基于互聯(lián)網(wǎng)平臺的 Web 應用也勢如破竹、如火如荼，為互聯(lián)網(wǎng)的發(fā)展增添了不少活力。然而，隨之而來的信息安全問題也日益突出，大量的數(shù)據(jù)竊取、網(wǎng)站掛馬、惡意攻擊等信息安全事件損害人們的財產(chǎn)利益、危及國家安全與社會穩(wěn)定。根據(jù) Gartner 的最新調(diào)查，信息安全攻擊有 75%都是發(fā)生在 Web 應用而非網(wǎng)絡(luò)層面上。同時，數(shù)據(jù)也顯示，三分之二的 Web 站點都相當脆弱，易受攻擊。而在絕大多數(shù)的網(wǎng)絡(luò)安全措施中，人們將大量的投資都花費在網(wǎng)絡(luò)和服務器的硬件安全上，沒有從真正意義上保證 Web 應用本身的安全。如何在推動社會信息化進程中加強 Web 應用平臺的安全，維護各方的根本利益和構(gòu)建社會的和諧穩(wěn)定，促進社會經(jīng)濟的健康發(fā)展，成為信息安全研究里必須要認真對待的一個問題。

       

               網(wǎng)絡(luò)層及web應用層的安全技術(shù)分析

一．網(wǎng)絡(luò)威脅

1.1  網(wǎng)絡(luò)威脅的來源

　　(1)網(wǎng)絡(luò)操作系統(tǒng)的不安全性：目前流行的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞。

　　(2)來自外部的安全威脅：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒等。

　　(3)網(wǎng)絡(luò)通信協(xié)議本身缺乏安全性(如：TCP/IP協(xié)議)：協(xié)議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認證機制與保密措施。

　　(4)木馬及病毒感染。

　　(5)應用服務的安全：許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮的不周全。

 1.2 網(wǎng)絡(luò)攻擊的發(fā)展趨勢

     目前新發(fā)現(xiàn)的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞，而且每年都會發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補這些漏洞前發(fā)現(xiàn)攻擊目標，而且現(xiàn)在攻擊工具越來越復雜，與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進行檢測，具有反偵察的動態(tài)行為攻擊者采用隱蔽攻擊工具特性的技術(shù)。攻擊自動化程度和攻擊速度提高，殺傷力逐步提高。越來越多的攻擊技術(shù)可以繞過防火墻。在許多的網(wǎng)站上都有大量的穿過防火墻的技術(shù)和資料。由此可見管理人員應對組成網(wǎng)絡(luò)的各種軟硬件設(shè)施進行綜合管理，以達到充分利用這些資源的目的，并保證網(wǎng)絡(luò)向用戶提供可靠的通信服務。

 1.3 網(wǎng)絡(luò)安全管理措施

    安全管理是指按照本地的指導來控制對網(wǎng)絡(luò)資源的訪問，以保證網(wǎng)絡(luò)不被侵害，并保證重要信息不被未授權(quán)的用戶訪問。網(wǎng)絡(luò)安全管理主要包括：安全設(shè)備的管理、安全策略管理、安全風險控制、安全審計等幾個方面。安全設(shè)備管理：指對網(wǎng)絡(luò)中所有的安全產(chǎn)品。如防火墻、VPN、防病毒、入侵檢測(網(wǎng)絡(luò)、主機)、漏洞掃描等產(chǎn)品實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控。

　　安全策略管理：指管理、保護及自動分發(fā)全局性的安全策略，包括對安全設(shè)備、操作系統(tǒng)及應用系統(tǒng)的安全策略的管理。

　　安全分析控制：確定、控制并消除或縮減系統(tǒng)資源的不定事件的總過程，包括風險分析、選擇、實現(xiàn)與測試、安全評估及所有的安全檢查(含系統(tǒng)補丁程序檢查)。

安全審計：對網(wǎng)絡(luò)中的安全設(shè)備、操作系統(tǒng)及應用系統(tǒng)的日志信息收集匯總。實現(xiàn)對這些信息的查詢和統(tǒng)計;并通過對這些集中的信息的進一步分析，可以得出更深層次的安全分析結(jié)果。

  1.4 通過核心交換機對匯聚交換機進行ACL控制策略，開放端口

   

      測試環(huán)境拓撲如下：

                        

 

目前搭建環(huán)境是通過核心交換機對匯聚交換機out方向做端口限制，搭建了一臺測試服務器使用ip：14.29.125.250 掩碼：255.255.255.252 網(wǎng)關(guān)：14.29.125.249,通過外網(wǎng)端口掃描顯示開啟了5666和16120兩個端口。

                      圖1

以下從vlan990調(diào)用acl策略：

acl number 3000

rule 0 permit tcp destination-port eq www

 rule 5 permit tcp destination-port eq 443

 rule 10 permit tcp destination-port eq 8443

 rule 15 permit tcp destination-port eq 1710

 rule 25 permit tcp destination-port eq 8080

 rule 30 permit tcp destination-port eq ftp-data

 rule 31 permit tcp destination-port eq ftp

 rule 35 permit tcp destination-port eq 5000

 rule 40 permit tcp destination-port eq 5001

 rule 45 permit tcp destination-port eq 8000

 rule 55 permit tcp destination-port eq 8001

 rule 60 permit tcp destination-port eq 9000

 rule 65 permit tcp destination-port eq 16120

 rule 67 permit tcp destination-port eq 5666

 rule 70 permit tcp destination-port eq 9999

 rule 75 permit udp destination 14.152.74.242 0

 rule 80 permit udp destination 14.152.74.243 0

 rule 85 permit udp destination 14.152.74.244 0

 rule 90 permit udp destination 221.5.107.232 0

 rule 95 permit udp destination 221.5.107.233 0

 rule 100 permit udp destination 221.5.107.234 0

 rule 200 deny tcp

interface Vlan-interface990

 ip address 14.29.125.249 255.255.255.252

 packet-filter 3000 outbound

再次外網(wǎng)測試端口顯示5666關(guān)閉，16120匹配到acl3000規(guī)則所以放開。

經(jīng)上述測試可以過濾非知名和未登記端口。

二． 網(wǎng)絡(luò)安全發(fā)展，目前常見安全組件技術(shù)分析 

2.1 防火墻技術(shù)

　　防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，主要方法有：堡壘主機、包過濾路由器、應用層網(wǎng)關(guān)(代理服務器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。

　　根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、代理型和監(jiān)測型。

　　(1)包過濾型

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，這種技術(shù)由路由器和Filter共同完成，路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數(shù)據(jù)包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站，如果來自危險站點，防火墻便會將這些數(shù)據(jù)拒絕。包過濾的優(yōu)點是處理速度快易于維護。其缺點是包過濾技術(shù)完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷，無法告知何人進入系統(tǒng)，無法識別基于應用層的惡意入侵，如木馬程序，另一不足是不能在用戶級別上進行過濾。即不能鑒別不同的用戶和防止IP盜用。

　　(2)網(wǎng)絡(luò)地址轉(zhuǎn)換

　　網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時。將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，而隱藏真實的內(nèi)部網(wǎng)絡(luò)地址。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換，使外部網(wǎng)絡(luò)無法了解內(nèi)部結(jié)構(gòu)，同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)。防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。

　　(3)代理型

　　代理型的特點是將所有跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為二段。防火墻內(nèi)外計算機系統(tǒng)間的應用層的“連接”由二個終止于代理服務器上的“連接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務器，由此實現(xiàn)了“防火墻”內(nèi)外計算機系統(tǒng)的隔離，代理服務器在此等效于一個網(wǎng)絡(luò)傳輸層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能，外部的惡意侵害也就很難破壞內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可對應用層進行偵測和掃描，對基于應用層的入侵和病毒十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，系統(tǒng)管理復雜。

　　(4)監(jiān)測型

　　監(jiān)測型防火墻是新一代的產(chǎn)品，監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測。在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡(luò)的節(jié)點之中。不僅能夠監(jiān)測來自網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的防范作用。因此，監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品，但其缺點是實現(xiàn)成本較高，管理復雜。所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面已開始使用監(jiān)測型防火墻。

2.2加密及數(shù)字簽名技術(shù)

　　加密技術(shù)的出現(xiàn)為全球電子商務提供了保證，從而使基于Internet上的電子交易系統(tǒng)成為了可能，因此完善的對稱加密和非對稱加密技術(shù)仍是21世紀的主流。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。

　　不對稱加密，即“公開密鑰密碼體制，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，解密密鑰只有解密人自己知道，分別稱為“公開密鑰”和“秘密密鑰”。

　　目前，廣為采用的一種對稱加密方式是數(shù)據(jù)加密標準(DES)，DES對64位二進制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)，實際密鑰長度為56位(有8位用于奇偶校驗，解密時的過程和加密時相似，但密鑰的順序正好相反)，這個標準由美國國家安全局和國家標準與技術(shù)局來管理。DES的成功應用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(EFT)領(lǐng)域中。現(xiàn)在DES也可由硬件實現(xiàn)，AT&T首先用LSI芯片實現(xiàn)了DES的全部工作模式，該產(chǎn)品稱為數(shù)據(jù)加密處理機DEP。另一個系統(tǒng)是國際數(shù)據(jù)加密算法(IDEA)，它比DES的加密性好，而且計算機功能也不需要那么強。在未來，它的應用將被推廣到各個領(lǐng)域。IDEA加密標準由PGP(Pretty Good Privacy)系統(tǒng)使用，PGP是一種可以為普通電子郵件用戶提供加密、解密方案的安全系統(tǒng)。在PGP系統(tǒng)中，使用IDEA(分組長度128bit)、RSA(用于數(shù)字簽名、密鑰管理)、MD5(用于數(shù)據(jù)壓縮)算法，它不但可以對你的郵件保密以防止非授權(quán)者閱讀，還能對你的郵件加以數(shù)字簽名從而使收信人確信郵件是由你發(fā)出。

在電腦網(wǎng)絡(luò)系統(tǒng)中使用的數(shù)字簽名技術(shù)將是未來最通用的個人安全防范技術(shù)，其中采用公開密鑰算法的數(shù)字簽名會進一步受到網(wǎng)絡(luò)建設(shè)者的青睞。這種數(shù)字簽名的實現(xiàn)過程非常簡單：首先，發(fā)送者用其秘密密鑰對郵件進行加密，建立了一個“數(shù)字簽名”，然后通過公開的通信途徑將簽名和郵件一起發(fā)給接收者，接收者在收到郵件后使用發(fā)送者的另一個密匙——公開密鑰對簽名進行解密，如果計算的結(jié)果相同他就通過了驗證。數(shù)字簽名能夠?qū)崿F(xiàn)對原始郵件不可抵賴性的鑒別。另外，多種類型的專用數(shù)字簽名方案也將在電子貨幣、電子商業(yè)和其他的網(wǎng)絡(luò)安全通信中得到應用。

2.3  PKI技術(shù)

　　PKI(Public Key Infrastructure，公開密鑰基礎(chǔ)設(shè)施)是一種遵循既定標準的密鑰管理平臺，它是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份。例如，某企業(yè)可以建立公鑰基礎(chǔ)設(shè)施(PKI)體系來控制對其計算機網(wǎng)絡(luò)的訪問。在將來，企業(yè)還可以通過公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)來完成對進入企業(yè)大門和建筑物的提貨系統(tǒng)的訪問控制。

　　PKI讓個人或企業(yè)安全地從事其商業(yè)行為。企業(yè)員工可以在互聯(lián)網(wǎng)上安全地發(fā)送電子郵件而不必擔心其發(fā)送的信息被非法的第三方(競爭對手等)截獲。企業(yè)可以建立其內(nèi)部Web站點，只對其信任的客戶發(fā)送信息。

　　PKI采用各參與方都信任一個同一CA(認證中心)，由該CA來核對和驗證各參與方身份的身份這種信任機制。例如，許多個人和企業(yè)都信任合法的駕駛證或護照。這是因為他們都信任頒發(fā)這些證件的同一機構(gòu)——政府，因而他們也就信任這些證件。然而，一個學生的學生證只能被核發(fā)此證的學校來進行驗證。數(shù)字證書也一樣。

在一個典型、完整和有效的PKI系統(tǒng)中，除證書的創(chuàng)建和發(fā)布，特別是證書的撤銷，一個可用的PKI產(chǎn)品還必須提供相應的密鑰管理服務，包括密鑰的備份、恢復和更新等。沒有一個好的密鑰管理系統(tǒng)，將極大影響一個PKI系統(tǒng)的規(guī)模、可伸縮性和在協(xié)同網(wǎng)絡(luò)中的運行成本。在一個企業(yè)中，PKI系統(tǒng)必須有能力為一個用戶管理多對密鑰和證書;能夠提供安全策略編輯和管理工具，如密鑰周期和密鑰用途。 PKI發(fā)展的一個重要方面就是標準化問題，它也是建立互操作性的基礎(chǔ)。目前，PKI標準化主要有兩個方面：一是RSA公司的公鑰加密標準PKCS(Public Key Cryptography Standards)，它定義了許多基本PKI部件，包括數(shù)字簽名和證書請求格式等;二是由Internet工程任務組IETF(Internet Engineering Task Force)和PKI工作組PKIX(Public Key Infrastructure Working Group)所定義的一組具有互操作性的公鑰基礎(chǔ)設(shè)施協(xié)議。在今后很長的一段時間內(nèi)，PKCS和PKIX將會并存，大部分的PKI產(chǎn)品將保持兼容性，這兩種標準都會得到支持。