4月23日下午,由深圳市K8凯发集团官方安全行业协会主办的主题沙龙迎来了第二期,本期沙龙的主题是Web安全,来自极限网络的赖鹏、绿盟科技的赖东方和深信服的黄平,分别从渗透测试、Web安全风险及防御技术和WAF的攻防三个角度向我们描述了Web安全,本文将向各位展示本期沙龙的详细过程。
主题一:渗透测试技术探讨
极限网络的赖鹏第一个向大家分享,主要介绍了什么是渗透测试,渗透测试的意义及常用的渗透测试方法:
期间,赖鹏详细阐述了SQL注入、跨站请求伪造等渗透方法。
接着,赖鹏向我们介绍了渗透测试的业务流程,渗透测试的过程解析,涵盖信息收集、脚本层分析、应用层分析和系统层分析等环节,每个环节均有更细粒度的工作,如代码审计、跨站攻击漏洞分析、中间件分析、反编译分析等等。
在演示环节,赖鹏不仅向我们介绍了SQL盲注和任意文件上传漏洞两个样例,还借助协会的网站,向我们实战演示了漏洞的发现过程,并做了简要分析。
主题二:Web安全风险及防御技术
由绿盟科技的赖东方分享,东方在信息安全行业从业多年,分享中不仅有网络安全态势的分析,Web业务面临的主要风险,还为我们着重介绍了Web安全防护的三道防线,安全开发规范的重要性,从数据流和业务流等多个角度考虑安全问题。
首先,东方从2015年互联网网络安全态势谈起,个人信息屡遭泄露,诈骗勒索事件频发,网站内容篡改屡禁不止等,以金融行业web漏洞Top 10举例,引导出WEB业务面临的主要风险:web漏洞攻击、基础环境缺陷、拒绝服务攻击、业务缺陷、社会工程学、敲诈勒索等等,面对如此繁杂的风险,我们该怎么办?
东方建议我们应该至少做到三道防线:
事前,做web脆弱性分析,防患于未然;
事中,快速发现攻击行为,快速响应,及时阻断入侵,直接参与到攻防对抗中来;
事后,要对攻击进行溯源,要分析事件,进行必要的整改,即评估与改善。
环境安全是基础中的基础,所以我们要分析开发框架的风险,通用平台的风险。同时,在开发环节,我们要建立安全开发规范,并严格执行,这样才能有效降低开发不规范导致各类漏洞的出现。东方例举了微软在实施SDL后,漏洞的改善情况。
接下来,东方为我们阐述了数据效验的重要性,一个简单的登陆界面,就有十几个地方会有潜在的风险可供黑客利用,所以一定要对数据进行安全效验。东方还从攻击的角度引领大家看待安全防护,黑客不仅仅有各种渗透的技术,目前黑客也已经进入大数据时代,利用各种泄露的数据做关联分析,撞库,另人防不胜防。
最后,东方表示,安全建设过程中既要注意木桶原理,做到不留短板,又要避免在安全建设中出现左倾错误,过度注意安全而影响了业务的便捷性,我们要对Web系统做全生命周期的安全管控。
主题三:WAF的攻与防
最后一个分享是由深信服的黄平带来,主要涵盖了WAF绕过的几种方法,及WAF如何应对,以避免这类绕过行为。
WAF,即Web应用防火墙,在Web安全防护中起到的作用越来越重要,黄平此次给我们带来了几类WAF绕过的方法,首先是三四层协议栈异常导致的绕过:
-
分片、乱序问题
-
协议异常问题,如TCP标志位不合法、TCO效验和不合法、较小的TTL值导致逃逸就检测、TCP伪造重传调度等
面对这类绕过,WAF应完善TCP、IP协议栈的处理过程,并添加异常TCP数据包的检测功能,以阻止此类绕过行为。
接下来是HTTP异常协议可导致的绕过行为:
-
基于HTTP POST溢出绕过
-
基于HTTP协议头异常的绕过
-
HTTP其他字段异常引发的绕过,如文件上传时,利用Content-Type等字段异常而进行绕过
黄平建议,通过对URL及POST实体做溢出检测,对HTTP异常方进行过滤及对HTTP协议异常进行检测可以避免这类绕过的发生。
针对应用的特性,也存在各种绕过的方法,黄平举例,利用IIS和WAF对特殊字符识别的不同,可以绕过WAF的检测,来执行一些入侵的命令。针对数据库的特性,也有绕过方法:某些数据库可以将特殊字符和注释转化成空格,而WAF无法检测出,从而导致bypass行为。利用数据库特殊的语法也可以进行绕过,这就要求WAF应该增加更多语法的支持,以识别出此类绕过行为。
最后,黄平表示,WAF是个功能强大的防入侵工具,但若配置不当,也会出现被绕过的情况,建议WAF部署上后,要及时的做维护及策略更新,以应对各类绕过行为。
沙龙的最后是我们的圆桌讨论环节,此环节中,大家不仅对企业WEB安全防护做了详细的讨论,还就近期曝出的WAF bypass事件做了分析,是由web应用开发不当导致的,当然厂家也对此类绕过行为更新了补丁。还有一个引起大家广泛讨论的话题是白帽子的合法性,及如何应对各类渗透测试等交换了意见。
本期沙龙的内容就这些,后续将更加精彩,敬请期待!
