從Web安全到APT防御 - 網安 - 專業的網絡安全產業、社區、知識平臺

在信息化的時代，很多業務都依賴于互聯網，例如說網上銀行、網絡購物、網游等。大量的數據依賴于網絡。無疑Web成為領導者。隨著國家安全法的不斷完善，企業及公司對用戶隱私以及公司的重要信息逐漸加強重視。也使得暴露在網絡上的Web面臨更高的挑戰。這種黑白交替的時代，黑白技術在對抗中也在不斷的發展。也使得安全測試逐漸規范化。作為新人，淺談一下Web安全觀。淺談從Web安全到APT防御。

一、web系統存在的安全性

復雜應用系統代碼量大、開發人員出現疏忽；
系統屢次升級、人員頻繁變更，使得代碼存在差別；
新舊資源存在于相同服務器；
開發人員未經過安全意識培訓；
系統測試階段未達到要求的合格范圍；

在整個系統實現階段。人，無疑成為做大的Bug。在開發者的關注角度呈現的思維方式：

客戶的滿意程度；
處理能力；
界面的美觀與操作簡潔度；
項目的開發進度以及所用成本；
使用合理的架構，方便代碼修改；
模塊(類)間關聯程度的度量；
…

二、常見Web攻擊維度

三、常見Web攻擊動機

炫技或存在報復心理；
篡改網頁，修改文字內容；
竊取用戶隱私信息、商業機密；
關閉站點，影響正常訪問；
網站釣魚，非法詐騙；
用戶權限進行非法操作；
以此作為跳板攻擊企業內網其他系統；
…

四、常見的 Web 攻擊流程

信息收集
暴力猜解
Web漏洞掃描
錯誤信息利用
根據服務器版本尋找現有的攻擊代碼
利用服務器配置漏洞
文件上傳下載
構造惡意輸入（SQL注入攻擊、命令注入攻擊、跨站腳本攻擊）
HTTP協議攻擊
拒絕服務攻擊
其他攻擊點利用（Web Services, Flash, Ajax, ActiveX, JavaApplet）
業務邏輯測試
…

五、Web 漏洞 Top 10

你想怎樣進入房間？

1.（十）內部重要資料/文檔外泄

無論是企業還是個人，越來越依賴于對電子設備的存儲、處理和傳輸信息的能力。企業重要的數據信息，都以文件的形式存儲在電子設備或數據中心上，企業雇員或程序員為了辦公便利，常常將涉密數據拷貝至移動存儲介質或上傳至網絡，一旦信息外泄，將直接加重企業安全隱患發生的概率。

2.（九）賬戶體系控制不嚴/越權操作

與認證和會話管理相關的應用程序功能常常會被攻擊者利用，攻擊者通過組建的社會工程數據庫，檢索用戶密碼，或者通過信息泄露獲得的密鑰、會話token、GSID和利用其它信息來繞過授權控制訪問不屬于自己的數據。如果服務端未對來自客戶端的請求進行身份屬主校驗，攻擊者可通過偽造請求，越權竊取所有業務系統的數據。

3.（八）未授權訪問/權限繞過

多數業務系統應用程序僅僅只在用戶客戶端校驗授權信息，或者干脆不做訪問控制規則限制，如果服務端對來自客戶端的請求未做完整性檢查，攻擊者將能夠偽造請求，訪問未被授權使用的功能。

4.（七）XSS跨站腳本攻擊/CSRF

屬于代碼注入的一種，XSS發生在當應用程序獲得不可信的數據并發送到瀏覽器或支持用戶端腳本語言容器時，沒有做適當的校驗或轉義。XSS能讓攻擊者在受害者的瀏覽器上執行腳本行，從而實現劫持用戶會話、破壞網站Dom結構或者將受害者重定向到惡意網站。

5.（六）SQL注入漏洞

注入缺陷不僅僅局限于SQL，還包括命令、代碼、變量、HTTP響應頭、XML等注入。程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，當不可信的數據作為命令或查詢的一部分被發送到解釋器時，注入就會發生。攻擊者的惡意數據欺騙解釋器，讓它執行意想不到的命令或者訪問沒有準確授權的數據。

6.（五）應用錯誤配置/默認配置

多數應用程序、中間件、服務端程序在部署前，未針對安全基線缺乏嚴格的安全配置定義和部署，將為攻擊者實施進一步攻擊帶來便利。常見風險：flash默認配置，Access數據庫默認地址，WebDav配置錯誤，Rsync錯誤配置，應用服務器、Web服務器、數據庫服務器自帶管理功能默認后臺和管理口令。

7.（四）敏感信息/配置信息泄露

由于沒有一個通用標準的防御規則保護好中間件配置信息、DNS信息、業務數據信息、用戶信息、源碼備份文件、版本管理工具信息、系統錯誤信息和敏感地址信息(后臺或測試地址)的泄露，攻擊者可能會通過收集這些保護不足的數據，利用這些信息對系統實施進一步的攻擊。

8.（三）系統錯誤/邏輯缺陷帶來的暴力猜解

由于應用系統自身的業務特性，會開放許多接口用于處理數據，如果接口或功能未進行嚴謹的安全控制或判斷，將會促進駭客加快攻擊應用程序的過程，大大降低了駭客發現威脅的人力成本。隨著模塊化的自動化攻擊工具包越來越趨向完善，將給應用帶來最大的威脅。

9.（二）引用不安全的第三方應用

第三方開源應用、組件、庫、框架和其他軟件模塊；過去幾年中，安全領域在如何處理漏洞的評估方面取得了長足的進步，幾乎每一個業務系統都越來越多地使用了第三方應用，從而導致系統被入侵的威脅也隨之增加。由于第三方應用平行部署在業務系統之上，如果一個易受攻擊的第三方應用被利用，這種攻擊將導致嚴重的數據失竊或系統淪陷。

10.（一）互聯網泄密事件/撞庫攻擊

以大量的用戶數據為基礎，利用用戶相同的注冊習慣（相同的用戶名和密碼），嘗試登陸其它的網站。

六、什么是APT？

APT(Advanced Persistent Threat) 高持續性威脅，這個專業名詞的源于09年Google退華事件中“極光攻擊”這一安全事件，各國安全專家對這類攻擊持續熱議后總結而得。名詞看著很新鮮，專業解釋是指專門針對特定組織所實施的空前復雜且多方位的高級滲透攻擊，也有很多人喜歡用我們中國的老話“不怕賊偷就怕賊惦記”來解釋APT，但千萬注意別把APT這個賊局限在網絡攻擊。

七、APT攻擊的危害

一是摧毀，例如摧毀工業SCADA系統，導致電力控制設備、油田勘探設備癱瘓，ATM機渠道、電視臺播放系統停運等；
二是竊取，例如偷取各類互聯網數據支撐黑產，竊取油藏地質數據等國家重要軍備物資數據；
三是監控，針對關鍵目標人物的網絡聊天、短信、語音通話、視頻監控等；
四是威懾，就像“核威懾”一樣宣稱可隨時進行各種破壞力巨大的高危行為。

八、APT攻擊的流程

一階段采用0Day漏洞技術植入惡意樣本；
二階段是通過惡意代碼進行遠程監控；
三階段也是利用惡意代碼對內網進行滲透攻擊或破壞；

攻擊者為了對特定目標進行攻擊，而特別設計和定制研發的惡意程序

沙盒處理性能到底是多少？

九、在面對APT攻擊時的四個弱點：

1.對未知攻擊的檢測能力嚴重不足；

2.對流量的深度分析能力不足；

3.對終端的強效監管能力不足；

4.對整體安全態勢的管控手段不足。

攻防對抗的本質是“人與人”的對抗，以人為本是防御體系建設的根本！

十、用平臺化和工具化來進行APT防護

1、Cloud - 云端

匯聚各種線索事件
智能的事件關聯分析
提供更全面的分析檢測環境
搭建人工分析基礎

2、Network - 網絡層

識別網絡流量中的臟數據，切斷監控目標的黑手
防護來自流量的攻擊威脅，提高目標植入難度

3、Endpoint – 終端層(含移動端)

識別目標植入的攻擊行為
攔截各種目標數據監控行為
響應威脅處理任務，清理威脅文件并還原用戶狀態

4、Test tools – 檢測工具

檢測攻擊者駐留的各種軟件后門
深度檢測各種硬件級后門
為攻擊溯源搜集分析線索