检测政府网站安全检测服务方案

贵州省政府网站群

二〇〇九年一月六日

贵州省政府网站群安全检测服务方案

目 录

第1章. 前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 1前言 51 2什么是网页漏洞和网页挂马 5

1.2.1网页漏洞. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.2.2网页挂马. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1 3监测实施原则 6

1.3.1标准性原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

1.3.2项目规范化管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

第2章. 安全检测服务介绍. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

2 1跨站脚本 82 2 SQL注入 82 3后台表单逃逸检测 82 4 XPath注入检测 82 5后台登录弱口令检测 92 6源码泄露检测 92 7常见数据库检测 92 8常见目录检测 92 9 目录浏览检测 92 10验证码检测 92 1 1 ani木马检测 92 12 Act i veX控件木马检测 102 13常见挂马方式检测 10第3章. Web安全检测原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1 1

3 1第一阶段、 网站结构分析 1 13 2第二阶段、 网页漏洞分析功能 1 13 3第三阶段、结果审核输出阶段 1 13 4 SQL注入漏洞安全检测流程举例 1 1ii

贵州省政府网站群安全检测服务方案

第4章. 渗透检测方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

4 1渗透测试原理 134 2渗透测试的可行性 13

4.2.1渗透测试对现有信息资源的要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

4.2.2渗透测试的方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

4.2.3渗透测试前后系统的状态. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

4 3客户委托 154 4信息收集 154 5弱点利用 154 6结果输出 164 7渗透测试方法 16

4.7.1实施准备. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

4.7.1.1实施方式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

4.7.1.2人员分工. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

4.7.1.3工作环境. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

4.7.2工具测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

4.7.2.1测试方式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

4.7.2.2常用工具. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

4.7.2.3可能的影响. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

4.7.3人工测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4.7.3.1测试方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4.7.3.2可能的影响. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4 8渗透测试内容 19

4.8.1应用层渗透测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4.8.1.1网站结构分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

4.8.1.2 目录遍历探测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

4.8.1.3隐藏文件探测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

4.8.1.4备份文件探测. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

4.8.1.5 CGI漏洞扫描. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

4.8.1.6用户名和密码猜解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21

4.8.1.7跨站脚本漏洞挖掘. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

4.8.1.8 SQL注射漏洞挖掘. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

4.8.1.9数据库挖掘分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

4.8.2系统层渗透测试. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

4.8.2.1漏洞扫描. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

4.8.2.2远程溢出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

4.8.2.3本地权限提升. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

4.8.2.4远程密码猜解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

第5章. 风险规避. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5 1规避方式 25iii

贵州省政府网站群安全检测服务方案

5.1.1时间选择. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5.1.2攻击策略集选择. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5.1.3系统备份策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

5.1.4系统恢复策略. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

5.1.5过程监控. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

5.1.6其他要求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

5 2应急预案 27第6章. 安全检测服务的交付件—Web安全检测报告项目背景. . . . . . . . . . . . . . . .28

第7章. 安全检测服务的用户价值. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

7 1变单纯被动防御为主动检测+被动防御 307 2降低运营成本 307 3远程服务业务隔离 30第8章. 为何选择安全检测服务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31

第9章. 费用说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32iv

贵州省政府网站群安全检测服务方案

第1章.前言

1.1 前言

据调查有75%的攻击发生在Web应用层且大多数网站都相当脆弱。大量的攻击者在利用Web漏洞入侵网站实现数据篡改、挂马获利。然而用户很难主动发现这一切。若能主动发现Web漏洞以及网页木马并采取补救措施就可以降低网站安全风险减少损失。这一切都需要从建立一个主动的网站安全检查机制入手。针对这一网站安全趋势 北京信息安全服务中心发布了专门针对网站安全的标准化服务产品——Web安全检测服务。Web漏洞、 网页木马这些令管理员头痛的问题可以通过远程方式进行详细的检测相当于为网站进行了一次全面的“体检”并提供有针对性的“治疗”措施和健康建议从而将这些安全隐患带来的损失降到最低。

1.2什么是网页漏洞和网页挂马

1.2.1 网页漏洞

日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、 JSP和CGI等)而这些开发者由于没有获得过专业训练导致这些自产web软件漏洞百出这些漏洞统称为网页漏洞。

网页漏洞的存在意味着网页中任何传递给浏览器的信息都可能被用户利用和操纵恶意用户可以查看、修改或者插入敏感信息包括价格、会话跟踪信息甚至是脚本执行代码。

1.2.2 网页挂马

很多朋友都碰到过这样的现象打开一个网站结果页面还没显示杀毒软件就开始报警提示检测到木马病毒。有经验的朋友会知道这是网页病毒但是自己打开的明明是正规网站没有哪家正规网站会将病毒放

5

贵州省政府网站群安全检测服务方案

在自己的网页上吧那么是什么导致了这种现象的发生呢其中最有可能的一个原因就是这个网站被挂马了。

网页木马是指黑客攻击WEB网站后在网页中嵌入的一段用于自动下载带有特定目的木马程序的恶意代码或脚本。请注意挂上去的是一段代码或脚本而非真正的“一匹”马。而黑客实施恶意代码或脚本植入的行为通常称为“挂马”。

1.3监测实施原则

1.3.1 标准性原则

符合标准的要求

依据国际信息安全标准、 国内行业规范及其他相关标准和制度。

根据ISO17799/ISO27001所建立的信息安全管理框架作为建立企业信息安全管理体系ISMS的主要依据。

根据ISO13335、 国信办《信息安全风险评估标准》作为对信息资产进行安全风险评估与风险管理的主要参考方法。

根据公安部《信息安全等级保护规范》、美国国家安全局信息安全保障架构IATF等标准作为建立信息安全架构体系的主要依据。

根据COBIT、 ITIL、 CMMI等国际上得到普遍认可的事实标准对IT流程进行风险评估与控制。

根据国家保密局、 国家档案局、 国资委及广东省的有关保密规定作为企业建立保密工作体系的依据。

1.3.2 项目规范化管理

在信息安全服务过程中 根据安全工程的项目管理方法在每个项目阶段都建立持续监控机制制定相应的文档规范对工作过程中产生的文档进行跟踪和控制

安全咨询项目框架遵从美国项目管理协会(PMI)推出的项目管理知识体系PMBOK并在实际中根据自己的行业特征形成自己的行之有效的项目管理体系所有项目的管理都必须严格遵守规定的流程 以确保项

6

贵州省政府网站群安全检测服务方案

目的成功和客户的满意度。

过程可控性本项目的管理将依据PMI项目管理、服务规范等进行管理成立高层项目管理委员会保障项目的沟通管理达到项目过程的可控性。

工具可控性咨询服务人员所使用的评估、修补与加固的工具将事先通告用户确保应在双方认可的范围之内并通过安全培训、工程联络会等方式进行工具的使用介绍。服务过程中采用的安全技术手段确定为已经经过实际应用的安全技术和产品。

整体性原则在进行安全咨询服务过程中将严格按照确定的范围和内容进行实施从广度和深度上满足用户的要求安全咨询项目包括安全涉及的各个层面避免由于遗漏造成未来的安全隐患。

最小影响原则会从项目管理和技术应用的层面将安全咨询服务的实施对系统和网络的正常运行所可能的影响降到最低程度不对网络系统的运行和业务应用的正常提供产生显著影响 同时在安全咨询服务实施前做好备份和应急措施。

保密性原则参与本项目的项目组成员都将与用户签署此项目特定的保密协议对工作过程数据和结果数据严格保密未经授权不得泄露给任何单位和个人。

7

贵州省政府网站群安全检测服务方案

第2章.安全检测服务介绍

2.1 跨站脚本

跨站脚本即XSS漏洞允许攻击者向其他用户发送恶意代码通常是Javascript格式的。浏览器不能判断该脚本是否可被信任 因此会在用户上下文中执行此脚本。恶意人员可利用跨站脚本构造诱骗页面,诱骗用户登陆进而获取登陆者的用户名称、密码等敏感信息进行非法活动。

2.2 SQL注入web应用程序接收的用户输入在没有对输入的字符进行恶意字符过滤的前提下直接用来拼接SQL语句造成了SQL注入漏洞。攻击者利用此注入漏洞通过对数据库的猜解可得到网站管理员的用户名和密码进而获取站点的上传权限得到webshell,利用权限提升控制服务器对整个外部和内部网络系统造成重大损失。

SQL注入是目前互联网中应用最普遍的一个应用层攻击。

2.3 后台表单逃逸检测

后台表单逃逸检测是针对单表的一种特殊性SQL注入检测常用于检测Web应用后台登录系统。单表逃逸是一种常见的Web应用漏洞。例如登录帐户为'or''='等。

2.4 XPath注入检测

随着简单XML API、Web服务和Rich Internet Applications (RIAs)的发展更多组织几乎在所有方面从配置文件到远程过程调用都采用XML作为数据格式。一些人已经使用XML文档代替更传统的纯文本文件或关系数据库但是与任何其他允许外部用户提交数据的应用程序或技术相似XML应用程序可能容易受到代码注入的攻击

8

贵州省政府网站群安全检测服务方案

2.5 后台登录弱口令检测

后台登录弱口令检测是针对Web应用后台登录帐户口令强壮性的检测。通过后台登录弱口令检测可以检验Web应用系统是否存在默认的帐户口令或者弱口令。例如对admin:admin888此类帐户密码的检测。

2.6源码泄露检测

源代码泄露检测是针对网站开发人员或者管理员人为疏忽所造成的严重操作失误所进行的检查。例如http://www.site.com/index. .asp.bak。

2.7 常见数据库检测

由于WEB站点使用了第三方程序或者使用了比较常见的数据库名攻击者通过尝试访问下载的数据库文件将可能导致数据库信息泄露包括网站合法用户信息和管理员信息将严重影响数据库安全。

2.8 常见目录检测

由于WEB站点使用了常见目录将可能导致攻击者进行后台管理页面及数据库路径的暴力猜解。

2.9 目录浏览检测

由于WEB服务器配置不当导致攻击者可以浏览WEB目录内所有文件。通过浏览WEB目录攻击者可以获取当前WEB路径下的敏感文件信息。

2.10验证码检测

通过检测验证码的强弱度验证网站是否使用了较弱的验证码。 网站如果使用了较弱的验证码将无法有效的保护网站安全。

2.11 ani木马检测

木马病毒TROJ_ANICMOO.AX利用Windows动画光标缺陷(Vulnerability in Windows Animated Cursor Handling)发动零时差攻击。使用者只要点选相关恶意链接就会遭受窃取密码账号等机密数据的木马攻击但也有可能因为访问了遭受植入恶意程序的网站而被暗中下毒。

9