WEB类应用系统安全防护技术要求Word文档格式.docx
- 文档编号:16725497
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:31
- 大小:252.40KB
WEB类应用系统安全防护技术要求Word文档格式.docx
《WEB类应用系统安全防护技术要求Word文档格式.docx》由会员分享,可在线阅读,更多相关《WEB类应用系统安全防护技术要求Word文档格式.docx(31页珍藏版)》请在冰豆网上搜索。
(12)《中国移动安全管控平台功能与技术规范》
(13)《中国移动帐号口令集中管理系统功能与技术规范》
3相关术语与缩略语
3.1术语
下列术语和定义适用于本要求:
3.1.1注入漏洞
可以让攻击者通过恶意的内容输入来改变应用程序执行动作的漏洞。
比如改变接入控制,允许攻击者创建、修改、删除或者读取任何该应用程序可以读取的数据。
3.1.2SQL注入攻击
由于应用程序对通过SQL语句提交的用户输入内容缺乏必要的过滤机制,攻击者可以在输入的内容中加入SQL语句以及参数,从而实现数据库操作,如查询、插入、修改等。
3.1.3跨站漏洞
由于开发编程人员在编程的时候对一些变量没有做充分的过滤,或者没做任何的过滤就直接在服务器上执行用户提交数据(例如JavaScript等脚本代码),导致跨站攻击。
3.1.4跨站攻击
方式一:
在WEB应用中,当用户提交数据与服务器进行交互时,攻击者将恶意脚本隐藏在用户提交的数据中,破坏服务器正常的响应页面。
方式二:
通过社会工程学等方法,诱骗用户点击和访问虚假的页面,达到偷窃用户信息、下载恶意脚本等目的。
3.1.5非法上传
攻击者利用WEB系统漏洞,绕过各种限制上传文件的攻击行为。
3.1.6缓冲区溢出
攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。
3.1.7非法输入
攻击者在动态网页的输入中使用各种非法数据,以实现获取服务器敏感数据的目的。
3.1.8网站挂马
攻击者在服务器端插入恶意代码。
用户访问恶意页面时,网页中植入的恶意代码触发客户端的漏洞从而自动下载并执行恶意程序。
3.1.9拒绝服务攻击
攻击者通过构造大量的无效请求或利用系统漏洞构造非法请求,耗尽WEB服务器或带宽的资源,导致WEB服务器崩溃,,使Web服务器不能响应正常用的访问。
3.1.10跨站请求伪造
攻击者通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话。
3.1.11目录遍历攻击
攻击者利用安全漏洞访问受限制的目录,并在Web服务器的根目录以外执行命令。
3.2缩略语
缩略语
英文全称
中文含义
DDOS
DistributedDenialofService
分布式拒绝服务
BOSS
Business&
OperationsSupportSystem
业务运营支撑系统
HTTP
HyperTextTransferProtocol
超文本传输协议
XSS
CrossSiteScripting
跨站攻击
SQL
StructuredQuevyLanguage
结构化查询语言
DMZ
DeMilitarizedZone
非军事化区
IDS
IntrusionDetectionSystem
入侵检测系统
CVE
CommonVulnerabilitiesandExposures
通用漏洞披露
4综述
如今黑客攻击的趋势逐渐由传统的网络层偏向应用层,根据CVE等机构的统计,Web应用类的安全攻击已经超过了其他层面安全攻击的总和。
中国移动部署了大量面向互联网的Web应用系统,这些系统或承载着企业的核心业务功能、或代表了中国移动的品牌形象、或维护着大量的客户隐私数据,其安全性不容忽视,应用WEB化趋势更进一步加剧了WEB安全威胁的影响。
Web应用系统的安全涵盖了网络安全、主机安全、数据库安全、中间件安全、Web服务器安全与Web应用安全等多个层面。
本规范最终的目的是希望中国移动各WEB类应用系统在建设或改造时,能够在安全手段部署方面有法可依。
为了保持规范体系的一致性,本规范在基础设施层面的要求主要引述中国移动以往相关规范,仅在针对Web应用系统需要特别补充之处加以说明。
5Web类应用系统基本架构
5.1业务逻辑结构
按照逻辑结构可将Web应用系统划分为如下5个层面:
图5-1Web应用系统业务逻辑结构图
内容层包括Web类应用系统生成、处理、存储或传输的敏感信息内容,例如客户隐私信息与公司机密等。
应用层特指Web应用程序,通常由HTML、Javascript、Java、ASP.NET、PHP等语言编写而成,运行于Web服务器或应用服务器环境,并向用户浏览器提供业务功能访问界面。
设备层主要包含承载Web类应用系统的服务器、网络连接设备和存储设备。
例如Web服务器、应用服务器、中间件、数据库服务器、操作系统、路由器与防火墙等。
网络层包括Web类应用系统的网络架构与互联网出口设计。
例如安全域划分、冗余设计、边界防护等。
物理层包括维护Web类应用系统的机房物理安全与访问控制等。
本规范主要关注应用层,其他层面的安全要求主要依据中国移动已发布的相关标准,仅在针对Web应用系统需要特别补充之处加以说明。
5.2网络结构
一个典型的Web网站的部署架构如下图所示:
图5-2WEB应用系统网络结构示意图
WEB服务器:
用户能够直接访问的服务器,主要提供个性化、单点登录、不同来源的内容整合以及存放信息系统的表示层。
Web服务器专门处理HTTP请求(request),但是应用程序服务器是通过很多协议来为应用程序提供(serves)商业逻辑。
应用服务器:
应用程序服务器通过各种协议,可以包括HTTP,把商业逻辑展现给客户端应用程序。
应用程序服务器提供访问商业逻辑的途径以供客户端应用程序使用。
应用服务器包括Weblogic,Websphere等中间件系统以及服务组件等。
数据库服务器:
为WEB用户提供数据查询、更新、修改等处理应用的数据库系统,包括Oracle、SQLServer等数据库系统。
核心交换机:
连接DMZ和核心系统的交换机。
6Web类应用风险分析
6.1主要风险分析
当前,Web类应用系统所面临的主要风险包括:
Ø
网络层的攻击:
利用工具和技术通过网络对系统进行攻击和入侵。
最高风险:
DDOS攻击,造成网络瘫痪,系统不可用;
漏洞探测,可利用漏洞获得对存在漏洞的设备的控制权,从而进一步攻击系统;
嗅探(帐号、口令、敏感数据等)等,造成敏感信息泄漏,被人利用控制网络或系统。
应用层攻击:
利用web系统的漏洞对应用程序本身进行的攻击。
对应用程序本身的DOS攻击,可造成系统瘫痪;
SQL注入,可获得一些敏感的信息或者控制整个服务器;
跨站攻击,泄漏敏感信息,被人利用控制系统;
病毒入侵访问者系统等;
网站挂马,感染木马,对访问者系统入侵;
获取对web服务的控制权限等,可进一步利用漏洞,控制服务器,从而进一步对系统进行控制。
内容安全
网页篡改:
利用应用层漏洞等进行的网页篡改攻击行为,网页内容被非法篡改为其它甚至是产生严重社会影响的非法内容。
非法内容:
如网站论坛中发布了政治、不良、攻击他人的的违法信息或者恶意程序。
6.2脆弱性分析
Web类应用系统脆弱性可以分为两大类:
技术脆弱性和管理脆弱性。
其中技术脆弱性体现在物理、网络、设备、应用及内容五个层面上。
6.2.1物理
物理层主要包括主机维护的机房,物理访问控制等,其脆弱性主要包括:
1.机房场地选择不合理;
2.防火、供配电、防静电、接地与防雷、电磁防护、温湿度控制不符合规范;
3.通信线路、相关服务器和用户端网络设备的保护不符合规范。
6.2.2网络
WEB应用系统从网络层面上来看,其脆弱性主要来自于以下方面:
1.组网不合理,如WEB网站往往独立建设、多出口的情况普遍存在、服务器设置不合理,将数据库服务器等重要应用直接暴露在公网上面;
2.网络框架设计存在缺陷,入侵者可以通过WEB系统作为跳转入侵核心的系统,如BOSS系统;
3.缺乏备份冗余链路,单链路出口情况较多;
4.边界防护能力不足,初期往往单纯依靠防火墙防护,对于带宽、服务器资源耗尽型DDOS攻击的防护能力较弱。
6.2.3设备
Web类应用系统相关设备主要包含承载Web类应用系统的服务器、网络连接设备和存储设备(OS层面)。
设备的脆弱性主要是网元层面的问题,主要包括三个部分:
安全功能、配置错误和系统漏洞,具体分析如下:
1.服务器脆弱性主要来自于两个层面:
一个层面是服务器硬件脆弱性,指服务器是否具备冗余配置以及服务器性能是否能满足业务需求,是否超过使用年限或核心部件老化,在发生故障是是否能够及时告警;
第二个层面是服务器运行侧操作系统平台的脆弱性,包括该操作系统是否能正常运行、是否存在操作系统漏洞、是否具备完善的安全管理功能,以及是否按照规定的安全基线进行了安全配置。
2.网络连接设备的脆弱性主要来自于两个层面:
一个是设备硬件脆弱性,指设备是否具备冗余配置,以及设备背板吞吐等性能是否能够满足业务需求,以及是否超过使用年限或核心部件老化,在发生故障时是否能够及时告警;
第二个层面是指网络设备是否按照规定提供了相关安全功能、进行了安全基线配置,如管理平面、控制平面、用户平面相关的各类安全配置要求;
3.存储设备的脆弱性主要指其冗余性和容错功能、数据库系统漏洞以及存储数据的恢复能力配置。
6.2.4应用
应用层面的脆弱性,主要体现为WEB应用软件开发特别是架构设计、编码阶段引入的弱点。
参照国际公开WEB应用安全组织OWASPTop102007,WEB应用存在的严重安全漏洞如下:
脆弱性类别
脆弱性描述
用户输入验证
跨站脚本漏洞
由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤,允许用户在提交的数据中掺入HTML代码(最主要的是“>
”、“<
”),然后未加编码地输出到第三方用户的浏览器,攻击者恶意提交代码会被受害用户的浏览器解释执行。
攻击者可以利用XSS漏洞借助存在漏洞的Web网站转发攻击其他浏览相关网页的用户,窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息,通过插入挂马代码对用户执行挂马攻击。
数据注入漏洞
主要是SQL注入漏洞。
问题的成因在于对用户提交CGI参数数据未做充分检查过滤。
用户提交的数据可能会被用来构造访问后台数据库的SQL指令,从而非授权操作后台的数据库,导致敏感信息泄露、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。
跨站请求伪造
通常,网站有XSS漏洞时,CSRF可以对XSS漏洞进行更高级的利用。
利用的核心在于通过XSS漏洞在用户浏览器上执行功能相对复杂的JavaScript脚本代码劫持用户浏览器访问存在XSS漏洞网站的会话,攻击者可以与运行于用户浏览器中的脚本代码交互,使攻击者以受攻击浏览器用户的权限执行恶意操作。
认证授权等自身安全管理
用户帐号设计不合理
不能根据用户类型、角色进行帐号、用户组、角色的设计,无法支撑权限最小化等安全要求。
认证强度低于业务安全要求
没有根据操作的重要性等级设计相应的认证方式,如查看积分操作宜采用静态用户名、符合安全策略的口令加图片码方式,查看通话记录、业务定购信息应采用动态短信方式进行验证等等。
不安全地直接访问对象
由于网页应用实现上的问题,动态网页对用户提交的参数对应的后台数据是否具有访问权限未做充分的验证,用户可以通过手工设置猜测的其他用户的数据索引值(一般就是数据库中某个表的主键)非授权地访问数据库中其他用户相关的存储信息。
URL访问控制不当
Web站点可能包含一些不在正常网站数据目录树内的URL链接。
攻击者可能通过猜测尝试访问可能的链接来获取非授权访问。
未验证的重定向
Web应用程序经常重定向至其他的网页和网站,并使用不受信任的数据来确定的目标网页。
如果没有适当的验证,攻击者可以将用户重定向至钓鱼或恶意网站,或者访问XX的网页。
异常处理
信息泄露和不恰当的错误处理
很多基于后台数据库的Web应用在出现错误时会输出过于丰富的信息,比如错误类型、出现错误脚本的绝对路径、网页主目录的绝对路径、出现错误的SQL语句及参数、软件的版本、系统的配置信息等等。
信息泄露漏洞本身可能并不太重要,但结合其他漏洞(比如SQL注入)可能极大地提高攻击入侵的效率。
会话管理
动态网页认证与会话管理不当
Web网站对用户访问的会话凭据处理可能存在漏洞,比如单纯通过Cookie来标记识别用户会话、使用容易猜测的会话ID、允许暴力猜测会话ID、会话超时设置过长不自动撤销会话等等。
这类漏洞可能允许用户冒充其他用户获取非授权的访问。
加密
不安全地进行数据存储
Web应用相关的一些敏感数据未进行安全存储,比如口令数据以明文方式存放在数据库表里,通过利用SQL注入之类的漏洞就可以很容易地枚举出来。
不安全的网络通信
HTTP协议本身是明文的,敏感数据比如认证信息安全传输只能借助外加的加密机制,而目前大多数的Web应用都不是加密的,只要攻击者可以嗅探网络数据包就能获取大量的敏感信息,即使传输的是加密后的口令信息,也还存在重放攻击的威胁。
安全审计
安全审计功能
缺乏有效的安全审计功能,无法对应用程序重要安全事件进行审计
审计内容
审计记录内容不完整。
6.2.5内容
内容的脆弱性可以体现在两方面:
1.因存储不合理,造成用户或业务数据等敏感信息泄露;
2.通信过程由于缺乏必要的加密导致用户或业务数据被窃听或篡改等;
3.WEB网页、数据库被篡改,替换为其它内容甚至是产生严重社会影响的恶意页面;
4.用户发布违反国家法律法规的信息,如反动言论、色情相关信息、攻击他人的违法犯罪信息等。
6.2.6管理
管理脆弱性体现在机构、人员、制度、流程及运维等五个方面,具体包括:
1.安全管理机构方面:
岗位设置不合理(如人员配置过少、职责不清)、授权和审批程序简化、沟通和合作未执行、审核和检查未执行等;
2.人员:
人员录用不符合程序、人员离岗未办理安全手续、人员未进行安全培训等;
3.安全管理制度方面:
管理制度不完善、制度评审和修订不及时等;
4.流程:
安全方案不完善、软件开发不符合程序、工程实施未进行安全验收或验收不严格、信息制作与发布流程管理不严格等;
5.运维:
物理环境管理措施简单、存储介质使用不受限、设备没有定期维护、厂家支持力度不够、关键性能指标没有定期监控、无恶意代码防范措施、无数据备份和恢复策略、访问控制不严格、操作管理不规范等,应急保障措施不到位,灾难恢复预案不完善等。
6.3威胁分析
基于WEB应用系统基本架构考虑,需要从物理、网络、设备、应用及内容各层进行分层考虑其威胁。
6.3.1物理
物理层的威胁主要为环境威胁,包括物理环境威胁和自然灾害威胁:
1.物理环境:
断电、静电、灰尘、潮湿、温湿度异常、电磁干扰等以及意外事故或通信线路方面的故障;
2.自然灾害:
鼠蚁虫害、洪灾、火灾、泥石流、山体滑坡、地震、台风、雷击、闪电等。
6.3.2网络
互联网络的开放性、国际性和自由性决定了WEB应用系统所面临的来自网络层面的威胁是非常复杂和严峻的。
主要的网络层威胁包括:
1.漏洞探测:
通过分析已知漏洞,对应用或系统提交特定格式的字符串,并分析返回结果,以确定应用或系统是否存在该漏洞;
2.嗅探(帐号、口令、敏感数据等):
通过将网卡设置成为混杂模式以使得网卡可接受任何流经的数据;
3.DDOS攻击是一种非常典型的网络层威胁,具体可分为两类:
a)带宽耗尽型攻击:
通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。
通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。
b)应用型攻击:
利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理处理正常访问请求的目的,比如HTTPHalfOpen攻击和HTTPError攻击等。
6.3.3设备
在移动网络中,设备面临的威胁主要从三方面进行考虑:
1.利用设备自身的安全漏洞进行的攻击,可能引起数据破坏、业务中断甚至系统宕机。
2.设备自身安全配置不符合集团《安全功能和配置检查规范》,为攻击者所利用,获得非授权访问,破坏业务正常运行等;
3.设备本身的软硬件故障,设备和介质老化造成的数据丢失,系统宕机等。
6.3.4应用
参照国际公开组织WebApplicationSecurityConsortium(WASC)及OWASP的威胁分类,WEB类应用系统面临的主要威胁如下:
威胁类别
威胁描述
认证
暴力破解
因认证强度低于业务安全要求(参见6.2.4节对应脆弱性描述),攻击者可以通过穷举方式自动猜测用户登录身份标识(Credentials)、会话标识(SessionIdentifiers)以及未公开目录及文件名(如临时文件、备份文件、日志、配置文件)。
不充分的认证
网站未经过严格身份验证即允许攻击者访问敏感内容。
不安全的密码恢复机制
网站采用了不安全的密码恢复机制,攻击者可以通过暴力破解、安全问题猜测等手段绕过密码恢复机制,从而非法获得、更改或恢复他人的密码。
授权
非授权访问
因用户帐号设计不合理(参见6.2.4节对应脆弱性描述),WEB应用未能有效执行授权检查,攻击者可以违反安全策略,执行权限之外的功能或者访问权限之外的数据。
身份标识/会话预测
攻击者推断或猜测出会话标识,劫持用户会话或者仿冒用户,从而获得非授权访问。
用户输入
CGI参数
攻击者可能可以通过修改CGI参数值查看敏感信息。
缓冲区溢出攻击
如果程序没有检查输入数据大小就直接复制到内存中时,恶意用户通过在参数或表单域中提交超量数据或异常类型数据就可能引起缓冲区溢出。
SQL注入攻击
1)当Web应用向数据库提交输入时,攻击者可以构造SQL命令人为的
输入到URL、表格域或其它输入参数中,非法查看敏感信息或进行破坏。
2)调用数据库存储过程,例如xp_cmdshell、xp_reg系列等执行操作
系统级命令,对Web服务器进行配置修改或破坏。
数据编码攻击
由于Web页面编码方式复杂多样,攻击者将”/”字符编码为%c0%af绕过字符过滤检查,例如显示整个系统盘信息输入:
客户端攻击
内容哄骗
哄骗用户认为出现在网站的特定内容为合法内容。
跨站脚本攻击
攻击者在远程Web页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,从而威胁用户浏览过程的安全。
信息泄露
网站暴露的敏感信息(诸如开发者的备注信息、出错信息等),为攻击者利用,提升入侵网站概率。
目录遍历攻击
攻击者操纵输入参数使应用系统执行或透露任意文件内容,或对服务器任意文件目录进行读、写、删除等操作。
逻辑攻击
拒绝服务攻击
攻击者可以编写脚本和程序,生成大量子进程,请求同一个URL并保持,消耗服务器的CPU、内存和连接数资源,使得合法用户无法正常访问。
功能滥用
最为常见的攻击方式有利用网站搜索功能访问不在正常网站数据目录树内的访问受限文件。
URL跳跃
对Web程序不恰当的状态管理可能导致攻击者绕过页面正常访问顺序的攻击。
参数操纵
攻击者通过操纵客户端(浏览器)与服务器端交换的数据,以实现修改应用程序的数据。
通常,攻击者会篡改存储在cookie或隐藏域中的参数信息。
审计记录完整性
审计记录被删除、修改或覆盖。
6.3.5内容
不合规内容
非法信息或低俗内容通过WEB业务平台面向公众发布。
内容完整性
攻击者使用恶意手段对网页内容进行篡改。
攻击者在网页中植入恶意代码。
相关服务器和用户端网络设备数据丢失;
存储介质老化或质量问题等导致不可用,致使数据丢失;
敏感信息泄露
因缺乏有效的加密机制及安全存储,攻击者可以获取到用户鉴权信息、用户隐私数据等敏感信息
7WEB类应用系统的安全防护需求
针对上述安全脆弱点分析和威胁分析,需要对WEB类应用系统的物理层、网络层、设备层、应用层和内容层进行安全防护,并强化安全管理。
7.1物理安全需求
物理层:
保证物理环境安全,具体要求依据相关的机房管理制度;
网络层:
保证网络层所涉及的网络结构、网络链路、网络服务的安全;
1.WEB应用系统应该合理规划放置,避免将重要应用直接暴露在公网上面;
2.应该设置备份冗余
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WEB 应用 系统安全 防护 技术 要求