2月25下午，CSDN(微博)在北京丽亭华苑酒店举行了TUP第二十期活动——互联网安全。本次活动邀请了众多安全界专家，安天实验室反病毒引擎研发中心经理童志明，安恒信息安全服务部门经理刘志乐，C/C++/ASM程序员，xsign成员张亚一和pr0zel windows安全研究员李敏怡。他们将在本次演讲中以大量实例演示，阐明互联网安全的安全防御与漏洞补杀、分析用户身份认证等亟需解决的问题所在。

　　安恒信息安全服务部门经理 刘志乐

安恒信息安全服务部门经理刘志乐在活动中发表《“泄密门”带给我们的警示》主题演讲。

刘志乐演讲中表示，目前75%的安全隐患来自于Web应用系统所存在的安全漏洞，三分之二的WEB站点都相当脆弱，易受到攻击。Web应用安全严峻的现状。常见Web应用安全漏洞说明主要从两方面来阐述，一方面从权威的OWASP统计显示2010年名列前十的安全漏洞；另一方面，通过从漏洞产生原因、危害以及加固建议三个方面来描述目前常见的高危WEB应用安全漏洞。

从整体的安全产品防护、安全服务两个方面来阐述如何对WEB应用系统进行安全防护。安全产品防护主要是描述WEB应用安全产品的部署防护，安全服务主要是描述Web应用系统的安全服务体系概述、安全服务内容以及安全服务主要实施技术和工具。

以下是演讲实录：

今天跟大家一起交流外部应用方面的安全，以及这些安全的漏洞原因，会展现这些漏洞简单的演示，然后也会说一下怎么样防护这个安全。

用户数据泄露已被重视

首先我们看一看近期一个热点。去年有很多网站的数据都遭到了窃密这一块大家无论是在微博还是在媒体，还是在QQ都能看到。这些充分说明政府开始重视这一块，还有一些行业重视这一块。因为去年出了这个事情以后，我也去了很多地方，包括参加政府部门召开的一些会议，包括一些学术研究会议，给我的感觉就是每个单位当时正在坐领导位置，尤其是主管信息安全的这些领导，他们觉得坐的不扎实，如坐针毡。

同时国家也在这个方面做了一些重视，CSDN董事长曾经发表一个文章，他说80%网站都是存在漏洞问题，过去这个问题都存在，只不过没有人重视它、关注它而已，只不过这次泄密门事件，导致大家把眼球全部吸引到这个上面来，然后大家才知道，原来我们每天生活在如此不安全的社会里面。

作为国家这一块通讯部目前已经对一些站点已经进行了一些防护，包括要求一些搜索引擎，必须把银行的引擎排在第一位，防止一些钓鱼事件的发生，大家也众所周知，我不知道今天有没有百度的人在，只不过有时候排名会影响到使用者，会容易被钓鱼。

互联网安全现状

第二部分讲目前的安全现状。最近每一年都有一些国家的权威机构都会发布一些权威布局，包括一些行业知名的安全公司，也会出现一些安全形式的数据。这一块刚才前面蒋总的文章也提到了，外部的危机从2005年开始，那个时候更多人攻击手段还是基于以前传统的网络层的溜光、去发现断口上有没有问题。但是到了2005年左右开始，因为当时的人、整个社会他们已经认识到我要用防火墙把这些断口防护住。分别把什么东西放在内网里边，通过这个区域网域来控制，这个时候对于黑客来讲，他唯一能入侵的手段就是你对外提供了服务的应用系统。

因为你应用系统掉对外服务，你的断口在防火墙上面必须开启，那么这样攻击者就可以利用你开启了的断口，利用你应用系统自身的弱点，对你的应用系统发起攻击。这是2010年CNCERT的一份统计报表，这份统计报表现实了逐月的篡改。

这一些是网马的情况，我们经常收到一些短信告诉我们推销产品，或者是诈骗的，有时候我们的信息就是因为我们的电脑中了网马，我们自己的信息被人家窃取了等等。

这一块是另外一个统计报告，就是钓鱼。实际上钓鱼这块，从去年上半年中国银行的钓鱼事件出来以后，整个的包括国家大大小小的银行实际上对这一块还是蛮关注的。

漏洞的入侵手段与防范建议

我们目前工作中，整个发现的Web应用产品比较多的、危害比较大的一些漏洞。

第一类——SQL注入。这个SQL注入原理很简单，就是由于客户端的恶意攻击者，他把自己想注入的提交的恶意的参数，到了你的Wed服务器，你的Wed服务器对这个参数没有进行过滤和验证，直接把他的参数就放到了后端的DP服务器做SQL查询，这个时候就产生的注入。

这一块注入，我们看一下注入形式是什么。比如说就像这个地方，本身可以填一个ID，他返回客户端是adimin，我们看源代码原本查询的就要就是这么做的。大家看到这个ID直接从这边就过来了，没有进行过滤措施。这个时候作为我的话，就可以这样的。先加一个大引号，然后提交一下，这个时候就报错了，这个报错并不是应用系统报错了，而是后台的SQL数据库里报错了，报错了以后，应用系统的前台把这个报错直接报到前台给客户看到了。

对于攻击者来讲，这种没闭合或者闭合不闭合对他来讲没有多大意义。我们今天简单演示一下，我们用联合查询，比如说我们查询这张表里所有的信息，这个时候我就会把这张表里所有的数据查出来了，这个只是一个SQL注入的一个最简单的演示，可能SQL注入产生危害有很多。首先他能把数据查出来，能够把数据倒走。

对于这样的漏洞我们有如下一些简单的一些建议。这个建议肯定不完整，也因为本身我们今天只是一个简单的交流，不可能写一个长篇大论，来针对SQL注入说一大篇，我只能说简单的几方面。

第一个，你要检查用户的输入，因为大家都知道HDDP协议是一个纯文本协议，我们有句话讲叫永远不要相信用户的输入，这个输入不管是你他看得见的输入，还是他看不见的输入，这些东西都可以被攻击者作为攻击的参数。因为所有的东西，只要有一个代理工具都可以做到。

第二个，就是要转义用户的输入，把用户的输入进行转义，让他执行不了。

第三个，就是拒绝已经转义过的输入。

第四个，使用参数化的查询。就是JAVA都带这个功能，目前PHP没有怎么研究，这一块可以自动取做的。

第五个，是使用SQL的存储过程。这个方式并不能百分之百避免SQL注入，有一些动态的过程也会触发注入。你完全不能避免，有些地方可能有用你应用的需要，你还真就需要去拼接SQL查询语句，可以不拼接就不要拼接，用这个SQL存储实现。

　　推荐阅读

　　与你亲密接触 ThL深圳西乡体验店盛大开张

以后西乡人体验或者购买ThL手机再也不用跑去华强北那么远了！2月中，ThL西乡体验店正式落户在西乡街道富成路，届时深圳市民又多了一个购机地点选择。据了解，西乡拥有非常好的手机消费氛围，ThL希望借助西乡布局深圳>>>详细阅读

本文标题：安恒刘志乐：“泄密门”带给我们的警示

地址：http://www.lgo100.com/a/kandian/20120305/36966.html

 1/2    1  2 下一页