作者: 网路游侠

张百川(网路游侠) | 游侠安全网站长(前身为“网路游侠的信息与网络安全博客”,51CTO优秀独立博客)。深耕网络安全与数据安全27年,是陕西省信息安全标准化技术委员会委员、数字丝路安全智库专家、榆林市和延安市网络安全专家库专家、机械工业出版社计算机领域专家咨询委员会委员。30余次担任省市级网络安全攻防演习裁判长/专家组长,对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有深入研究。
安全

网路游侠:用网页防篡改和WEB应用防火墙保护网站安全

  前几天也给大家说过WEB应用防火墙,包括软件的和硬件的,今天游侠(https://www.youxia.org)再给大家推荐个产品,当然这个是二合一的,就是:网页防篡改+WEB应用防火墙。比较有特色,好了,废话不说,正文开始:
  安装就跳过了,相信对本文感兴趣的人都可以按照说明书配置。下面只说一些功能。
  产品本身有配置向导,可以让一个新手也可以在1分钟之内轻松的完成网站的默认防护,当然如果要求比较高,可以定制策略,下图就是对网站文件进行防护的一个设置:

  可以看到,可以对文件操作权限进行设置,包括读取、写入、改名、删除等,禁止删除、改名、写入,实际上就实现了网页的防篡改功能。如果是目录的禁止写入,则彻底无法改变网站的任何内容了,适合于需求较高的政府网站。
  当然,可以对某些文件类型设置信任,如.mdb不禁止写入,这样动态网站就可以正常更新。
  可以设置信任进程,对通过信任进程进行的操作进行放行,否则阻断。举个简单的例子:可以通过FlashFXP覆盖,但是无法通过LeapFTP覆盖,这样黑客不知道信任进程,就无法随便进行篡改了。
  
  当然,作为一款合格的网站防护产品,备份功能也是必须的。比如:开机备份、备份加密等。
  上面是对网页防篡改功能进行的介绍,下面介绍网站防护功能,要知道,多数网站被黑是由于自身存在漏洞导致的,那么网站防护功能可以较好的防范自身存在的漏洞,如常见的SQL注入、跨站脚本攻击等。
  我下面配置了一个策略,名称是“www.youxia.org”

  可以配置策略的响应方式:记录且阻止、仅记录、停止。
  下面是策略的详细内容:

  当然,还可以对每个子项进行详细的规则设置,这个就不挨个说了。像跨站脚本、SQL注入等均可设置,亦可设置网站访问的黑白名单。
  下面我分别提交2个语句,一个是注入,一个是跨站,看网站防护系统的阻断功能:

  可以看到均被阻断,并且给出了错误提示。当然,管理员也会看到这个报警提示,登录后台可以看到提示:

  我尝试改变编码和攻击的形式,也均被阻断,防范效果良好。
  相对于单纯的网页防篡改保护系统,本软件提供了抗攻击功能,这样能阻断黑客与服务器之外。
  相对于单纯的WEB应用防火墙软件,本软件提供了防篡改功能,这样即使被入侵也无法篡改网站。
  网路游侠(https://www.youxia.org)推荐采用网页防篡改+WEB应用防护于一体的安全防护软件保护网站安全。

作者:张百川(网路游侠)
网站:https://www.youxia.org
   转载请注明来源!谢谢合作。

网路游侠 2 分钟阅读 0
业界

证券期货业开展信息安全应急演练

  9月8日开始,连续3天,证券期货行业开展信息安全应急演练,检查各核心单位、行业各机构的应急状态和应急能力。3天中,共计267个证券期货机构参加了演练。

  9月8日上午,演练正式开始。

  9月8日9点30分,上海证券交易所监测发现,发生通信故障,有证券公司卫星行情接收失败。上海证券交易所发现故障后,立即启动通信系统应急预案,组织人员迅速排查故障,监控和统计会员行情切换到地面通信情况,初步查明,卫星接收发生故障,地面通信正常,可能影响证券营业部卫星接收行情。

  上海证券通信公司应急指挥中心要求,一方面尽快查明故障原因,联系卫星公司等有关单位,进一步确认情况,另一方面,加强地面系统保障,确保用户切换到备份行情。由于证券经营机构都通过“天”、“地”专线和交易所相连,卫星接收系统出现故障后,地面系统能自动切换,接收行情,没有影响交易。
...

网路游侠 4 分钟阅读 0
随笔

收到了外交部网站的反馈信息

  前几天游侠(https://www.youxia.org)曾经在博客提到,说外交部的网站有跨站脚本漏洞(原文链接:[中国人民共和国外交部网站的一个跨站漏洞],然后从外交部网站找到管理员的邮箱发了一封邮件,今天得到了回复。

  信中说此XSS/CSS问题已经修复,上去看看,依然提交以前的测试语句:

  可以看到,的确已经修复了。外交部网站管理员的效率还是比较高的。
  我说:得到了外交部网站工作人员的表扬;哥们说:得强调下,是书面表扬 🙂
  对外交部网站工作人员的态度表示赞赏,要知道:以前经常发现网站有漏洞,写个木马过去,然后给管理员发邮件说网站存在漏洞,是否需要帮助?人家都不鸟你……除非哪天网站彻底挂掉……

网路游侠 1 分钟阅读 0
安全

网路游侠:某软件版WEB应用防火墙试用

  去年的这个时候,游侠(www.youxia.org)认为WAF都是硬件的,后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF,这样的话,一些服务器在机房托管的用户就特别需要这样的产品,因为1U的设备在电信机房的托管费用都有几千到上万,价格和便捷性的优势一下子就出来了……
  拿到了厂家发过来的测试版,迫不及待的装上试试!
  测试环境:
  ·Windows Server 2003
  ·IIS 6.0
  ·某有漏洞的ASP内容管理系统
  这款软件的WAF部署实际上比较简单的,并且是纯绿色软件……不需要下一步,也不需要点安装协议,直接拷贝文件到某个目录下面,配置权限,在IIS或其它的WEB Server进行相关配置即可,不难,几分钟即可配置好。过程我就不说了,只谈感想。呵呵
  可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大,因为里面写的都是配置文件以及配置说明,不过就像很多人喜欢开源的产品,这样的产品配置太自由了……任何过滤规则都可以自定义!充分体现了便捷性和功能强大多数时候不成正比的道理。
  由于产品基本都是配置文件,我下面贴上几条报警规则,大家看看:

2009-09-11 10:56:49 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 11103 'SQL Injection Attack - 1' ARGS:ArticleID=95%20and%201=2
2009-09-11 10:57:21 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 12101 'Cross-site Scripting (XSS) Attack' ARGS:ArticleID=95<script>alert("youxia")</script>

  报警日期、时间、远程IP、类型、提交路径、攻击类型、提交参数。还是比较详细的。可以看到把我提交的2个语句都给很明确的记录下来了。
  本软件WAF默认攻击语句提交后转到网站首页,对攻击者不会有任何错误提示,并且默认禁止了.mdb等的下载。当然,如果你有别的类型,也可以自己在配置文件里面增加。
  本款软件WAF通过IIS(或其它WEB Server)程序映射方式实现安全防护,没有进程,对系统资源占用较小,对系统资源极度敏感的用户应该很合适用这款软件,另外如果服务器在电信机房托管,选择软件的WAF也相当合适。
  建议厂家增加GUI,这样看网站的报警日志的时候就轻松多了。

作者:张百川(网路游侠)
网站:https://www.youxia.org
   转载请注明来源!谢谢合作。

网路游侠 3 分钟阅读 0
安全

网路游侠:使用WEB应用防火墙保护网站安全

  其实这台WEB应用防火墙(WAF)在公司放了很久了,平时看看,但是基本没有静下心来仔细看看。现在到下班还有半个小时,粗略的过一下吧,看看WAF的功能。
  实际上WAF和传统防火墙的区别比较大,比如传统防火墙一般通过对IP和Port的过滤实现安全性,而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断,如SQL注入攻击、XSS攻击等,下面我举例子看WAF是如何对网站进行防护的。
  网络的拓扑是这样的:

  我用的是笔记本电脑,通过交换机到WEB服务器,在服务器前我串接了WAF,是透明接入。说一句:我用的这台WAF透明接入,一个网卡是in,一个网卡是out,还有一个Admin口,部署相当便捷,可以说5分钟就可以调试。用Console线设置下IP地址,就可以通过Admin口用浏览器访问了。
  我关闭了WAF的阻断功能,就是说,现在虽然WAF部署在WEB服务器前,但是是不对网站进行防护的。然后找了一套企业网站CMS程序,服务器是Windows 2003 + IIS,为了省事,程序理所当然的选择的ASP的。下面我们看看演示,下图是用明小子Domain的扫描结果,提示有注入漏洞:

  找一个连接,复制到浏览器,手工输入个判断SQL注入的语句看看:

  说找不到产品,实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试,这个不用游侠我多说。我们下面开启WEB应用防火墙:

  开启了WAF后,我们尝试下SQL注入,手工就OK了。

  看到了吧?并没有出现什么提示,而是被WAF直接就阻断掉了。
  登录WAF看看报警提示:

  攻击IP、时间,攻击的形式,都可以展现在管理员面前。
  点击报警的记录,还可以展现更详细的内容:

  WAF对攻击的四种处理方式:检测、阻断、直接放行、丢弃
  当然,阻断SQL注入攻击仅仅是WAF的一个小功能,其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略,大家可以看看,手头这个设备的策略还是比较丰富的。

  本款WAF支持WEB缓存加速,并且配置非常简单。大家看下图:

  只需要开启就可以了,并且鼠标放到“?”图标上就可以看到即时帮助,这个还是很人性化的。

  不得不说的还有报表功能,除了可以自定义时间段、攻击类型、IP地址等等常见的功能,导出功能也比较强大,还有我比较喜欢的PDF和PPT类型,不得不说是比较人性化。下面是生成的一份图形报告:
  
  好了,WEB应用防火墙就介绍到这里,近期会介绍数据库审计与风险控制系统,敬请关注张百川(网路游侠)的博客(https://www.youxia.org)!

作者:张百川(网路游侠)
网站:https://www.youxia.org
   转载请注明来源!谢谢合作。

网路游侠 3 分钟阅读 0
安全

Web应用防火墙(WAF,Web Application Firewall)入门

Web应用防火墙正日趋流行,过去这些工具被很少数的大型项目垄断,但是,随着大量的低成本产品的面市以及可供选择的开源试用产品的出现,它们最终能被大多数人所使用。在这篇文章中,先向大家介绍Web应用防火墙能干什么,然后快速的概览一下Web应用防火墙最有用的一些特征。通过这篇文章的阅读,大家能清楚地了解web应用防火墙这个主题,掌握相关知识。

什么是web应用防火墙?

    有趣的是,还没有人能真正知道web应用防火墙究竟是什么,或者确切的说,还没有一个大家认可的精确定义。从广义上来说,Web应用防火墙就是一些增强 Web应用安全性的工具。然而,如果我们要深究它精确的定义,就可能会得到更多的疑问。因为一些Web应用防火墙是硬件设备,一些则是应用软件;一些是基于网络的,另一些则是嵌入WEB服务器的。

...

网路游侠 6 分钟阅读 0
文摘

Web Application Firewall Evaluation Criteria

IntroductionWeb Application Firewalls (WAF) represent a new breed of information security technology that is designed to protect web sites (web applications) from attack. WAF solutions are capable of

网路游侠 65 分钟阅读 0
安全

网路游侠:网上应用安全扫描平台试用

X-Scan、流光偏重于主机系统扫描,但现在WEB服务器、数据库服务器、业务服务器前一般都部署了防火墙、入侵检测等系统,因此并不容易扫描出有效的漏洞。因此,网上应用安全扫描平台应运而生。

网路游侠 2 分钟阅读 0
安全

WinManager内网安全管理和文档加密管理系统

WinManager内网安全管理,文档安全加密专业研发厂商,三大功能模块:

1、网络行为管理:
A、上网行为管理:例如:禁止上班上无关的网站。如ebay、游戏网等;
B、应用程序管理: 例如:上班不能用QQ、MSN;
对于所有的上网、程序应用都有记录,可以做出柱状图统计;
C、邮件记录备份;
D、QQ、MSN 、Skype、淘宝旺旺聊天记录取
E、 屏幕记录:对每一台电脑屏幕进行录像。
例如:可以落实公司上班不能上网、聊天的管理制度

2、文档安全管理:
A、通过阻断存储设备: U盘、软盘、光驱刻录机等防止信息外泄;
...

网路游侠 2 分钟阅读 0
随笔

中国人民共和国外交部网站的一个跨站漏洞

  中华人民共和国外交部网站 http://www.fmprc.gov.cn
  这个XSS漏洞不难利用,问题在 search.jsp 文件过滤不严格,且没有过滤post提交的数据,我们看看攻击的截图:

  或者这个:

  当然,用来做点别的也行……
  测试链接:

http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>

  或在:
  http://www.fmprc.gov.cn/wjb/search.jsp
  搜索框中输入:

<script>alert('youxia')</script>

网路游侠 1 分钟阅读 0
安全

使用数据库扫描系统评估数据库的安全性

  本文使用的是从某数据库安全厂家获取的数据库扫描系统,版本不是最新的,不过应该可以代表产品的设计思路和其在相关领域的技术实力。
  数据库扫描的初期,一般都是确认评估范围,本产品也不例外。添加任务有两种方法:一是直接输入数据库的详细信息,二是对网络进行扫描,确认网内数据库的总量。

  相对于网上Nessus、NMAP等评估工具,本款数据库扫描产品更像是一款安全测试工具,因为在对数据库进行安全评估的时候,不但要输入通用的IP、端口,更要输入数据库系统的账号,甚至操作系统的账号(这样就可以审核用系统账号登录数据库系统情况下的安全性)。
  扫描速度理所当然的相当快,因为就技术而言,数据库的漏洞并不像主机那么多,检测项目也没有那么多,因此速度较快。下面是评估报告,当然这仅仅是主要描述部分,并不是细节描写。

  下图是数据库扫描系统的一些检测项,应该说基本覆盖了数据库安全检查项的绝大多数。

  下面是一个细节的描述,描述名称为“审计级别设置”:

漏洞描述:
    检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录,成功还是失败,连接是标准的还是信任的,时间和日期等信息。正确设置审计级别可以用来严格检测过期登录,登录攻击,违反登录时间。
漏洞来源:
    审计是数据库管理系统安全性重要的一部分,通过审计,凡是与数据库安全性相关的操作可被记录下来,只要检测审计记录,系统安全员就可以掌握数据库被使用状况。如何设置审计的级别:不审计、成功审计、失败审计、全部审计。
修复建议:
    更改审计级别。 对于SQL Server 6.x(使用企业管理器): 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000(使用企业管理器): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005(使用SQL Server Management Studio): 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别

  漏洞描述、漏洞来源、修复建议,都比较的详细,可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
  当然,相对于某些数据库扫描系统不支持MySQL(为什么不支持MySQL?因为多数人用的是免费版?),本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库,我手头的这版本没有DB/2和Infomix的支持,不知道新版本是否支持?
  总的来说,产品是不错的,特别是在市场上数据库漏洞扫描产品很少,等级保护和分级保护又明确了数据库安全的情况下,本产品应该很有市场。

作者:网路游侠 https://www.youxia.org
   转载请注明来源!谢谢合作。

网路游侠 3 分钟阅读 0
业界

AceNet公司中国区技术总监官宇演讲


图为:下一代网络融合与发展中国峰会现场,AceNet公司中国区技术总监官宇演讲。(胡秀岩/摄 新浪网)

  2009年8月23-24日,下一代网络融合与发展中国峰会(CNCS)在北京京都信苑宾馆召开,会议由国家广播电视电影总局指导,中

网路游侠 11 分钟阅读 0
程序

“安鼎数据库安全访问中间件”简介

  概述
  安鼎数据库安全访问中间件是为增强普通关系数据库管理系统的安全性而设计开发的,旨在提供一个安全适用的数据库加密平台,对通信和数据库存储的内容实施有效保护。
  该系统中通过通信加密、数据库存储加密等安全方法实现了数据库数据存储和通信的保密和完整性要求。具有自主知识产权的加密算法和密文查询算法在保证安全性的同时兼顾了系统的效率,使数据库的加密达到实用化水平。
  系统采用开放的体系结构,支持标准SQL语句,提供了ODBC、OLEDB和JDBC支持,也提供调用级接口(CLI)。
  系统已经运行的平台有AIX、Solaris、Sco Open Server、Linux、Windows NT/2000/XP,支持的数据库管理系统有DB2、Oracle、Sybase、Microsoft SQL Server。
...

网路游侠 3 分钟阅读 0