游侠安全网

　　去年的这个时候，游侠(www.youxia.org)认为WAF都是硬件的，后来在网上看到这个在国内做的不错的牌子。居然是软件的WAF，这样的话，一些服务器在机房托管的用户就特别需要这样的产品，因为1U的设备在电信机房的托管费用都有几千到上万，价格和便捷性的优势一下子就出来了……
　　拿到了厂家发过来的测试版，迫不及待的装上试试！
　　测试环境：
　　·Windows Server 2003
　　·IIS 6.0
　　·某有漏洞的ASP内容管理系统
　　这款软件的WAF部署实际上比较简单的，并且是纯绿色软件……不需要下一步，也不需要点安装协议，直接拷贝文件到某个目录下面，配置权限，在IIS或其它的WEB Server进行相关配置即可，不难，几分钟即可配置好。过程我就不说了，只谈感想。呵呵
　　可能不大懂WEB Server配置的人看到软件的说明书会感觉有点头大，因为里面写的都是配置文件以及配置说明，不过就像很多人喜欢开源的产品，这样的产品配置太自由了……任何过滤规则都可以自定义！充分体现了便捷性和功能强大多数时候不成正比的道理。
　　由于产品基本都是配置文件，我下面贴上几条报警规则，大家看看：

2009-09-11 10:56:49 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 11103 'SQL Injection Attack - 1' ARGS:ArticleID=95%20and%201=2
2009-09-11 10:57:21 critical 192.168.1.120 GET /ArticleShow.asp 192.168.1.121 80 12101 'Cross-site Scripting (XSS) Attack' ARGS:ArticleID=95<script>alert("youxia")</script>


　　报警日期、时间、远程IP、类型、提交路径、攻击类型、提交参数。还是比较详细的。可以看到把我提交的2个语句都给很明确的记录下来了。
　　本软件WAF默认攻击语句提交后转到网站首页，对攻击者不会有任何错误提示，并且默认禁止了.mdb等的下载。当然，如果你有别的类型，也可以自己在配置文件里面增加。
　　本款软件WAF通过IIS（或其它WEB Server）程序映射方式实现安全防护，没有进程，对系统资源占用较小，对系统资源极度敏感的用户应该很合适用这款软件，另外如果服务器在电信机房托管，选择软件的WAF也相当合适。
　　建议厂家增加GUI，这样看网站的报警日志的时候就轻松多了。

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

相信圈子里面的朋友都知道WebRavor了，如果你不知道WebRavor，你总该知道大名鼎鼎的“流光Fluxay”吧？——是的，Fluxay和WebRavor出自一人之手——小榕。

　　其实这台WEB应用防火墙（WAF）在公司放了很久了，平时看看，但是基本没有静下心来仔细看看。现在到下班还有半个小时，粗略的过一下吧，看看WAF的功能。
　　实际上WAF和传统防火墙的区别比较大，比如传统防火墙一般通过对IP和Port的过滤实现安全性，而WAF则是通过对数据包的深层检测实现WEB攻击的检测和阻断，如SQL注入攻击、XSS攻击等，下面我举例子看WAF是如何对网站进行防护的。
　　网络的拓扑是这样的：

　　我用的是笔记本电脑，通过交换机到WEB服务器，在服务器前我串接了WAF，是透明接入。说一句：我用的这台WAF透明接入，一个网卡是in，一个网卡是out，还有一个Admin口，部署相当便捷，可以说5分钟就可以调试。用Console线设置下IP地址，就可以通过Admin口用浏览器访问了。
　　我关闭了WAF的阻断功能，就是说，现在虽然WAF部署在WEB服务器前，但是是不对网站进行防护的。然后找了一套企业网站CMS程序，服务器是Windows 2003 + IIS，为了省事，程序理所当然的选择的ASP的。下面我们看看演示，下图是用明小子Domain的扫描结果，提示有注入漏洞：

　　找一个连接，复制到浏览器，手工输入个判断SQL注入的语句看看：

　　说找不到产品，实际上输入关键词继续用工具注入是可以扫描出用户名、密码的。相信诸位也经常做WEB渗透测试，这个不用游侠我多说。我们下面开启WEB应用防火墙：

　　开启了WAF后，我们尝试下SQL注入，手工就OK了。

　　看到了吧？并没有出现什么提示，而是被WAF直接就阻断掉了。
　　登录WAF看看报警提示：

　　攻击IP、时间，攻击的形式，都可以展现在管理员面前。
　　点击报警的记录，还可以展现更详细的内容：

　　WAF对攻击的四种处理方式：检测、阻断、直接放行、丢弃
　　当然，阻断SQL注入攻击仅仅是WAF的一个小功能，其它的像XSS、Cookies也都可以搞定。下图是我选择的一部分自带策略，大家可以看看，手头这个设备的策略还是比较丰富的。

　　本款WAF支持WEB缓存加速，并且配置非常简单。大家看下图：

　　只需要开启就可以了，并且鼠标放到“？”图标上就可以看到即时帮助，这个还是很人性化的。

　　不得不说的还有报表功能，除了可以自定义时间段、攻击类型、IP地址等等常见的功能，导出功能也比较强大，还有我比较喜欢的PDF和PPT类型，不得不说是比较人性化。下面是生成的一份图形报告：
　　
　　好了，WEB应用防火墙就介绍到这里，近期会介绍数据库审计与风险控制系统，敬请关注张百川（网路游侠）的博客（https://www.youxia.org）！

作者：张百川（网路游侠）
网站：https://www.youxia.org
　　　转载请注明来源！谢谢合作。

Web应用防火墙正日趋流行，过去这些工具被很少数的大型项目垄断，但是，随着大量的低成本产品的面市以及可供选择的开源试用产品的出现，它们最终能被大多数人所使用。在这篇文章中，先向大家介绍Web应用防火墙能干什么，然后快速的概览一下Web应用防火墙最有用的一些特征。通过这篇文章的阅读，大家能清楚地了解web应用防火墙这个主题，掌握相关知识。

什么是web应用防火墙？

    有趣的是，还没有人能真正知道web应用防火墙究竟是什么，或者确切的说，还没有一个大家认可的精确定义。从广义上来说，Web应用防火墙就是一些增强 Web应用安全性的工具。然而，如果我们要深究它精确的定义，就可能会得到更多的疑问。因为一些Web应用防火墙是硬件设备，一些则是应用软件；一些是基于网络的，另一些则是嵌入WEB服务器的。

...

IntroductionWeb Application Firewalls (WAF) represent a new breed of information security technology that is designed to protect web sites (web applications) from attack. WAF solutions are capable of

X-Scan、流光偏重于主机系统扫描，但现在WEB服务器、数据库服务器、业务服务器前一般都部署了防火墙、入侵检测等系统，因此并不容易扫描出有效的漏洞。因此，网上应用安全扫描平台应运而生。

WinManager内网安全管理，文档安全加密专业研发厂商，三大功能模块：

1、网络行为管理：
A、上网行为管理：例如：禁止上班上无关的网站。如ebay、游戏网等；
B、应用程序管理： 例如：上班不能用QQ、MSN；
对于所有的上网、程序应用都有记录，可以做出柱状图统计；
C、邮件记录备份；
D、QQ、MSN 、Skype、淘宝旺旺聊天记录取
E、 屏幕记录：对每一台电脑屏幕进行录像。
例如：可以落实公司上班不能上网、聊天的管理制度

2、文档安全管理：
A、通过阻断存储设备： U盘、软盘、光驱刻录机等防止信息外泄；
...

　　中华人民共和国外交部网站 http://www.fmprc.gov.cn
　　这个XSS漏洞不难利用，问题在 search.jsp 文件过滤不严格，且没有过滤post提交的数据，我们看看攻击的截图：

　　或者这个：

　　当然，用来做点别的也行……
　　测试链接：

http://www.fmprc.gov.cn/wjb/search.jsp?searchword=<script>alert('youxia')</script>


　　或在：
　　http://www.fmprc.gov.cn/wjb/search.jsp
　　搜索框中输入：

<script>alert('youxia')</script>

　　本文使用的是从某数据库安全厂家获取的数据库扫描系统，版本不是最新的，不过应该可以代表产品的设计思路和其在相关领域的技术实力。
　　数据库扫描的初期，一般都是确认评估范围，本产品也不例外。添加任务有两种方法：一是直接输入数据库的详细信息，二是对网络进行扫描，确认网内数据库的总量。

　　相对于网上Nessus、NMAP等评估工具，本款数据库扫描产品更像是一款安全测试工具，因为在对数据库进行安全评估的时候，不但要输入通用的IP、端口，更要输入数据库系统的账号，甚至操作系统的账号（这样就可以审核用系统账号登录数据库系统情况下的安全性）。
　　扫描速度理所当然的相当快，因为就技术而言，数据库的漏洞并不像主机那么多，检测项目也没有那么多，因此速度较快。下面是评估报告，当然这仅仅是主要描述部分，并不是细节描写。

　　下图是数据库扫描系统的一些检测项，应该说基本覆盖了数据库安全检查项的绝大多数。

　　下面是一个细节的描述，描述名称为“审计级别设置”：

漏洞描述：
    检查审计级别是否符合安全策略。你可以设置Microsoft SQL Server提供登录成功或失败的审计跟踪记录。审计日志提供哪个登录ID尝试登录，成功还是失败，连接是标准的还是信任的，时间和日期等信息。正确设置审计级别可以用来严格检测过期登录，登录攻击，违反登录时间。
漏洞来源：
    审计是数据库管理系统安全性重要的一部分，通过审计，凡是与数据库安全性相关的操作可被记录下来，只要检测审计记录，系统安全员就可以掌握数据库被使用状况。如何设置审计的级别：不审计、成功审计、失败审计、全部审计。
修复建议：
    更改审计级别。 对于SQL Server 6.x（使用企业管理器）： 1.右击服务 2.从弹出菜单中选择设置 3.选择安全选项页 对于SQL Server7.0和2000（使用企业管理器）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别 对于SQL Server 2005（使用SQL Server Management Studio）： 1.右击服务 2.选择属性选项 3.选择安全页更改审计级别


　　漏洞描述、漏洞来源、修复建议，都比较的详细，可以指导数据库管理员对数据库进行有效的检查、审核数据库系统的安全性。
　　当然，相对于某些数据库扫描系统不支持MySQL（为什么不支持MySQL？因为多数人用的是免费版？），本软件支持Microsoft SQL Server、Oracle、MySQL、Sybase数据库，我手头的这版本没有DB/2和Infomix的支持，不知道新版本是否支持？
　　总的来说，产品是不错的，特别是在市场上数据库漏洞扫描产品很少，等级保护和分级保护又明确了数据库安全的情况下，本产品应该很有市场。

作者：网路游侠 https://www.youxia.org
　　　转载请注明来源！谢谢合作。

图为：下一代网络融合与发展中国峰会现场，AceNet公司中国区技术总监官宇演讲。（胡秀岩/摄 新浪网）

　　2009年8月23-24日，下一代网络融合与发展中国峰会(CNCS)在北京京都信苑宾馆召开，会议由国家广播电视电影总局指导，中

千言万语也胜不过一张截图啊

最近事情多，博客更新少了……
当然一部分精力放在了新站：
http://www.cnciso.com
欢迎访问网路游侠的新站！
当然，CNCISO是准备和圈里面朋友合作
网路游侠的信息与网络安全博客
https://www.youxia.org
依然会在闲暇时间更新
并且，下一步将以原创作品为主
感谢关注！

　　概述
　　安鼎数据库安全访问中间件是为增强普通关系数据库管理系统的安全性而设计开发的，旨在提供一个安全适用的数据库加密平台，对通信和数据库存储的内容实施有效保护。
　　该系统中通过通信加密、数据库存储加密等安全方法实现了数据库数据存储和通信的保密和完整性要求。具有自主知识产权的加密算法和密文查询算法在保证安全性的同时兼顾了系统的效率，使数据库的加密达到实用化水平。
　　系统采用开放的体系结构，支持标准SQL语句，提供了ODBC、OLEDB和JDBC支持，也提供调用级接口（CLI）。
　　系统已经运行的平台有AIX、Solaris、Sco Open Server、Linux、Windows NT/2000/XP，支持的数据库管理系统有DB2、Oracle、Sybase、Microsoft SQL Server。
...

　　2009年8月14日，中国互联网管理领导厂商网康科技与联想控股联合宣布：联想控股正式成为网康科技的战略投资者。同时，高原资本作为网康科技A轮融资的领投者此次又追加投资，成为B轮的共同投资者。而在2008年3月，网康科技刚刚完成A轮融资，获得由高原资本与住友商事亚洲资本联手注资的600万美元。
　　作为联想集团、神州数码等着名IT公司的母公司，联想控股此次成为了领投者。据网康科技CEO袁沈钢介绍：“联想控股成为网康科技的战略投资人，不仅带来了资本，还会在品牌、渠道、管理、人才等多个方面帮助网康科技迅速成长”。
...

　　很长一段时间以来就想做一个安全类的网站了，虽然自己的博客也算其中一员，不过依然不大气，感觉总是我自己在自言自语，没什么意思，还是人多了热闹一些！
　　今天没去见客户，也没什么很要紧的事情，就抓紧把这件事情办了……注册了个新域名：www.cnciso.com 分为两部分：CN+CISO，CN=中国，CISO=首席信息安全官。当作一个信息与网络安全的娱乐场所吧，当然，就目前来说是个“玩玩”的网站，将来必然是一个以技术为主的网站。
　　网站是用UCenter Home架设的，当然同时安装了Discuz BBS，可能还会增加SupeSite。这样，有社会化网络、有论坛、有内容管理系统，比较完整，不过做的太大了，自己未必有时间照管，还是得靠兄弟们捧场了。
　　在UCenter Home的后台，还看到了这个东东还能直接调用sina、sohu、163等信箱的联系人列表，然后群发邮件，不错的东东……嘿嘿。

　　实际上想法很多的，但是自己能力实在有限，并且时间抽不出来……一天要是240个小时就好了。呵呵

　　进入网络时代，保密工作难度大大提高。面对信息安全所面临的严峻形势，国家保密局、中保委相继出台信息安全要求，明确规定涉密计算机信息系统必须与国际互联网或其他公共信息网实行物理隔离。传统的双网隔离技术，是通过插入硬件隔离卡来实现的。但是这种硬件隔离卡只实现了硬盘的物理隔离，给双网间信息安全留下了漏洞。同时，其繁琐的切换程序和缓慢的切换速度也备受诟病。
　　针对用户的安全需求，方正科技推出了新一代的双网隔离计算机——君逸M580双网隔离机，它采用最近的整机隔离技术研发而成，具有“双网快速切换”、“实时在线”、“安全易用”和“高兼容性”等特色，能够达到“网内网外，安全畅享”的效果。君逸M580双网隔离机，实现了内外网的整机物理隔离，将业内最先进的安全技术带给高端商用PC用户，能帮助政府、企业、军工、金融客户等行业的用户构建高效、安全、可靠的信息化平台。
...