范渊：Web应用与数据库安全剖析(1)

2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天，在分会之“网络安全新技术”会上，网络安全专家范渊发表了关于Web应用与数据库安全剖析的演讲。 以下是网络安全专家范渊发言实录：

主持人贾焰：感谢杨哲先生，下一位演讲嘉宾是范渊先生，他演讲的主题是Web应用与数据库安全剖析。

范渊：谢谢主持人。各位网络安全同仁下午好!

我是OWASP中国区的副会长，今天花一些时间讲讲Web实际处理案例和当中的工作经验交流，算不上剖析，如果大家关注这个领域的话，应该会有一定的实用价值，我参与了北京奥组委关于网站安全和数据库安全的评估和加固。

现在，通过网站安全进行挂马是黑客产业链最核心的一个主要部分，网站空间战在美国02、03年就被经常提及，CYBERWAR去年已经开始浮现水面，比较体系化了。

在国内，无论从政府、银行、教育还是运营商，相信大家从媒体上可以获知各式各样的案例。我在这里讲一个案例，国庆60周年公安部进行安全大检查，基本上50%的政府网站都存在严重安全漏洞，从安全风险的比例来讲占37.04%，也是非常严重的。在某省全省商业银行网站安全调研也是配合国庆60周年所做的检测，网银也非常关注网络安全漏洞，但查出的漏洞比例还是比较高的。

运营商也知道，内部黑手频频探囊安全网络—，“没有密码”的充值卡，很多人在免费打电话，其他的情况就不多说了。

去年的网络群注是一种目前最流行的利用网站应用程序漏洞进行对数据库以及服务器进行攻击的手段，这种攻击可能是窃取数据，插入数据，篡改数据，删除数据或者执行任意命令以致直接控制服务器。它的原理是对后台数据库中所有的字符型字段全部插入某段脚本，这个脚本是带有木马执行的脚本，在我们的检测中，发现有一台肉鸡对这个网站进行攻击，后来我们也攻入了那台肉鸡，发现这台计算机工具也有很多的配置文件，如利用google发现大批能够进入攻击的目标点，然后把已经编辑好的脚本注入进去。其实，他们使用的工具并不复杂，但前后两次造成全球将近十万个网站受到侵袭。

OWASP组织是一个国外开放社群、非营利性组织，在全球有130多个分会，近万名会员;主要目标是研议协助解决Web应用安全标准、工具与技术，致力于协助政府、企业了解并改善应用安全。OWASP国际影响力比较大，美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则。

目前OWASP有30多个进行中的安全项目，主要包括OWASPTop10、webgoat等，OWASP中国分会致力于这些开源项目的引入以及研究，并通过各种渠道在国内安全行业内共享。同时，也欢迎更多的人参与以及加入OWASP中国分会，共同推动国内应用安全领域方面的研究。

OWASP最近正在做的事情是OWASP测试指南，也花了很多的精力，我、OWASP的会长和一个八级英语翻译致力于将测试指南完全消化，并且争取将测试指南尽快奉献给大家，不涉及到任何的费用。

OWASP测试指南目录章节：前沿、信息收集、配置管理测试、认证测试、会话管理测试、授权测试、数据验证测试、业务逻辑测试、拒绝服务测试、网络服务测试、AJAX测试。还包含开发前、开发中、运行后的维护等，包含了很多的经验在里面，这两天也和大家在交流，OWASP一方面比较新，但另一方面确实会涉及到白服和黑服的防护，以及事后的应急处理，我认为是不可或缺的，测试内容比较多，章节也比较多，花了很多的精力。

去年是OWASP在台湾举行亚洲峰会，规模也很大，OWASP组织得好的话，完全可以组织不同的分会场，进行细致地交流。计划在2010年4-5月份会举行OWASP亚洲峰会，到时也会邀请国外国内的专家到一起交流，分别在台湾、北京举行。

Web攻击悄然无声，传统的防火墙、防病毒几乎没有触及，对于防火墙来说必须打开STTP80和STTPS，在这个范围内发起的所有攻击都会变得比较容易。
如果有需要服务器的租用与托管的敬请联系QQ：１５０１２８１７５８（亿恩星辰）　　　联系电话：０３７１—６３３２２２２０

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]