论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 46 篇帖子 ]  前往页数 1, 2, 3, 4  下一页
作者 内容
 文章标题 : 关于SQL注入漏洞和跨站点攻击漏洞看法
帖子发表于 : 2008-08-07 09:25 
离线
中级用户

注册: 2008-06-04 13:30
最近: 2016-04-28 09:50
拥有: 26.80 安全币

奖励: 0 安全币
在线: 1295 点
帖子: 71
SQL注入漏洞和跨站点攻击漏洞是web应用的两个最主要漏洞,大部分攻击来源于此,可以说防不胜防。只要使用SQL语句,就可能产生SQL 注入漏洞;只要是CGI程序,只要允许用户输入,就可能存在跨站脚本攻击漏洞。所以用户每次利用工具扫描时,都会出现相应的漏洞,每次发现的漏洞打上补丁后,如果用户的扫描工具升级或者使用其他不同的扫描软件还会出现新的漏洞。就连微软、ORACLE、IBM、CISCO等厂商的应用软件也都会不断爆出这样那样的安全漏洞;就连google、sina、yahoo等门户网站也不时被发现存在SQL注入漏洞和跨站点攻击漏洞,更不用说其他应用系统了。如果说应用系统做的比较完美的话,也就不再需要防毒软件和防火墙了,大部分安全厂商还不得饿死。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-08-07 10:54 
离线
中级用户

注册: 2008-06-04 13:30
最近: 2016-04-28 09:50
拥有: 26.80 安全币

奖励: 0 安全币
在线: 1295 点
帖子: 71
这也不是说针对这些漏洞我们就束手无策了,经过我们的努力还是有办法把这些漏洞尽可能的减少或者隐藏起来,或者即使有漏洞存在也不会被利用,而造成实质性的危害。


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-08-07 11:53 
离线
版主

注册: 2005-03-05 09:28
最近: 2015-07-18 20:44
拥有: 4,166.30 安全币

奖励: 620 安全币
在线: 4182 点
帖子: 310
楼主就像绝大多数人一样,以为漏洞主要就是sql注入和跨站,事实上对于有点经验的渗透者们来说,98%以上的高难度渗透都是利用其他应用软件自身特有的漏洞入侵的,比如各种大小公司的软件产品,如websphere、resin、db2、weblogic、db2、lotus domino、trs等等都有不同的严重漏洞,而注入和跨站应用到的却很少。或者可以这么说,很多人只是会用些扫描工具或就主要用用注入,其实连入门都远远谈不上。


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-10 16:34 
离线
新手

注册: 2005-12-20 16:41
最近: 2009-12-30 13:47
拥有: 592.70 安全币

奖励: 0 安全币
在线: 810 点
帖子: 12
这两类问题,早以前就大概知道怎么回事,但是以前没人关注,没有人利用,自然就没有人关注,没有人提需求,业务需求还忙不过来呢
直到奥运之前,第三方给我们出了一份评估报告,才开始有人关注,其实领导才不管具体什么问题,他们也不懂,只要一听说有漏洞,就敏感,就紧张,奥运期间千万不能出事。


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-10 16:42 
离线
新手

注册: 2005-12-20 16:41
最近: 2009-12-30 13:47
拥有: 592.70 安全币

奖励: 0 安全币
在线: 810 点
帖子: 12
关于跨占脚本,我理解对应用本身,或者说对网站平稳运行是不构成任何威胁的,主要是对网站的合法用户会构成威胁,对网站的声誉有影响,所以知名度大影响大的网站可能受到的威胁更大一些。
SQL注入对应用确实是有切身危害的,比较危险


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-10 16:52 
离线
新手

注册: 2005-12-20 16:41
最近: 2009-12-30 13:47
拥有: 592.70 安全币

奖励: 0 安全币
在线: 810 点
帖子: 12
解决的办法:
跨站,我们是在应用前端加了一个过滤器,过滤一些明显的非法字符,理论上来说能够屏蔽一部分问题,但是不能保证彻底杜绝,我觉得也很难杜绝
注入的问题,我们把应用中大部分数据库访问的方式改成了PreparedStatement方式


--------本帖迄今已累计获得39安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-16 15:31 
离线
超级用户

注册: 2008-09-01 12:50
最近: 2013-04-28 13:28
拥有: 1,308.20 安全币

奖励: 587 安全币
在线: 1742 点
帖子: 400
SQL INJECT在实施的时候需要攻击者手动的去做些嗅探,通过被攻击系统反馈的数据来找注入点,那么在这个过程中,阻断系统反馈出去的这些数据是应该是能够对攻击过程起到一定的防御作用。
就像NETCONTINUUM的WEB防火墙一样,对服务器的类型、OS类型、版本号等信息作隐藏。


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-16 16:32 
离线
顶级用户

注册: 2008-05-24 12:30
最近: 2017-12-08 17:30
拥有: 17,885.90 安全币

奖励: 15292 安全币
在线: 22248 点
帖子: 943
nzw4fun 写道:
SQL INJECT在实施的时候需要攻击者手动的去做些嗅探,通过被攻击系统反馈的数据来找注入点,那么在这个过程中,阻断系统反馈出去的这些数据是应该是能够对攻击过程起到一定的防御作用。
就像NETCONTINUUM的WEB防火墙一样,对服务器的类型、OS类型、版本号等信息作隐藏。


Web防火墙?能大概说一下原理么?是修改HTTP应答中Server字段的有关信息么? 可是目前好多软件能根据多个条件综合判断服务器的有关信息,这些Web防火墙能阻止泄漏么?


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-16 17:37 
离线
超级用户

注册: 2008-09-01 12:50
最近: 2013-04-28 13:28
拥有: 1,308.20 安全币

奖励: 587 安全币
在线: 1742 点
帖子: 400
odyssey 写道:
nzw4fun 写道:
SQL INJECT在实施的时候需要攻击者手动的去做些嗅探,通过被攻击系统反馈的数据来找注入点,那么在这个过程中,阻断系统反馈出去的这些数据是应该是能够对攻击过程起到一定的防御作用。
就像NETCONTINUUM的WEB防火墙一样,对服务器的类型、OS类型、版本号等信息作隐藏。


Web防火墙?能大概说一下原理么?是修改HTTP应答中Server字段的有关信息么? 可是目前好多软件能根据多个条件综合判断服务器的有关信息,这些Web防火墙能阻止泄漏么?


我看的是NETCONTINUUM的PPT,我推断也就是一个特征库的匹配规则吧,当指定的需要保护的服务器向互联网回应数据的时候,WEB防火墙就对数据进行分析,查看是否有泄漏一些服务器信息的行为,比如说在做SQL注入的时候对一个网页做些ADDR试探,服务器会回馈些报错信息,那么攻击者很有可能通过这些报错获得一些重要的可利用的信息,如果WEB防火墙在收到服务器反馈该报错信息的时候直接阻断掉,而代替服务器去发布个预设的报错信息,这样就阻断了一种获得服务器系统的漏洞的途径,当然这是我个人的理解,不一定正确,望高人指点,呵呵


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-18 07:47 
离线
高级用户

注册: 2005-12-22 23:23
最近: 2012-02-12 21:37
拥有: 2,059.80 安全币

奖励: 137 安全币
在线: 2129 点
帖子: 176
地址: 北京
如果仅仅是屏蔽报错信息的话,通过web服务器的设置就能实现;但是无法解决sql盲注的问题。


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-18 09:36 
离线
超级用户

注册: 2008-09-01 12:50
最近: 2013-04-28 13:28
拥有: 1,308.20 安全币

奖励: 587 安全币
在线: 1742 点
帖子: 400
意思就是说攻击者通过经验来对想要进行注入的站点进行一些猜测和尝试?但是这样的困难度就提高了不少,至少攻击的门栏就有所提高。:lol: WEB应用防火墙一般还是带有一些诸如SQL INJECT、XSS、UNICODE ATTRACK这些流检测功能的,对此类的威胁还是有着不错的防范作用的。 :D


--------本帖迄今已累计获得21安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-20 11:09 
离线
顶级用户

注册: 2008-05-24 12:30
最近: 2017-12-08 17:30
拥有: 17,885.90 安全币

奖励: 15292 安全币
在线: 22248 点
帖子: 943
在IT专家网看到的一款WEB防火墙的介绍:
工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势

  •对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升

  •预期数据的完整知识(Complete Knowledge of expected values),防止各种形式的SQL/命令注入,跨站式脚本攻击

  •实时策略生成及执行,根据应用程序定义相应的保护策略,而不是一般的厂家预定义防攻击策略,无缝嵌合政府网站的直接应用程序,不造成任何应用失真


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-20 11:11 
离线
顶级用户

注册: 2008-05-24 12:30
最近: 2017-12-08 17:30
拥有: 17,885.90 安全币

奖励: 15292 安全币
在线: 22248 点
帖子: 943
感觉主要防范
1 规范HTTP协议的流程
2 检查用户输入
看来一切都是基于对Web应用的深刻理解上,看来以后信息安全的一个重要趋势是“应用为王”了,看来要及早选择一个有前途的应用领域钻进去了


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-20 11:53 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,767.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
l0pht 写道:
楼主就像绝大多数人一样,以为漏洞主要就是sql注入和跨站,事实上对于有点经验的渗透者们来说,98%以上的高难度渗透都是利用其他应用软件自身特有的漏洞入侵的,比如各种大小公司的软件产品,如websphere、resin、db2、weblogic、db2、lotus domino、trs等等都有不同的严重漏洞,而注入和跨站应用到的却很少。或者可以这么说,很多人只是会用些扫描工具或就主要用用注入,其实连入门都远远谈不上。


毕竟sql注入和跨站是数量上最多的攻击形式。当前属于应当着重防护的和使用者关心的;
至于常用WEB应用的漏洞,做得好的,也可以在前端弥补部分这类缺陷;
虽然100%防护不可能,但是由此还可以提供攻击着尝试的信息,对于管理着发现攻击企图,和进行针对性防护应该是有利的。

尚未看到做很好做关联的产品,如果采用关联并阻挡进一步尝试,可以规避采用工具扫描或人工发现更多的漏洞。

举个例子,当检测到来自某处针对WEB信息的收集,并且确定发现已知漏洞的攻击尝试,即在相当一段时期或永久阻挡该来源后续的行为。这样可以大大增加攻击着难度。即使是能够自己发现新的漏洞的牛人,在这样的防护环境下攻击,难度的增加也是可以想象到的,也给予了管理着进行修补的机会。

合适的成本,实现适度安全。


--------本帖迄今已累计获得6安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 :
帖子发表于 : 2008-09-27 12:38 
离线
初级用户

注册: 2008-09-02 22:56
最近: 2012-01-19 14:15
拥有: 229.00 安全币

奖励: 0 安全币
在线: 418 点
帖子: 41
做好最基本的防御工作
SQL的注入都需要通过不断的尝试才能成功,依赖于类似服务端报错的敏感提示等,所以首先我们应将服务器的错误信息全部屏蔽,只允许状态码为200 302之类的响应给客户,对于400 及500以上,特别是500以上的响应状太码绝对不输出给用户,这样就会安全许多


--------本帖迄今已累计获得23安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 46 篇帖子 ]  前往页数 1, 2, 3, 4  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012