【One by one】天清WAG产品针对性安全解决方案
发布时间:2012-07-24   作者:

1. A1-Injection(注入)

常见问题:
SQL注入。
解决方案:
WAG7020,基于原理的攻击检测比基于特征的攻击检测更灵活、准确,基于特征攻击检测容易出现漏报和误报,WAG7020中SQL注入博士后工作站有专门算法支撑。

2. A2-Cross-Site Scripting(跨站脚本攻击)

常见问题:
XSS攻击。
解决方案:
WAG7020,基于原理的攻击检测比基于特征的攻击检测更灵活、准确,基于特征攻击检测容易出现漏报和误报,WAG7020中跨站脚本攻击博士后工作站有专门算法支撑。

3. A3-Broken Authentication and Session Management(越权及会话管理)

常见问题:
信任账户及会话令牌没有被完全保护。攻击者使用密码、密钥或认证令牌伪装信任用户身份
场景1: 航空公司预定系统支持URL重写, 将Session ID包含在 URL中,此时认证用户B想让其朋友A了解自己的购票情况,将此URL发给A,如果A点击这个链接就可以在网站中使用B的Session以及信用卡。
场景2:在公共电脑上,认证用户B浏览某网站,未注销便离开,该应用也不具备超时登出机制,后来A在同台电脑上以B的身份访问该网站。
解决方案:
WAG7020,Cookie保护、SSL加密传输,防止盗取会话令牌及网络嗅探。

4. A4-Insecure Direct Object References(不安全的对象直接引用)

常见问题:
已授权用户,通过更改访问时的一个URL参数,从而访问到原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用其真实名字,且并不会针对所有的访问检查用户权限,如:
攻击者发现自己的参数是6065,即?acct=6065
他可以直接更改参数为6066,即?acct=6066
这样他就可以直接看到6066用户的账户信息了
解决方案:
WAG7020,基于正常行为基线的HTTP请求攻击检测,窗体域一致性验证。

5. A5-Cross-Site Request Forgery(CSRF,跨站请求伪造)

常见问题:
B正在浏览论坛,同时A也在此论坛中,A编写了一个在B的银行站点上进行取款的form提交链接,并将此链接作为图片tag。如果B的银行站点在Cookie中保存授权信息,并且此Cookie未过期,当B的浏览器尝试装载图片时将会提交这个取款form和他的Cookie,这样在没经B同意的情况下便授权了这次事务,如转账1000元
解决方案:
WAG7020,基于原理的攻击检测,博士后工作站有专门防止CSRF注入算法支撑。

6. A6-Security Misconfiguration(不当的安全配置)

常见问题:
存在于Web应用的各个层次,如平台、Web服务器、应用服务器、系统框架,甚至是代码中。
场景1:服务器管理控制台会自动安装、未删除。默认帐户设置没有改变,攻击者发现了服务器,使用默认密码接管该服务器
场景2:目录清单未在服务器上禁用。攻击者可以只通过目录清单来找到任何文件,攻击者发现并下载所有可以反转获取所有自定义代码的已编译的Java类。然后,发现在应用程序中存在的访问控制的严重缺陷
场景3:服务器配置允许返回给用户堆栈跟踪信息,可能暴露服务器潜在的缺陷,黑客可以利用错误信息获得更多额外信息
解决方案:
WAG7020,敏感信息防护 — 操作系统信息保护、服务器信息保护、屏蔽服务器返回的错误信息,特征事件 — 针对常见的对敏感文件探测访问进行检测。

7. A7-Insecure Cryptographic Storage(不安全的加密存储)

常见问题:
Web应用程式没有对敏感性资料使用加密、使用较弱的加密算法或将密钥储存于容易被取得之处
情景1:应用程序在数据库中进行加密,防止信用卡暴露给最终用户。但是,数据库设置为对信用卡列查询自动解密,而不是前端Web应用程序解密,攻击者可利用SQL注入漏洞检索所有的明文信用卡
场景2:存储加密健康记录的备份磁带,但加密密钥在相同的备份中
解决方案:
WAG7020,服务器敏感信息防护—防止信用卡信息泄露、身份证号信息泄漏。

8. A8-Failure to Restrict URL Access(限制URL访问失败)

常见问题:
许多Web应用提交受保护的网址链接和按钮前,应检查URL的访问权限。然而,当这些网页被访问,应用程序需要对其进行访问控制检查时,攻击者却可以通过各种手段伪造URL来访问这些隐藏页面
攻击者发现自己的访问地址为/user/getAccounts
修改为/admin/getAccounts或/manager/getAccounts
这样攻击者就能够查看到更多的账户信息了
解决方案:
WAG7020,针对服务器的URL访问控制(黑白名单)支持。

9. A9-Insufficient Transport Layer Protection(无效的传输层保护)

常见问题:
 应用程序需要保护敏感的通信时,经常对网络流量不加密,主要因为仅支持弱算法、使用过期或无效证书、或不正确地使用它们
情景1:网站根本没有对需要验证的网页使用SSL
情景2:网站SSL证书配置不当,导致用户浏览器警告,为了访问网站,用户必须接受警告,这将形成习惯。钓鱼网站引诱用户到一个相似网站,没有有效的证书,但可产生类似的浏览器警告。由于受害者习惯于此类警告,就容易向进行钓鱼网站,赠送密码或其他私人数据
情景3:网站简单地为数据库连接使用标准的ODBC/JDBC连接,但没有意识的所有的流量都暴露在空白中
解决方案:
WAG7020,通过WAG强制用户使用https传输。

10. A10-UnvalidatedRedirects and Forwards(未验证的重定向和转发)

常见问题:
Web应用程序经常使用户重定向或转发至其他的网页和网站,并使用不受信任的数据来确定目标网页。如果没有适当的验证,攻击者可以重定向受害者至钓鱼或恶意软件网站,或者转发至未经授权的网页
解决方案:
WAG7020,网页挂马防护、木马检测、HTTP协议合规。

文章来源:
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号