【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。来自知道创宇的钟晨鸣先生为大家分享了网站安全风水图。

▲知道创宇钟晨鸣：网站安全风水图

　　网站安全微观研究

　　我的议题是网站风水，风水大家也知道，阴阳结合，我们做任何事情都要找一个平衡点，才能保证网站的整体性比较安全。这里有一个基础架构，我们基础架构是足够安全，比如说我们的网络做好科技研发，服务器打补丁了没有，还有我们服务器关口是不是开放了，是不是存在一些弱口令，目前机器也存在这种状况。不同的业务做好风险了没有。还有各层之间权限配置做好了没有，黑客拿到比较低水平的权限的时候会得到更高权限。

　　Web应用层我们做的是否安全，我们基于Web开发框架真的安全吗?还有这些查询都仓促化了没有，一个团队开发不同的开发人员，可能具备的精英不太一样。

　　像很多开发者会忽略攻击，这个风水如果是一个没有安全意识得决策者会很可怕，可能从一开始就不会好，或者没有安全意识的团队。我们做出第一个决策，不能决定我们网站未来的走向和以后的宿命。黑客如何拿下你的网站，我们单看Web应用层，通过直接方法拿下有这几个方法，我们知道文件包含，SQL注入、文件上传等等。间接拿下还有XSS、CSRF、跨域漏洞等，然后再配合更多的社会开发。

　　黑客拿网站总是有很多目的的，最大的目的在于数据，网上传来各种各样的数据。现在地下产业链核心需求价值，这也是最感兴趣的一类，提到数据，我们有数据库。这个网站类型非常多，不同的网站类型数据不太一样，我们做了归纳。比如说社交性的网站，对于我们来说，或者黑客来说数据很关键，好友关系库、货币，包括团购上有一些客户的数据，还有电子货币这些。政府类的网站大家看一下，暗链，这方面的趋势越来越严重，甚至定向挂马得到更多数据。刚才给大家展示全球地图，有好几个地图网站挂马的，大家可以盗取你任何账号，可以得到你QQ、Q币等等。

　　它的数据像链接到美国的网站，后台数据在这儿，我们把它下下来。这个政府网站我们刚才被挂了，像是云端的系统，我们是有自己的地挂做一下行为分析，比如点这里我们请求一下，这个数据之前是请求过的，这个网站最后一行挂了一段马，其实挂这个网站也是越来越少，有一些黑客也是敢挂，比如有一些客户需求，政府网站上的最多的人是谁?他们会看领导致辞、说话等等，他们挂马定向的挂，更容易中毒，更容易得到数据。有人说能不能拿到政府的数据，我说走开，不要，因为这个风险确实非常大。他们拿到这些文件的话，有一些内鬼之内的做定向挂马非常多的。微观指针对具体一个网站，从全面的角度来评估一个网站的安全风险与存在的各种漏洞，并提供一个针对性的完整解决方案。因为形成了我们部门安全研究的部门，我们有WSL，这是我们自己的安全研究流程，我们有团队是做Web跟踪，并且会分析和挖掘相关的一些，这个流程会报X1这方面的，并且分析这方面的漏洞，这个过程我们会构建一个测试环境出来，这很有帮助的，以后这个版本越来越少的时候，下不到的时候，我们准备好了环境，给客户展示汇报这个风险就非常有好处了。

　　我们Web的用户，我们有自己的Web用户，我们知道有一些国家单位，优异的用户，还有一些民间的组织，我们内部公司有我们自己形成的用户，也在持续的增加。我们的引擎规则库，像我们公司做网站的衍生品，比如说跨站，CCI，基于Web漏洞的规则这些引擎，每个引擎都有规则，这些规则也是特定型的。我们生成验证程序模块POC，我们用我们通用的，这些POC是应用型的，不会对网上结构产生破坏。最后有一个非常大的点，如何保证我们研究成果最大化。之前给大家展示的地球永远是我们网码，大概五六百万网码情况数据分析，我们有很多小模块，它会知道哪些区域哪些网站受到影响，就把我们的成果最大化了。

　　为什么需要WSL?有了这一套流程，非常有利于我们分析出漏洞根本原因，甚至进一步挖掘出相关的0day，我们前面说了大量测试了环境，这个时候能够很好的掩饰这方面的危害。第一时间内就可以告知网站用户风险，还有Web特定的漏洞，像Web等等，很多情况下通用型的，可是一些特殊型的经过几个步骤才能发出PUC的攻击过程，我们要定一些策略，专门针对特定漏洞加一些特殊的规则等等。

　　这个应用很容易提高我们的响应速度，我们也支撑了应急相应，并且这个时候微观程度上，我们能把它整体上研究下来之后，我们在宏观层面上的研究就具备了很多的基础，如果没有这方面的深入挖掘的话，宏观上研究的时候就会有很多阻碍，阻力，你的引擎没有挖出来，你的规则模式没有出来，你的团队响应速度都没有固定下来的时候，分析整个网络状态的时候是不可能的。这个时候我们已经具备这些能力了，这些还不够。

　　大家看这里以这边为主，安全不应该见招拆招，每一个客户的问题可能不一样，没有总结和归纳的时候，根本就没有方向和趋势。微观程度研究久了就是这个样子。我们希望通过大规模的研究找出其中的关键点，跳出这个局限的维度。像这条金鱼，它的世界是弧度的空间，如果它跳出来之后，会发现它的世界不是这样子。

　　网站安全宏观研究

　　宏观研究我们有这个数据中心，在这方面做了一个数据中心能够很好的保持我们宏观层面的研究，因为我们开发自己的分布式的爬虫系统，不是基于开源的，完全是我们自己构建。看到我们地球展示600多网站，哪些爬虫怎么来的，都是爬取全国600万多的网站，并不断增加新入库。今年年底目前一千万，明年两千万，这样的趋势更多。我今年帮助的是中国大陆，像香港、澳门、台湾都涵盖了，每一个地区我们都绘制了这个地域的风险图，这是一种通用型的架构，涵盖北美也可以。

　　Web漏洞库，搜索高质量的漏洞，还有一些查检的规则，POC库是高质量漏洞验证程序。你知道版本过低，并且有风险，我肯定知道你肯定存在POC应用，这个时候效果就非常好，互联网是爆炸式的增长，每一个领域分享的议题不一样，我们现在有了微观和宏观的时候，不可能在这方面迷失。基础信息的提供和数据挖掘，更好的把握互联网走向，不再见招拆招，宏观的了解WEB安全现状，我们可能可以知道敌人从哪儿来，何时来，目标是什么。08、09年的时候，我们能够知道僵尸网络的源头真正在哪儿?我们都可以分析出来。

　　我们这些统计模块给大家看一下，服务器操作系统，比如windows2003 Server Ubuntu10.04 Server，还有Web容器的统计，Apache/Tomcat/IIs U/IIS7，服务端语言的统计，CMS、论坛、Blog等Web的应用。

　　风险统计，比如说用某个具体应用，一批网站，有一个网站都有7.0的版本，是不是7.0版本的网站漏洞是不是也有吗?被挂马的网站的案例是什么?还有被挂暗链的网站，或者存在后门的webshell的网站。按行业划分，哪些行业是“重灾区”。

　　这有一张图，我们监控不光网马，包括跨站等等综合出来的网站分布图，大部分都是在沿海地区比较发达的一部分，很感谢谷歌，我们确实使用谷歌这些效果展示出我们的成果出来。

　　有这些成果跟大家分享一下。

　　被挂马网站呈下降趋势，被挂暗链网站却呈现上升趋势，挂马有中毒，中毒客户端360等等阻防都打的这么凶了，几大源头都被管理了，现在很多也懒得去做，而去做暗链，为了提高垃圾站点网站搜索引擎排名。还有开源应用成为黑客首选。Web2.0网站，XSS和CSRF的挖掘和利用，越来越被重视。

　　可以看出挂马网站的趋势在下降，没有人挂马了，我们这方面的效果就没有以前那么好了，当然我们会持续跑的，我们就会投入人力、资本去跑，这是我们监控的比较明显的趋势。

　　像Web容器统计，我们知道IIS占绝大部分，操作系统Linux、MAC等等。

　　服务端语言统计，首先是微软的天下，其次是PHP。

　　我们对全国的Web应用进行TOP10排名的统计，大家看到统计很明显，Wordpress，然后是discuz，这些应用的流行度，一个东西越流行，受众范围越大的时候，被攻击的可能性越广，开源应用的漏洞、价值越来越高，产业链上也很需要这些漏洞。 wordpress最近绑的是3.1，还有在用2.8的，可能各个博客更新速度很频繁，看Discuz ，7以后的版本号都是以7打头，我们看到的情况下，7的版本还是占绝大多数，论坛不能够那么轻易放，当有很大的用户群的时候，也不是想换就能换的。当这些版本出来之后，绑上以后是7.2。

　　统计数据的意义：

　　在宏观层面让我们知道网站的风险分布

　　利用我们做更精准的判断

　　利用我们给出更完美的解决方案

　　我们发现中国大陆被挂马，挂马的非常多，日本挂马的非常少，香港曾经一段时间，我们认为香港是黑客不怎么关注的地方，很纯洁的地方，不知道现在是不是这样，大陆被挂马的非常多。

　　谁统计还不够，简单的表面统计很难反应真实风险程度，风险有很多决定因子：网站用户数、用户的特殊性(比如玩网游的)，网站数据量，网站的特殊性，比如一个网站专门玩网友的，还有一个网站专门交流文学青年。还有一个网站的数据量，比如说我是天涯，2010年的时候开始起来了，拿这个数据太有意义了。很开心这方面已经走在路上了。

　　相关链接：

　　OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
　　OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html