网站离线数据安全分析漫谈 2012cert
- 1. 网站离线数据安全分析漫谈 吴翰清 2012-07
- 2. Who am I? • Alibaba security (7 years) 《白帽子讲web安全》
- 6. 一些开源项目 • Apache-scalp • grep • 规则集: • Php-ids • Mod-security • fuzzdb
- 8. 漏洞 != 攻击 • 扫描能发现漏洞 (vulnerability) – 时间(time)、地点(apps)、起因(vulns) • 分析日志能发现攻击 (Attack) – 时间(time)、地点(apps)、人物(source ip) – 起因(vulns)、经过(intrude path)、结果(lost)
- 9. Why not IPS/WAF? • 在线数据分析:IPS/IDS/WAF • 离线数据分析 – 计算更复杂 – 数据量更大 – 并联、异步 – 时效性不高
- 10. 满足更复杂的需求 • 场景1: – 统计某XSS蠕虫感染的用户数 • 场景2: – 把网站的所有请求根据URL去重,提供给扫描 器进行扫描
- 11. 挑战与对策 大数据的传输 syslog-ng, ? 大数据的存储 hdfs 大数据的计算 map-reduce 实时性的提高 hbase?
- 13. 数据仓库?
- 15. 分析什么? • 白名单的思想 • Referer • url 字符集 • 产生过多噪音 • 降噪
- 16. 检测XSS? • 检测通用类型的攻击吗? – XSS – SQL INJECTION – FILE INCLUSION – CODE INJECTION – COMMAND EXECUTE – …… • Alibaba的需求 vs 中小网站的需求
- 18. 漏洞 != 攻击 != 攻击成功 • 误报 404/403/500/503/301/302/… • 有用吗?没用吗?有用吗?没用吗?
- 21. Webshell检测
- 24. 攻击检测
- 25. 每当新漏洞公布时 DEDE CMS 5.7 SQLi (ssvid-60089) Shopex4.8.5 SQLi (wooyun-2012-08597)
- 26. 当然也能统计