用户万网服务器

[键入文档标题][选取日期][年][在此处键入文档摘要.
摘要通常为文档内容的简短概括.
在此处键入文档摘要.
摘要通常为文档内容的简短概括.
][键入文档副标题]2013聚石塔安全白皮书商家业务事业部电商云1目录第一章:安全案例.
2案例一.
2案例二.
2案例三.
2案例四.
2数据.
2聚石塔安全设计.
3第二章:安全规范.
4第三章:安全知识库.
51、通用规则篇.
51.
1、《合作伙伴行为准则》51.
2、《淘宝合作伙伴开发协议》51.
3、《技术服务协议》62、API&APP安全篇.
62.
1TOPAPI安全篇.
62.
1.
1API安全分级.
62.
2TOPAPP安全篇.
72.
2.
1APPsecret.
72.
2.
2IP白名单.
72.
2.
3开放平台安全等级.
72.
2.
4APP开发者后台操作保护.
73、三方应用安全.
83.
1B/S应用.
83.
2通用应用安全.
104、系统与网络安全.
114.
1云主机.
114.
2云盾服务.
125、人员安全.
13第四章:安全工具集.
142013聚石塔安全白皮书商家业务事业部电商云2聚石塔安全白皮书第一章:安全案例案例一小A同学给系统设置了一个超级复杂的密码,然后把这个密码写在便签纸,贴在了屏幕下面……案例二小A同学在提交用户请求的时候直接把用户授权的sessionID放到了URL里面,在系统的后端处理过程中没有校验当前用户和URL里面的sessionID是否同一人,结果造成用户可以修改他人的信息.
案例三小A同学在云主机上将mysql服务的端口改成80端口,直接将数据库暴露在公网上……黑客如入无人之境,卷走全部数据.
黑客要挟小A的老板给50万赎回数据,小A的老板拒绝,结果商品全部删除,关店1个月,损失100万……案例四小A同学为了管理方便,在服务器上开通了jmx-consolephpmyadmin工具,并没有严格的防范措施,造成黑客入侵,在服务器上植入后门,每当有交易信息,都实时发给骗子一份,小A的客户常常收到电话:"刚才那个商品我们没收到款,你取消掉再拍下这个链接……"数据7-9月份已为用户发现后门30余个,帮助用户检测出被入侵.
7-9月份已为用户发现高危漏洞sql注入6918个、代码执行519个、目录遍历100个.
2013年9月底之前为用户抵御16起大小不等的DDoS攻击.
2013聚石塔安全白皮书商家业务事业部电商云3聚石塔安全设计云盾服务:云盾是阿里巴巴集十年攻防技术积累,为客户提供基于云端的DDoS防御、入侵防御及网站的应用安全监测等全方位的安全防御服务.
云盾默认开启,给聚石塔用户免费使用,云盾的功能和用法详见白皮书第三章安全知识库的系统安全部分.
JAE容器:给ISV提供安全的"聚石塔应用引擎",从系统底层解决常见的安全漏洞,如跨域访问、sql注入等.
三方授权:根据应用的安全等级和数据的风险等级,动态调整用户授权的时长,必要时发起二次验证,确保系统的行为是用户发起的请求.
基础安全:主机系统备份、RDS数据备份、网络和机房硬件的设计等,确保运维层级的系统安全.
2013聚石塔安全白皮书商家业务事业部电商云4第二章:安全规范违规类型违规内容扣分处理类型处理周期安全违规部署所有服务器和服务器上服务的密码管理必须符合开放平台密码管理规范.
3应用安全等级降级应用冻结10天服务器必须装有防入侵软件(如云盾)和防病毒软件,并定期对服务器做安全检查.
3应用安全等级降级应用冻结5天通过网络提供的服务(包括数据库、WebServer)不能使用高权限账号(SYSTEM、administrator、root及用户自行增加的其他管理员账号)运行.
WebServer站点和文件目录需要有严格的权限控制,敏感文件(包括但不限于数据库配置文件、appkey、保存密码的文件、源代码)不能保存在外部可访问的路径下.
5应用安全等级降级应用冻结10天通过网络提供的服务需要有完整的日志记录,日志保留时长不少于三个月.
2应用安全等级降级应用冻结3天应用符合开放平台的网络端口及协议安全策略,只监听允许开放的端口,并且只在允许的端口上开放允许的网络协议.
5应用安全等级降级应用冻结10天开发服务商违反《第三方服务安全开发规范》,在收到淘宝相关通告后未在指定时间内修复,给用户、其他服务商以及淘宝造成影响.
5服务冻结10天隐瞒其所发现的淘宝平台缺陷且恶意利用.
服务商屏蔽淘宝IP,规避淘宝日常服务排查.
出现帐号提权、安装后门程序等主动危害系统安全的行为—服务清除—禁止店铺插件类应用通过外链和或者在iframe种cookie的方式来追踪用户行为.
出现高危安全漏洞,且1*24小时未修复.
5服务冻结,且收回高危API调用权限7天出现中危安全漏洞,且7*24小时未修复.
5服务冻结3天处理或访问开放平台API接口提供的数据前,必须使用淘宝的用户体系登录.
5应用安全等级降级应用冻结10天数据服务商将服务运营数据进行擅自保存、展示、聚合(比如聚合多个卖家店铺数据等)、泄露、使用或授权他人使用,服务运营数据包括但不限于用户会员名、手机号码、地址等个人资料、交易数据、接口数据及其他服务使用数据等.
—服务清除—2013聚石塔安全白皮书商家业务事业部电商云5密码管理规范每个用户需要设置复杂的密码以保护主机及信息安全.
1、密码不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分2、至少有八个字符长3、包含以下四类字符中的三类字符:英文大写字母(A到Z)英文小写字母(a到z)十个基本数字(0到9)非字母字符(例如!
、$、#、%)4、密码最长使用三个月5、新密码不能与最近1次使用的旧密码相同网络端口及协议安全策略针对linux服务器,只允许对公网开放21,22,80,443,30000-30005端口针对windows服务器,只允许对公网开放21,80,443,3389,30000-30005端口原则上不允许开通其他端口,如果端口不够用,需要申请30005以上的端口,如果确实需要开放其他特殊端口,需要发邮件给小二审批.
禁止对公网开放如下网络协议:1、数据库及数据缓存服务(包括但不限于mysql、MSSQLServer、Oracle、memcache)2、除SSH、微软远程桌面、VNC外的其他远程管理协议(包括但不限于telnet、Radmin)第三章:安全知识库1、通用规则篇1.
1、《合作伙伴行为准则》第二条-》(三)-》6)、合作伙伴开发、发布的应用或服务需要收集用户数据的,必须事先获得用户的同意,不得将其通过平台提供的数据接口和权限获取的用户数据或其他数据用于特定应用之外,不得将前述数据出售、转让或用于特定应用之外的任何其他目的;详见:http://open.
taobao.
com/doc/detail.
htmid=1014861.
2、《淘宝合作伙伴开发协议》三-》3.
3-》6)不会将通过开放平台技术接口、公开渠道以及基于本协议项下合作获取的淘宝网相关数据(包括但不限于任何用户信息、用户交易信息、用户针对服务商产品的使用数据、淘宝网买家和卖家等会员数据)用于本协议之外的商业目的(包括但不限于单独开发应用,单独销售,与其他任何第三方进行合作);不会非法获取淘宝网会员信息用于交易或获取不当利益;不会利用其他服务商的Appkey或相关权限获取用户或淘宝网会员数据.
2013聚石塔安全白皮书商家业务事业部电商云6否则淘宝有权提前终止本协议,同时服务商应承担违约等全部法律责任,并就淘宝、用户、淘宝网会员的的全部损失进行全额赔偿.
三-》3.
3-》7)不得请求、收集、索取或以其他方式从任何用户那里获取对淘宝用户名、密码或其他身份验证凭据的访问权;不得为任何用户自动登录到淘宝网站提供代理身份验证凭据;不得提供"跟踪"功能,包括但不限于识别其他用户在服务商应用档案文件页上查看或操作.
三-》3.
4服务商同意开放平台运营数据(包括但不限于用户注册信息、用户针对服务商应用的使用数据)的全部权利均归属淘宝.
服务商承诺在未经淘宝事先书面批准的情况下,不得为任何目的擅自保存、使用或授权他人使用前述运营数据.
详见:http://open.
taobao.
com/doc/detail.
htmid=1631.
3、《技术服务协议》第三条-》3.
1-》(1)服务商应自行负责为用户提供安全、稳定、合法的应用服务和收费服务,因应用和任何服务发生的任何纠纷、处罚、诉讼等事项,其责任应由服务商独立承担,并且服务商有责任采取有效措施使淘宝免责或全额弥补淘宝的损失.

第三条-》3.
1-》(6)服务商不得将其通过淘宝提供的数据接口和权限获取的用户数据或其他数据用于交易或其他本协议约定之外的用途.
详见:http://my.
open.
taobao.
com/protocol/technical_agreement.
htm2、API&APP安全篇2.
1TOPAPI安全篇2.
1.
1API安全分级TOP开放的全部API中,有部分API(或API中的部分字段)由于涉及读取/操作用户敏感性数据.
根据API(或APIField)所涉及的私密等级,以及风险的严重程度,将API(或APIField)为为以下等级:R1:普通用户信息的读操作R2(高敏API):敏感用户信息的读操作,例如用户手机号码、详细地址等W1:普通用户或用户关联信息的写操作,例如商品的一般属性等W2(高危API):高危用户或用户关联信息的写操作,例如商品的价格属性等根据应用所具备的安全等级,在每一次用户授权时会颁发给应用其安全等级所对应的授权时长,详情参见2.
2.
3.
2013聚石塔安全白皮书商家业务事业部电商云72.
2TOPAPP安全篇2.
2.
1APPsecretAppSecret是TOP给应用分配的密钥,开发者需要妥善保存这个密钥,这个密钥用来保证应用来源的可靠性,防止被伪造.
安全建议:1、减少代码中出现secret的频次,建议将涉及到secret的功能进行封装2、禁止将secret写入代码注释、错误信息、日志信息等信息中2.
2.
2IP白名单由开放平台供ISV设置服务器的IP白名单.
设置后,该AppKey只允许在IP白名单范围内的服务器IP过来调用API,非白名单IP无法调用API.
比如,即使AppKey和Secret被盗,如果盗用者不是从您的服务器IP发起的API调用请求,则会被TOP拒绝.
2.
2.
3开放平台安全等级根据一定的安全等级计算规则计算出某个应用的安全等级(可以在开发者后台应用证书管理页面查看)根据应用的安全等级来确定每一级API所能获取的授权时长,详细参见《开放平台安全等级说明》详见:http://open.
taobao.
com/doc/detail.
htmid=10022.
2.
4APP开发者后台操作保护2013聚石塔安全白皮书商家业务事业部电商云8开发者可以在淘宝安全中心中开通【操作保护-开放平台】(详见:http://110.
taobao.
com/protect/protect_top.
htm),以确保在淘宝账户被盗之后,盗号者也无法在开放平台后台进行一下操作:(1)查看或重置APPsecret(2)修改回调URL(3)删除应用3、三方应用安全3.
1B/S应用3.
1.
1web安全漏洞常见的web漏洞有xss、csrf、sql注入、不安全的配置、敏感信息泄漏以及失效的身份认证和会话管理等等,介绍及修复方案参见《第三方应用安全规范》(详见:http://open.
taobao.
com/doc/detail.
htmid=813)案例一:我的用户"被盗"了(把会话ID写在URL中)在排查案例时发现用户在使用某应用A时出现异常"被盗",在淘宝主站也未发现异地登陆的情况,后来经过对应用的web访问日志发现只要能获取用户访问应用A是的URL及可以"盗用"用户的身份来访问应用A.
案例补充:机票预订应用程序支持URL重写,把会话ID放在URL里:http://example.
com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JVdest=Hawaii该网站一个经过认证的用户希望让他朋友知道这个机票打折信息.
他将上面链接通过邮件发给他朋友们,并不知道自己已经泄漏了自己的会话ID.
当他的朋友们使用上面的链接时,他们将会使用他的会话和信用卡.
获取URL的方法有很多种:1、xss2、referer3、浏览器4、钓鱼更多漏洞信息参见《owasp2013十大web漏洞》详见:http://www.
owasp.
org.
cn/owasp-project/download/OWASPTop102013V1.
2.
pdf【web漏洞快速自查】检查是否有XSS漏洞、不合法的参数不能在页面原样返回.
2013聚石塔安全白皮书商家业务事业部电商云9Cookie安全性检查.
检查是否有跳转漏洞.
检查是否有Header注入漏洞.
检查是否有SQL注入攻击漏洞.
目录浏览漏洞安全性检查.
检查是否有跳转漏洞.
检查是否有Header注入漏洞.
检查是否有源代码泄漏漏洞.
信息泄露漏洞安全性检查(例如test.
cgi、phpinfo.
php、info.
pho、.
svn/entries、HTTP认证泄漏漏洞、管理后台泄漏漏洞、内网信息泄漏漏洞、错误详情信息泄漏等).

检查是否泄漏后台默认文件漏洞3.
1.
2web应用编码安全【输入验证】确定系统是否支持UTF-8扩展字符集,如果支持,在UTF-8解码完成以后进行输入验证.
在处理以前,验证所有来自客户端的数据,包括:所有参数、URL、HTTP头信息(比如:cookie名字和数据值).
确定包括了来自JavaScript、Flash或其他嵌入代码的postback信息.
验证在请求和响应的报头信息中只含有ASCII字符.
【会话管理】在平衡的风险和业务功能需求的基础上,设置一个尽量短的会话超时时间.

通常情况下,应当不超过几个小时.
在任何重新身份验证过程中建立一个新的会话标识符.
不要在URL、错误信息或日志中暴露会话标识符.
会话标识符应当只出现在HTTPcookie头信息中.
比如,不要将会话标识符以GET参数进行传递.
通过在服务器上使用恰当的访问控制,保护服务器端会话数据免受来自服务器其他用户的未授权访问.
将cookie设置为HttpOnly属性,除非在应用程序中明确要求了客户端脚本程序读取或者设置cookie的值.
3.
1.
3web服务器安全配置确保服务器、框架和系统部件采用了认可的最新版本.
确保服务器、框架和系统部件安装了当前使用版本的所有补丁.
关闭目录列表功能.
将Web服务器、进程和服务的账户限制为尽可能低的权限.
移除在HTTP相应报头中有关OS、Web服务版本和应用程序框架的无关信息.
针对web服务器上使用的软件和语言进行安全加固2013聚石塔安全白皮书商家业务事业部电商云103.
2通用应用安全3.
2.
1输入验证在可信系统(比如:服务器)上执行所有的数据验证.
识别所有的数据源,并将其分为可信的和不可信的.
验证所有来自不可信数据源(比如:数据库,文件流,等)的数据.
应当为应用程序应提供一个集中的输入验证规则.
为所有输入明确恰当的字符集,比如:UTF-8.
在输入验证前,将数据按照常用字符进行编码(规范化).
丢弃任何没有通过输入验证的数据.
核实来自重定向输入的数据(一个攻击者可能向重定向的目标直接提交恶意代码,从而避开应用程序逻辑以及在重定向前执行的任何验证).
验证正确的数据类型.
验证数据范围.
验证数据长度.
尽可能采用"白名单"形式,验证所有的输入.
如果任何潜在的危险字符必须被作为输入,请确保您执行了额外的控制,比如:输出编码、特定的安全API、以及在应用程序中使用的原因.
部分常见的危险字符包括:如果您使用的标准验证规则无法验证下面的输入,那么它们需要被单独验证:验证空字节(%00);验证换行符(%0d,%0a,\r,\n);验证路径替代字符"点-点-斜杠"(.
.
/或.
.
\).
如果支持UTF-8扩展字符集编码,验证替代字符:%c0%ae%c0%ae/(使用规范化验证双编码或其他类型的编码攻击).
3.
2.
2访问控制安全的处理访问控制失败的操作将有特权的逻辑从其他应用程序代码中隔离开.
限制只有授权的用户才能访问包含且不限于:受保护的URL受保护的功能受保护的服务受保护的应用程序数据如果状态数据必须存储在客户端,使用加密算法,并在服务器端检查完整性以捕获状态的改变.
仅使用"referer"头作为补偿性质的检查,它永远不能被单独用来进行身份验证检查,因为它可以被伪造.
2013聚石塔安全白皮书商家业务事业部电商云113.
2.
3错误处理和日志:不要在错误响应中泄露敏感信息,包括:系统的详细信息、会话标识符或者帐号信息.

使用通用的错误消息并使用定制的错误页面.
应用程序应当处理应用程序错误,并且不依赖服务器配置.
日志记录控制应当支持记录特定安全事件的成功或者失败操作.
不要在日志中保存敏感信息,包括:不必要的系统详细信息、会话标识符或密码.

限制只有授权的个人才能访问日志.
3.
2.
4加密规范所有用于保护来自应用程序用户秘密信息的加密功能都必须在一个可信系统(比如:服务器)上执行.
保护主要秘密信息免受未授权的访问.
安全的处理加密模块失败的操作.
为防范对随机数据的猜测攻击,应当使用加密模块中已验证的随机数生成器生成所有的随机数、随机文件名、随机GUID和随机字符串.
应用程序使用的加密模块应当遵从FIPS140-2或其他等同的标准(请见:http://csrc.
nist.
gov/groups/STM/cmvp/validation.
html).
建立并使用相关的政策和流程以实现加、解密的密钥管理.
4、系统与网络安全4.
1云主机4.
1.
1系统母盘安全加固(1)针对生产聚石塔云主机的系统母盘进行了安全策略加固,包含且不限于:添加了账户安全策略(如多次无效登陆锁定)、安装系统补丁、删除或关闭不必要的服务以及基础环境软件的版本升级,以保证用户云主机默认状态下是安全可靠的.
(2)另外建议开发者进行如下工作以确保云主机更安全:案例一:为啥我的服务器被黑了原因:jmx-console解决:删除与应用无关的console,并在对管理后台设置较强的访问控制.
案例二:为啥我的服务器被黑了原因:0day漏洞,sturts2解决:及时更新系统、软件,及时打补丁.
关注聚石塔安全漏洞预警公告及安全邮件.

案例三:为啥我的服务器被黑了2013聚石塔安全白皮书商家业务事业部电商云12原因:文件上传未做校验,直接上传webshell解决:检查上传文件内容案例四:官方下载镜像被黑!
phpmyadmin某个官方镜像结点被入侵,攻击者用带有webshell的版本替代了正式版本.
http://bangpai.
taobao.
com/group/thread/14877127-277592421.
htm4.
1.
2端口统一管理防火墙默认开通以下端口,支持ICMP协议:Windows主机端口:80,443,3389Linux主机端口:22,80,443UDP端口:针对万网时间服务器stdtime.
hichina.
com开放123端口,可同步服务器时间跟随管理员权限同时开通或关闭:21端口(ftp服务)、30000端口(用于ftp被动模式)特殊申请端口仅限开放高端口:30001-30005,并且不能用于运行数据库、FTP、远程连接三类服务.
案例一:80端口mysql服务经过内部扫描工具发现,有ISV在云主机上将mysql服务的端口改成80端口.
直接将数据库暴露在公网上是非常危险的事情,可能会影响服务的稳定性或遭受密码暴力破解.
案例二:为啥我的服务器被黑了某一天系统发现有服务被当作肉鸡发起大量对外部的攻击,简单的看了一下,网络上只看了22、80、443,且没有异地登陆的情况,后来发现该服务器开启了目录遍历,这样猜路径的功夫也省了,然后发现机器上装了phpmyadmin,然后本机上运行的mysql的root密码为空,然后就不用我多说了.
4.
2云盾服务云盾是阿里巴巴集十年攻防技术积累,为客户提供基于云端的DDoS防御、入侵防御及网站的应用安全监测等全方位的安全防御服务.
4.
2.
1防DDoS服务通过专业的防DDoS设备来帮助中小网站抵御DDoS攻击(包括CC、SYNflood、UDPflood等所有DDoS攻击方式),并实时通知用户网站防御状态.
2013聚石塔安全白皮书商家业务事业部电商云134.
2.
2网站防入侵网站后门检测黑客入侵云服务器后会在系统内植入后门程序,黑客通过后门程序可持续控制服务器,盗取网站信息侵害用户隐私信息.
通过定期检测及时发现后门程序,并以短信或邮件的方式及时通知用户,用户通过云盾及时删除后门消除隐患.
主机密码暴力破解防御密码暴力破解对服务器的危害很大,如果被破解成功,会窃取管理员权限,从而危害网站及网站用户信息和权益.
密码破解防御通过实时发现非法入侵,并将入侵的IP封禁24小时,以短信或邮件的方式通知用户(可选).
异地登录提醒根据网站用户的登录习惯进行分析并建立模型,发现异常登录行为及时通知用户.

4.
2.
3网站安全检测网页漏洞检测定期对网站的SQL注入、XSS跨站脚本等各项高危安全漏洞进行检测,并将检测报告提供给用户.
网页木马检测网页挂马是黑客利用网站漏洞在网站页面中插入可执行恶意代码,可导致网站页面被篡改、用户信息泄露、网站搜索排名下降.
定期对网站页面进行木马、暗链检测,并将检测结果及时反馈给用户.
端口安全检测定期检测云服务器当前面向Internet开放的端口,将端口开放情况及时通知给用户.
一旦发现未经允许开放的端口请及时关闭,降低系统被入侵的风险.
5、人员安全1、开发人员不随意下载、安装来源不明的软件,防止恶意程序、病毒及后门等黑客程序.