第二回：未雨綢繆 構(gòu)筑WEB安全檢測(cè)防護(hù)

引言：

隨著互聯(lián)網(wǎng)的逐漸普及，應(yīng)用層安全問題正逐漸的顯露出來。越來越多的政府等重要網(wǎng)站或WEB辦公系統(tǒng)被滲透，在通過瀏覽器方式實(shí)現(xiàn)展現(xiàn)與交互的同時(shí)，用戶的業(yè)務(wù)系統(tǒng)所受到的威脅也隨之而來，并且隨著業(yè)務(wù)系統(tǒng)的復(fù)雜化及互聯(lián)網(wǎng)環(huán)境的變化，所受威脅也在飛速增長(zhǎng)。而網(wǎng)絡(luò)管理人員卻對(duì)此無能為力，因?yàn)閭鹘y(tǒng)的WEB應(yīng)用防火墻和入侵檢測(cè)系統(tǒng)等安全產(chǎn)品并不能發(fā)現(xiàn)并阻止來自于應(yīng)用層的入侵攻擊。網(wǎng)站應(yīng)用的安全性事先必須進(jìn)行有效測(cè)試和評(píng)估，這樣才能避免在日益增長(zhǎng)的應(yīng)用層攻擊事件中遭受損失。

江湖危機(jī)：WEB安全受到的挑戰(zhàn)

最權(quán)威的RSA大會(huì)研究顯示，Web應(yīng)用安全已超過所有以前網(wǎng)絡(luò)層安全，逐漸成為最嚴(yán)重、最廣泛、危害性最大的安全問題。

WEB安全的挑戰(zhàn)主要來自以下幾個(gè)方面：

◆ XSS跨站攻擊

◆ SQL 注入

◆ 網(wǎng)絡(luò)釣魚

◆ 惡意代碼

◆ 偽造ARP報(bào)文

◆ RootKit隱身技術(shù)

◆ 等等

黑客出擊：攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動(dòng)越來越多地依賴于WEB應(yīng)用，在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時(shí)，企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進(jìn)行攻擊的黑客工具越來越多、黑客活動(dòng)越來越猖獗,組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。

然而與之形成鮮明對(duì)比的卻是：現(xiàn)階段的安全解決方案無一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面，致使面臨應(yīng)用層攻擊（如：針對(duì)WEB應(yīng)用的SQL注入攻擊、跨站腳本攻擊等）發(fā)生時(shí)，傳統(tǒng)的網(wǎng)絡(luò)WEB應(yīng)用防火墻、IDS/IPS等安全產(chǎn)品對(duì)網(wǎng)站攻擊幾乎不起作用，許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑。

據(jù)統(tǒng)計(jì)75%的網(wǎng)絡(luò)攻擊和互聯(lián)網(wǎng)安全侵害源于應(yīng)用軟件，網(wǎng)頁上的漏洞的根源還是來自程序開發(fā)者對(duì)網(wǎng)頁程序編制和檢測(cè)。未經(jīng)過安全訓(xùn)練的程序員缺乏相關(guān)的網(wǎng)頁安全知識(shí)；應(yīng)用部門缺乏良好的編程規(guī)范和代碼檢測(cè)機(jī)制等等。解決此類問題必須在WEB應(yīng)用軟件開發(fā)程序上整治，僅僅靠打補(bǔ)丁和安裝WEB應(yīng)用防火墻是遠(yuǎn)遠(yuǎn)不夠的。

安恒信息高手點(diǎn)析：面向應(yīng)用層新型攻擊特點(diǎn)簡(jiǎn)析

◆ 隱蔽性強(qiáng)：利用Web漏洞發(fā)起對(duì)WEB應(yīng)用的攻擊紛繁復(fù)雜，包括SQL注入，跨站腳本攻擊等等，一個(gè)共同特點(diǎn)是隱蔽性強(qiáng)，不易發(fā)覺。

◆ 攻擊時(shí)間短：可在短短幾秒到幾分鐘內(nèi)完成一次數(shù)據(jù)竊取、一次木馬種植、完成對(duì)整個(gè)數(shù)據(jù)庫或Web服務(wù)器的控制，以至于非常困難做出人為反應(yīng)。

◆危害性大：目前幾乎所有銀行，證券，電信，移動(dòng)，政府以及電子商務(wù)企業(yè)都提供在線交易，查詢和交互服務(wù)。用戶的機(jī)密信息包括賬戶，個(gè)人私密信息（如身份證），交易信息等等，都是通過Web存儲(chǔ)于后臺(tái)數(shù)據(jù)庫中，這樣，在線服務(wù)器一旦癱瘓，或雖在正常運(yùn)行，但后臺(tái)數(shù)據(jù)已被篡改或者竊取， 都將造成企業(yè)或個(gè)人巨大的損失。據(jù)權(quán)威部門統(tǒng)計(jì)，目前身份失竊（identity theft）已成為全球最嚴(yán)重的問題之一。

◆ 造成非常嚴(yán)重的有形和無形損失：目前，很多大型企業(yè)都是在國(guó)內(nèi)外上市的企業(yè)，一旦發(fā)生這類安全事件，必將造成人心惶惶，名譽(yù)掃地，以致于造成經(jīng)濟(jì)和聲譽(yù)上的巨大損失，即便不上市，其影響和損失也是不可估量的。#p#

江湖告急：現(xiàn)有的網(wǎng)絡(luò)層防護(hù)產(chǎn)品面對(duì)應(yīng)用層攻擊束手無策

傳統(tǒng)的WEB應(yīng)用防火墻或IDS產(chǎn)品存在以下不足：

◆ WEB應(yīng)用防火墻：通過端口限制實(shí)現(xiàn)訪問控制，但對(duì)于WEB應(yīng)用而言，其HTTP/HTTPS端口是開放的。因此，WEB應(yīng)用防火墻無法檢測(cè)到WEB應(yīng)用攻擊的發(fā)生，更談不上阻止攻擊。

◆ IDS：依靠特征庫檢測(cè)已知攻擊，而對(duì)于WEB應(yīng)用攻擊，變形非常多（比如：SQL注入、跨站腳本、惡意文件包含等），IDS無法窮盡所有的特征，當(dāng)然，更加不可能預(yù)知未來的變形。

Web應(yīng)用安全現(xiàn)狀分析

◆ 網(wǎng)站及在線Web應(yīng)用（B/S）的重要性

據(jù)CNCERT/CC（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）發(fā)布的網(wǎng)絡(luò)安全工作報(bào)告顯示，我國(guó)網(wǎng)站的安全問題十分嚴(yán)峻，大量網(wǎng)站被黑客入侵和篡改，甚至被植入木馬攻擊程序，成為黑客的得力工具。利用網(wǎng)站操作系統(tǒng)的漏洞和WEB服務(wù)程序的SQL注入漏洞等，黑客能夠得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼（俗稱"網(wǎng)頁掛馬"），使得更多網(wǎng)站訪問者受到侵害。網(wǎng)頁掛馬是黑客最喜歡的木馬散播方式。

很多用戶的網(wǎng)站或基于Web的在線應(yīng)用系統(tǒng)（B/S架構(gòu)）承擔(dān)著"對(duì)外交流、公開信息、網(wǎng)上辦事、在線業(yè)務(wù)"等重要職能，是服務(wù)于和諧社會(huì)的窗口。如此重要的網(wǎng)站和系統(tǒng)，一旦受到黑客攻擊，不僅影響用戶的正常工作，降低網(wǎng)站的公信力，嚴(yán)重的情況下會(huì)導(dǎo)致重要信息的泄密，危及其形象。

常見WEB應(yīng)用攻擊影響分析

◆ 網(wǎng)頁木馬：直接控制網(wǎng)站主機(jī)或者借此攻擊訪問者客戶端

◆ SQL注入漏洞：數(shù)據(jù)庫信息竊取、篡改、刪除

◆ Cookie注入：數(shù)據(jù)庫信息竊取、篡改、刪除，控制服務(wù)器

◆ 跨站腳本漏洞：用戶證書、網(wǎng)站信息、用戶信息被盜

◆ 緩沖區(qū)溢出：攻陷和控制服務(wù)器

◆ 表單繞過漏洞：攻擊者訪問禁止訪問的目錄

◆ 文件上傳漏洞：主頁篡改、數(shù)據(jù)損壞和傳播木馬

文件包含：服務(wù)器信息竊取、攻陷和控制服務(wù)器

安恒信息專家提出，如果存在上述安全隱患，若不及時(shí)修復(fù)有可能導(dǎo)致網(wǎng)站頁面被篡改、網(wǎng)頁木馬傳播、后臺(tái)數(shù)據(jù)庫信息被篡改或盜竊，嚴(yán)重影響用戶的正常業(yè)務(wù)運(yùn)營(yíng)，有損其形象。

因此安恒信息逐漸具有向用戶提供有個(gè)性化、立體化安全方案的能力，為企業(yè)證多元化的網(wǎng)絡(luò)安全檢測(cè)防護(hù)：

網(wǎng)絡(luò)安全檢測(cè)技術(shù)主要包括實(shí)時(shí)安全監(jiān)控技術(shù)和安全掃描技術(shù)。實(shí)時(shí)安全監(jiān)控技術(shù)通過硬件或軟件實(shí)時(shí)檢查網(wǎng)絡(luò)數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫的數(shù)據(jù)相比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立即根據(jù)用戶所定義的動(dòng)作做出反應(yīng)。這些動(dòng)作可以是切斷網(wǎng)絡(luò)連接，也可以是通知WEB應(yīng)用防火墻系統(tǒng)調(diào)整訪問控制策略，將入侵的數(shù)據(jù)包過濾掉。安全掃描技術(shù)(包括網(wǎng)絡(luò)遠(yuǎn)程安全掃描、WEB應(yīng)用防火墻系統(tǒng)掃描、Web網(wǎng)站掃描和系統(tǒng)安全掃描等技術(shù))可以對(duì)Web站點(diǎn)、主機(jī)操作系統(tǒng)以及WEB應(yīng)用防火墻系統(tǒng)的安全漏洞進(jìn)行掃描，及時(shí)發(fā)現(xiàn)漏洞并予以修復(fù)，從而降低系統(tǒng)的安全風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全檢測(cè)技術(shù)基于自適應(yīng)安全管理模式。該管理模式認(rèn)為：任何一個(gè)網(wǎng)絡(luò)都不可能安全防范其潛在的安全風(fēng)險(xiǎn)。它有兩個(gè)特點(diǎn)：一是動(dòng)態(tài)性和自適應(yīng)性，這可通過網(wǎng)絡(luò)安全掃描軟件的升級(jí)及網(wǎng)絡(luò)安全監(jiān)控中的入侵特征庫的更新來實(shí)現(xiàn);二是應(yīng)用層次的廣泛性，可用于操作系統(tǒng)、網(wǎng)絡(luò)層和應(yīng)用層等各個(gè)層次網(wǎng)絡(luò)安全漏洞的檢測(cè)。

很多早期的網(wǎng)絡(luò)安全掃描軟件是針對(duì)遠(yuǎn)程網(wǎng)絡(luò)安全掃描。這些掃描軟件能檢測(cè)并分析遠(yuǎn)程主機(jī)的安全漏洞。事實(shí)上，由于這些軟件能夠遠(yuǎn)程檢測(cè)安全漏洞。因而也恰是網(wǎng)絡(luò)攻擊者進(jìn)行攻擊的有效工具。網(wǎng)絡(luò)攻擊者利用這些掃描軟件對(duì)目標(biāo)主機(jī)進(jìn)行掃描，檢測(cè)可以利用的安全性弱點(diǎn)，通過一次掃描得到的信息將是進(jìn)一步攻擊的基礎(chǔ)。這也說明安全檢測(cè)技術(shù)對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)管理員可以利用掃描軟件，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和利用之前予以修補(bǔ)，從而提高網(wǎng)絡(luò)的安全性。

利用網(wǎng)絡(luò)安全檢測(cè)技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測(cè)和實(shí)時(shí)攻擊識(shí)別，但它只能作為網(wǎng)絡(luò)安全的一個(gè)重要的安全組件，還應(yīng)該結(jié)合WEB應(yīng)用防火墻組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案。

如何更有效的關(guān)聯(lián)業(yè)務(wù)應(yīng)用與安全措施？如何結(jié)合WEB應(yīng)用防火墻組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案？且聽下回分解！