如今的互聯(lián)網(wǎng)中90%的應(yīng)用都架設(shè)在Web平臺(tái)上，網(wǎng)上銀行、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)游戲，以及企業(yè)網(wǎng)站等，成為生活和工作必不可少的一部分。所以，Web安全成為繼操作系統(tǒng)與業(yè)務(wù)軟件安全之后又一熱點(diǎn)，并且持續(xù)升溫?？v觀安全事件，重大的Web攻擊層出不窮，網(wǎng)絡(luò)安全從業(yè)者開(kāi)始跟黑客們?cè)谶@一焦點(diǎn)領(lǐng)域不斷的對(duì)抗。由于Web平臺(tái)的多樣性，以及HTTP協(xié)議及數(shù)據(jù)庫(kù)語(yǔ)言的靈活性，Web攻擊形式也五花八門(mén)，主要的攻擊方法有SQL注入、跨站腳本(XSS)、CC(Challenge Collapsar)等。

山石網(wǎng)科分別針對(duì)這三種攻擊進(jìn)行了針對(duì)性的方案設(shè)計(jì)。

目前很多Web攻擊防護(hù)產(chǎn)品在處理SQL注入和跨站腳本攻擊的問(wèn)題上，都是采用傳統(tǒng)入侵檢測(cè)方法，即基于正則表達(dá)式的規(guī)則匹配模式。這種方法在應(yīng)對(duì)SQL注入和跨站腳本攻擊時(shí)存在很大的缺陷：一是SQL注入和跨站腳本有很多種符合語(yǔ)法結(jié)構(gòu)的寫(xiě)法并可以進(jìn)行多種方式的編碼，這樣就能輕易繞過(guò)正則表達(dá)式的規(guī)則匹配模式，在檢測(cè)設(shè)備上出現(xiàn)漏報(bào);二是基于正則表達(dá)式的規(guī)則匹配模式是在攻擊發(fā)生后進(jìn)行攻擊分析并提取特征，然后對(duì)再次發(fā)生的同類(lèi)攻擊進(jìn)行防護(hù)，這樣的方法對(duì)0Day攻擊無(wú)能為力。而且隨著攻擊特征的不斷增加，攻擊防護(hù)對(duì)檢測(cè)設(shè)備性能也產(chǎn)生了極大的影響。

山石網(wǎng)科采用了基于語(yǔ)法分析的方式進(jìn)行檢測(cè)。任何企圖進(jìn)行SQL注入或跨站腳本攻擊的數(shù)據(jù)，不管形式如何變化，都必須滿足SQL和HTML語(yǔ)法的規(guī)定，山石網(wǎng)科根據(jù)這種特點(diǎn)進(jìn)行攻擊檢測(cè)，不僅零特征，可避免0day攻擊，而且以不變應(yīng)萬(wàn)變，誤報(bào)和漏報(bào)被最大限度的壓縮。

圖 山石網(wǎng)科 SQL注入&跨站腳本攻擊防護(hù)方案

CC攻擊防護(hù)的關(guān)鍵在能夠識(shí)別和區(qū)分出正常用戶的訪問(wèn)和惡意的攻擊。對(duì)于惡意攻擊的識(shí)別，山石網(wǎng)科采用了如下四種方法，用戶可以根據(jù)實(shí)際情況選擇使用：一是Auto-js-cookie：網(wǎng)關(guān)向客戶端發(fā)送head帶set-cookie的響應(yīng)報(bào)文，一些程序自動(dòng)發(fā)起的攻擊則無(wú)法正確回應(yīng)。二是Auto-redirect：網(wǎng)關(guān)向客戶端返回重定向報(bào)文，在重定向的url中加入cookie后綴，一些程序自動(dòng)發(fā)起的攻擊則無(wú)法正確回應(yīng)。三是Manual-confirm：網(wǎng)關(guān)在回應(yīng)報(bào)文中嵌入提示信息，并等待人工確認(rèn)，通過(guò)回應(yīng)的確認(rèn)報(bào)文來(lái)驗(yàn)證源IP的合法性，程序自動(dòng)發(fā)起的攻擊和僵尸網(wǎng)絡(luò)都無(wú)法進(jìn)行這種確認(rèn)。四是Manual-CAPTCHA：網(wǎng)關(guān)在回應(yīng)報(bào)文中嵌入一個(gè)問(wèn)答框做認(rèn)證來(lái)驗(yàn)證源IP的合法性，問(wèn)題可以是二元加減或4字符隨機(jī)字符串，進(jìn)一步加大了確認(rèn)難度，程序自動(dòng)發(fā)起的攻擊和僵尸網(wǎng)絡(luò)都無(wú)法進(jìn)行這種確認(rèn)。同時(shí)，方案支持對(duì)開(kāi)放代理的識(shí)別，用戶可以選擇對(duì)通過(guò)開(kāi)放代理訪問(wèn)的速率進(jìn)行限制。

外鏈檢查的目的是要杜絕某些網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬的行為，例如，在網(wǎng)頁(yè)中新添加的對(duì)外資源(例如frame、其他服務(wù)器上的js、css文件等等)的引用。當(dāng)開(kāi)啟外鏈檢查時(shí)，山石網(wǎng)科安全網(wǎng)關(guān)會(huì)對(duì)Web服務(wù)器應(yīng)答報(bào)文的內(nèi)容進(jìn)行分析，找到不符合外鏈規(guī)則的frame、iframe、link、object、applet、script等HTML標(biāo)簽。有些時(shí)候，Web服務(wù)器確實(shí)需要對(duì)外引用某些資源，例如js文件、css文件。此時(shí)可以配置允許對(duì)外引用的白名單，表示位于白名單中的資源是可信的。

目錄訪問(wèn)控制主要是為了防止Web Shell和敏感信息泄露。例如Web服務(wù)器允許上傳圖片文件，但是由于過(guò)濾不嚴(yán)格，攻擊者通過(guò)這個(gè)機(jī)制上傳了惡意代碼(Web Shell)。為了發(fā)現(xiàn)這樣的惡意上傳，可以把上傳的圖片保存的目錄設(shè)置成static。這樣山石網(wǎng)科安全網(wǎng)關(guān)就會(huì)檢查用戶訪問(wèn)請(qǐng)求POST數(shù)據(jù)和URI中是否有動(dòng)態(tài)可執(zhí)行代碼，以及請(qǐng)求文件的后綴名是否已知的動(dòng)態(tài)腳本后綴(例如.asp、.php、.js等等);同時(shí)服務(wù)器的應(yīng)答報(bào)文也會(huì)被檢查是否有動(dòng)態(tài)可執(zhí)行代碼。Web路徑下，有時(shí)候包含數(shù)據(jù)庫(kù)連接文件(里邊包含了數(shù)據(jù)庫(kù)路徑、用戶名、口令等信息)，這些文件是被Web服務(wù)器上其他文件引用的，不允許用戶直接訪問(wèn)他們。此時(shí)，就可以把它們的訪問(wèn)控制模式配置成deny。

在部署上，山石網(wǎng)科建議將安全網(wǎng)關(guān)直接部署在Web服務(wù)器前，對(duì)Web服務(wù)器進(jìn)行防護(hù)，可以滿足企業(yè)用戶日常的Web服務(wù)器防護(hù)需求。