Web安全

Web安全

隨著Web2.0、社交網路、微博等等一系列新型的網際網路產品的誕生,基於Web環境的網際網路應用越來越廣泛,企業信息化的過程中各種應用都架設在Web平台上,Web業務的迅速發展也引起黑客們的強烈關注,接踵而至的就是Web安全威脅的凸顯,黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web伺服器的控制許可權,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。

現狀原因


目前很多業務都依賴於網際網路,例如說網上銀行、網路購物、網游等,很多惡意攻擊者出於不良的目的對Web 伺服器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣,Web業務平台最容易遭受攻擊。同時,對Web伺服器的攻擊也可以說是形形色色、種類繁多,常見的有掛馬、SQL注入、緩衝區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。
一方面,由於TCP/IP的設計是沒有考慮安全問題的,這使得在網路上傳輸的數據是沒有任何安全防護的。攻擊者可以利用系統漏洞造成系統進程緩衝區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶許可權來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。而應用層面的軟體在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩衝區溢出、SQL注入等等流行的應用層攻擊,這些均屬於在軟體研發過程中疏忽了對安全的考慮所致。
另一方面,用戶對某些隱秘的東西帶有強烈的好奇心,一些利用木馬或病毒程序進行攻擊的攻擊者,往往就利用了用戶的這種好奇心理,將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費軟體等文件中,然後把這些文件置於某些網站當中,再引誘用戶去單擊或下載運行。或者通過電子郵件附件和QQ、MSN等即時聊天軟體,將這些捆綁了木馬或病毒的文件發送給用戶,利用用戶的好奇心理引誘用戶打開或運行這些文件。

攻擊種類


1、SQL注入:即通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令,比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL注入式攻擊。
2、跨站腳本攻擊(也稱為XSS):指利用網站漏洞從用戶那裡惡意盜取信息。用戶在瀏覽網站、使用即時通訊軟體、甚至在閱讀電子郵件時,通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼,就能夠盜取用戶信息。
3、網頁掛馬:把一個木馬程序上傳到一個網站裡面然後用木馬生成器生一個網馬,再上到空間裡面,再加代碼使得木馬在打開網頁里運行。

防火牆


Web應用安全問題本質上源於軟體質量問題。但Web應用相較傳統的軟體,具有其獨特性。Web應用往往是某個機構所獨有的應用,對其存在的漏洞,已知的通用漏洞簽名缺乏有效性;需要頻繁地變更以滿足業務目標,從而使得很難維持有序的開發周期;需要全面考慮客戶端與服務端的複雜交互場景,而往往很多開發者沒有很好地理解業務流程;人們通常認為Web開發比較簡單,缺乏經驗的開發者也可以勝任。
Web應用安全,理想情況下應該在軟體開發生命周期遵循安全編碼原則,並在各階段採取相應的安全措施。然而,多數網站的實際情況是:大量早期開發的Web應用,由於歷史原因,都存在不同程度的安全問題。對於這些已上線、正提供生產的Web應用,由於其定製化特點決定了沒有通用補丁可用,而整改代碼因代價過大變得較難施行或者需要較長的整改周期。
這種現狀,專業的Web安全防護工具是一種合理的選擇。WEB應用防火牆(以下簡稱WAF)正是這類專業工具,提供了一種安全運維控制手段:基於對HTTP/HTTPS流量的雙向分析,為Web應用提供實時的防護。
常見的WEB安全產品有梭子魚WEB應用防火牆等。

技術一覽


由於黑客的職業化程度越來越高,針對Web應用的攻擊手段和技術日趨高明、隱蔽,致使大多Web應用處在高風險環境下開展。網站遭受攻擊將直接衝破企業應用的安全底線,損害企業的社會形象,導致客戶流失。梭子魚WEB應用防火牆能夠為企業提供強大的應用層安全防護,同時通過梭子魚直觀、實時的管理界面對Web應用進行統一的安全管理。
全面Web站點防護
統網路防火牆的低層處理機制以及與IPS對於HTTP、HTTPS和FTP流量的簡單操作相比,WEB應用防火牆則對HTTP流量進行代理,並全面掃描7層數據,確保攻擊在到達Web伺服器之前就將其阻斷。許多Web應用由於斷斷續續的代碼加固及安全維護,致使這些Web應用通常存在嚴重的安全漏洞及隱患。防火牆能夠阻斷所有常見的Web攻擊。作為一個反向代理,在阻斷攻擊的同時,能夠對外發的HTTP響應進行全面的監控,確保諸如信用卡卡號、社保卡卡號等敏感信息的泄露。結合動態學習功能,應用防火牆能夠學習Web伺服器的內在結構並生成策略,確保網站的高安全性。