【51CTO.com 綜合報道】近日，Gartner公布的一份調查顯示，有75%的惡意攻擊行為是針對Web應用的，僅有很少一部分是針對網絡層的。調查數據顯示，近2/3的Web站點相當脆弱，容易受到不同程度的惡意攻擊。這意味著，Web網站的安全防御應該成為企業信息化建設所關注的焦點，然而，事實上絕大多數企業將大量的投資花費在網絡和服務器的安全上，并沒有從真正意義上保證 Web 業務本身的安全，才給了黑客可乘之機。

根據世界知名的Web安全研究組織OWASP提供的報告，目前對Web業務系統威脅最嚴重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。

注入漏洞攻擊。特別是SQL注入漏洞，主要是利用目標網站程序未對用戶輸入的字符進行特殊字符過濾或合法性校驗，可直接執行數據庫語句，導致網站存在安全風險通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截注入攻擊。

跨站腳本漏洞攻擊，是指目標網站對用戶提交的變量代碼未進行有效的過濾或轉換，允許攻擊者插入惡意Web代碼（通常是一些經過構造的javascript語句），劫持用戶會話、篡改網頁信息甚至引入蠕蟲病毒等通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截跨站點腳本( XSS )攻擊。

從以往發生的安全事件來看，Web攻擊可導致的后果極為嚴重，通過上述手段將一個合法正常網站攻陷，利用獲取到的相應權限在網頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機上，從而實現攻擊目的。如：盜取各類用戶賬號，如機器登錄賬號、用戶網銀賬號、各類管理員賬號。控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力。盜竊企業重要的具有商業價值的資料。非法轉賬。網站掛馬。控制受害者機器向其他網站發起攻擊……

鑒于上述對Web常見攻擊的分析，對Web及客戶端的保護已經刻不容緩，為此，來自聯想網御的安全專家通過51CTO安全頻道，給廣大企業信息化管理者提出了以下幾點建議：

首先，解決Web服務器端安全問題。具體的解決辦法可采取源代碼審計與部署入侵防護系統相結合的方式，源代碼審計是經過專業安全人員，對Web應用程序源代碼進行安全性檢查，對程序的輸入輸出函數進行安全測試，最大程度保障Web程序的自身代碼安全；并通過部署入侵防護系統，針對跨站腳本、SQL注入、cookies注入、參數篡改等Web攻擊方式進行主動防護。

其次，解決Web瀏覽客戶端安全。主要是防范遠程惡意代碼執行漏洞，其原理是通過構造精心設計的格式錯誤數據，由攻擊者觸發系統漏洞，并在客戶端軟件中更改代碼執行路徑，來執行由攻擊者隨格式錯誤數據附帶惡意代碼或程序的利用過程。如果客戶端瀏覽器中存在未修補的惡意代碼執行漏洞或0day漏洞，當訪問受惡意代碼感染的站點時，該站點會自動在登錄用戶的瀏覽器中運行攻擊者的惡意代碼，并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序，如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統后臺漏洞執行，所有這一切根本無需任何用戶交互操作。所以應盡量使用已采用常規堆棧保護措施版本的Web瀏覽器，來防止基于堆棧和基于堆的緩沖區溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經提供基于數據執行保護（ DEP ）或不執行（ NX）的內存保護措施，Internet Explorer 8平臺在Internet控制面板選項開啟“啟用內存保護幫助減少聯機攻擊”的選項就可以有效防止遠程代碼攻擊；另外建議部署統一的內網管理系統，統一對關鍵應用程序和系統補丁進行時時監控和統一升級，保證客戶端和內網安全。

再次，是解決對木馬、病毒的防治。建議安裝終端防病毒、防火墻軟件并保持時時更新，開啟入侵防護系統病毒木馬防護策略，建立統一病毒防護體系，如在網絡邊界部署網絡防毒墻，對關鍵服務器和客戶端進行重點防護，并對其網絡連接進行入侵檢測監控，保證安全風險在一個可控的范圍內。

實際上，針對當前Web安全形勢，包括聯想網御在內的一大批國內知名廠商提出了一系列的安全解決方案。這些方案從多個角度對企業IT應用現狀進全方位地評估和分析，充分了解系統面臨的風險狀況，通過安全評估、安全修復和部署相應產品相結合的方式，才能最大程度保護Web系統應用的安全。