終極Web安全防護解決方案—主動出擊
在Web信息系統高速發展的今天,Web信息系統的各種各樣的安全問題已暴漏在我們面前。就在8月份聯想網御安全服務部滲透測試工程師在給某部委的OA信息系統做滲透測試時,發現該OA信息系統的多處安全漏洞。OA信息系統采用JSP+Oracle的B/S架構設計,滲透測試工程師對OA信息安全測試時發現幾處SQL注入及XSS跨站漏洞。SQL注入漏洞可以獲取所有表的數據,可以對數據庫的數據進行添加、刪除等操作,可以獲取數據庫的諸多配置及對主機系統執行shell命令。
應客戶要求,滲透測試工程師針對XSS跨站漏洞進行了測試,在短時間內就收集到多個用戶的Cookies,發現Cookies信息里包含用戶密碼的MD5值。此處的XSS跨站漏洞經測試都可以被嵌入惡意網頁、自動發送短信息、網絡釣魚等。OA系統的多處XSS漏洞,如果被人惡意利用,嚴重的話就會在OA系統內產生XSS蠕蟲病毒。
僅在2009年上半年,著名的社交網站校內網就爆發了多處的XSS Worm威脅,就在前幾天在校內網又爆發了Flash XSS Worm威脅,現在已經有許多的用戶執行惡意代碼并受到了各種病毒威脅。相信08年的QQ Mail的XSS跨站漏洞大家都還記憶猶新,當你打開一封QQ好友發來的信件時,惡意代碼已經悄悄被你執行了,此時你主機可能成為黑客的一臺肉機。
Web信息系統各種安全問題潛伏在Web系統中,Web系統的時時刻刻遭受各種攻擊的安全威脅。現在大多數的企業已經意識到Web信息系統的安全威脅,采取了眾多安全措施,花費大量的人力物力在網絡及服務器的安全上,為什么信息系統還是得不到真正的安全呢?
企業的Web安全現狀:
現在據調查統計75%網絡攻擊行為都來自于Web應用層面而非網絡層面,同時調查表明國內有近大于50%的站點存在各種Web層面的安全問題。現在很多的企業給自己的網絡應用了入侵檢測系統、網絡防火墻、VPN、網絡防病毒系統等,為什么還得不到真正的安全呢?我們應用了諸多的安全設備,但是我們的Web服務還是要外開放的,也就是說80、443端口還是要開放的。80及443即是Http及Http服務的端口,只要你的Web服務開放,那么與Web服務通訊的信息,有些是正常的訪問,有些是帶有攻擊行為的訪問,Web系統無法判斷那些訪問是惡意的訪問,所有你的Web系統就會出現諸多Web層面的安全問題。
現在企業的Web信息系統大多為新聞、留言版、郵件、Blog、論壇、OA及其它應用系統,試想一下這些多的Web信息系統沒有安全漏洞的嗎?目前關于Web信息系統出現的漏洞最多最嚴重的漏洞就是SQL Injection、XSS跨站安全漏洞。
SQL Injection漏洞
SQL Injection,中文名稱為“SQL 注入”是一種數據庫攻擊手段,也是Web應用程序漏洞存在的一種表現形式,它的實際意義就是利用某些數據庫的外部接口把用戶數據插入到實際的數據庫操作語言當中,從而達到入侵數據庫乃至操作系統的目的。
Web程序員在編寫Web系統時對Web的安全性考慮不夠,對用戶輸入的數據沒有進行有限的驗證及過濾,從而會引發SQL注入漏洞。如果我們的新聞系統或者OA辦公系統出現SQL注入漏洞,那么攻擊者通過構造的特殊SQL語句就可以查看、插入、刪除數據的的數據及可以執行主機的系統命令等具有很大的危害。
SQL注入攻擊具有如下特點:
(1)sql 注入種類繁多:
按數據庫分類就有:
Access、MsSql、Oracle、Informix 、DB2、Sybase 、PostgreSQL 、SQLite 數據庫注入,幾乎包含了所有的主流數據庫。
按程序語言分類就有:
ASP、ASPX、JSP、PHP、CGI、PL注入,也幾乎包含了所有Web編程語言。
按程序提交數據方式分類就有:
GET注入、POST注入、Cookies注入等。
這導致傳統的特征匹配檢測方法僅能識別相當少的攻擊,難以防范。
(2)攻擊過程簡單,目前互聯網上流行眾多的SQL注入攻擊工具,攻擊者借助這些工具可很快對目標Web系統實施攻擊和破壞。
(3)危害大,由于Web編程語言自身的缺陷以及具有安全編程能力的開發人員少之又少,大多數Web業務系統均具有被SQL注入攻擊的可能。而攻擊者一旦攻擊成功,可以對控制整個Web業務系統,對數據做任意的修改數據、甚至刪除整個數據庫,給企事業單位帶來毀滅性的災難。
(4)SQL攻擊語句多樣性
就SQL注入攻擊語句就有有攻擊語句大小寫混淆、部分攻擊語句url編碼性、部分攻擊語句16進制編碼等編碼格式、就空格字符就可以用“+”“、“/**/”、“%09”、“[TAB]空格”字符來代替空格。
#p#
XSS 跨站漏洞
XSS攻擊:跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經常出現在Web應用中的計算機安全漏洞,它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊
而變得廣為人知。對于跨站腳本攻擊,黑客界共識是:跨站腳本攻擊是新型的“緩沖區溢出攻擊“,而JavaScript是新型的“ShellCode”。
XSS 漏洞的特點:
(1)XSS跨站漏洞種類多樣性:XSS攻擊語句可插入到、URL地址參數后面、輸入框內、img標簽及DIV標簽等HTML函數的屬性里、Flash的getURL()動作等地方都會觸發XSS漏洞。
(2)XSS跨站漏洞代碼多樣性:
為了躲避轉義HTML特殊字符函數及過濾函數的過濾,XSS跨站的代碼使用“/”來代替安字符“””、使用Tab鍵代替空格、部分語句轉找成16進制、添加特殊字符、改變大小寫及使用空格等來繞過過濾函數。
如果在您的新聞系統發現安全漏洞,如果該漏洞是一個SQL 注入漏洞,那么該漏洞就會得到您的網站管理員密碼、可以在主機系統上執行shell命令、對數據庫添加、刪除數據。如果在您的新聞或郵件系統中發現安全漏洞,如果該漏洞是一個XSS跨站漏洞,那么可以構造一些特殊代碼,只要你訪問的頁面包含了構造的特殊代碼,您的主機可能就會執行木馬程序、執行盜取Cookies代碼、突然轉到一個銀行及其它金融類的網站、泄露您的網銀及其它賬號與密碼等。
現在Web業務系統的安全防護意見不統一,最早我們以為使用了防火墻關閉了危險端口、安裝了殺毒軟件我們的信息系統將會很安全。現在隨著企業對信息安全重示及關主度的提高,開始為自己的信息安全部署入侵預防系統(IPS: Intrusion Prevension System)來提高信息系統的安全性,由于技術等各方面因素制約,IPS并不能100%正確分析入侵行為,從而可能會阻斷有用信息,導致業務系統的客戶獲取信息不全,因此不適用于對數據完整性有較高要求的場合。
因IPS存在的一定的誤報性,所以一些企業會把IPS的高危險策略的動作由阻斷改為忽略。IPS的檢測技術流程是攻擊者向我們服務器提交惡意的代碼時,我們的IPS會做它做出一個動作是阻斷還是放行,只有攻擊者在向我們服務器進行攻擊時我們才IPS才會做出動作,所以我們不能真正了解目前我們的Web信息系統的安全狀態,我們信息系統的安全一直處在被動的狀態。我們的信息系統同樣得不到真正的安全,那怎么來保護我們信息系統的安全呢?
主動出擊防護您的信息系統
聯想網御安全服務部成立多年來,一直關注于國內信息安全的發展趨勢,目前,應用安全已經成為信息安全中的重點。應用系統是客戶的業務、生產系統的基本組成,應用系統安全才是客戶目前都迫切解決的安全。針對目前客戶所面臨信息安全的狀況,聯想網御把以往的安全服務項目做了一個針對性的調整,推出了“Web應用安全服務” 。
“Web應用安全服務”是針對客戶的Web應用系統首先由專業滲透測試工程師對Web應用系統進行滲透測試;具有安全編程的工程師對Web源代碼進行安全審計;對客戶的網絡環境進行安全評估;最后把滲透測試、源代碼審計、網絡評估的安全加固,做出一個全面有針對性的安全加固方案。全面對主機系統、Web應用服務器、網絡設備進行安全加固,保證客戶的Web應用安全,使客戶安全放心使用信息系統。
【編輯推薦】
