以下的文章主要向大家講述的是正確抵御全球13類網站攻擊的Web安全網關，此新方案主要是彌補了傳統網站保護方案僅打補丁或是單一網絡封堵的思路，而是多管齊下，從網絡防御、網址過濾、信息內容監管、漏洞管理、內外郵件掃描等多個環節對網站Web服務器進行安全保護。

近日，高性能Web 2.0安全解決方案廠商與高端Web安全設備提供商----Wedge Networks（穩捷網絡）宣布，基于公司BeSecure Web安全網關構建企業網站保護方案，成功實現對全球十三類網站攻擊行為完整防御，確保用戶網站的整體信息安全。據悉，新方案彌補了傳統網站保護方案僅打補丁或單一網絡封堵的思路，而是多管齊下，從網絡防御、網址過濾、信息內容監管、漏洞管理、內外郵件掃描等多個環節對網站Web服務器進行安全保護。

抵御全球十三類網站攻擊的Web安全網關攻擊一：代碼執行攻擊

描述

當輸出或者觸發服務器端代碼時，漏洞植入到代碼中。在有些不嚴密的Web應用程序中，用戶可以通過修改應用程序發布到留言板或留言簿，有時可能是注入的應用程序本身的腳本語言代碼的服務器端文件。

危害

用戶可能會執行與Web服務器權限外的任意系統命令。

抵御全球十三類網站攻擊的Web安全網關

攻擊二：Cookie操作攻擊

描述

Cookie信息很容易被攻擊者解密。由于Cookie是利用了網頁代碼中的HTTP或者META的頭信息進行傳遞的，因此可以改變存儲在客戶瀏覽器中的設置。攻擊者修改Cookie信息，以欺詐的手段進行輸入驗證。

危害

通過利用此漏洞，攻擊者可以進行固定會話攻擊。在一個固定會話攻擊中，攻擊者使用他人的信息進行會話，然后以用戶身份登錄到目標服務器，最后再消除登陸會話的ID。

抵御全球十三類網站攻擊的Web安全網關

攻擊三：CRLF注入/ HTTP響應拆分攻擊

描述

該腳本很容易被將CRLF命令注入到系統中。HTTP頭的定義就是基于“Key: Value”的結構，用CRLF命令表示一行的結尾。這就意味著攻擊者可以通過CRLF注入自定義HTTP 頭，導致其可以不經過應用層直接與服務器對話。HTTP響應拆分漏洞是一種新型的Web攻擊方案，它重新產生了很多安全漏洞包括：Web緩存感染、用戶信息涂改、竊取敏感用戶頁面、跨站腳本漏洞。攻擊者可以發送一個或幾個HTTP指令迫使漏洞服務器產生一個攻擊者構想好的輸出。它可以讓服務器誤把幾條HTTP請求看成一次完整的HTTP請求來解釋。

危害

一個遠程攻擊者可以注入自定義的HTTP頭。例如，攻擊者可以注入會話Cookie或HTML代碼。這種行為可能導致跨站腳本攻擊固定會話攻擊。

攻擊四：跨站腳本攻擊

描述

跨站腳本（也稱為XSS攻擊）是一個漏洞，攻擊者可以發送惡意腳本（通常以JavaScript的形式）到另一個用戶。由于瀏覽器無法分辨此信息是否可信，入侵者運用腳本將Cookie保存了完整的用戶名和密碼資料保存到記錄頁面中。#p#

危害

XSS可使用的技術有JavaScript、VBScript、 ActiveX、 或 Flash， 且通常通過頁面表單提交注入到web應用中并最終在用戶的瀏覽器客戶端執行。

抵御全球十三類網站攻擊的Web安全網關

攻擊五：目錄穿越攻擊

描述

目錄穿越漏洞允許攻擊者訪問受限制的目錄可以訪問Web服務器的根目錄。

危害

通過利用目錄穿越漏洞，攻擊者在一個Web服務器上使用這個軟件除了可以訪問服務器的根目錄外還可以訪問目錄里面的數據，導致Web服務器完全妥協。

攻擊六：列入攻擊

描述

這個腳本包含一個用戶提供的有確定名字的數據文件。這個數據未經正確驗證就被傳遞。

危害

遠程攻擊者可以通過在本地遠程控制文件資源和，或者執行與該Web服務器的權限外的任意腳本代碼。

攻擊七：LDAP注入漏洞攻擊

描述

LDAP是輕量目錄訪問協議，它是基于X.500標準的開放式標準協議。當一個Web應用程序沒有正確消除用戶提供的輸入信息，是很有可能被攻擊者改變LDAP語句的設置。

危害

攻擊者能夠修改LDAP聲明，這一進程將運行與組件執行的命令相同的權限。（如數據庫服務器、Web應用服務器、Web服務器等）。這可能會導致嚴重的安全問題，如可以查詢權限外信息的權利，修改或刪除LDAP樹里面的任何信息。

攻擊八：PHP代碼注入攻擊

描述

PHP代碼注入漏洞，允許攻擊者將自定義代碼注入到服務器端腳本引擎中。通過此漏洞，攻擊者無論在何時都可以控制全部輸入的字符串，把一個“eval（）”函數調用存儲到字符串中，試用版本將執行此代碼參數。

危害

用戶可能在服務器端執行注入的惡意PHP代碼。它可以運行系統命令，允許系統讀取PHP代碼或類似的功能。

攻擊九：遠程XSL攻擊

描述

該腳本很容易受到遠程XSL控制。攻擊者可以到XSL文件路徑控制此腳本，其中可能包括惡意的XSL文件。

危害

遠程攻擊者可以通過遠程來控制本地的XSL文件。攻擊者還可以利用XSS（跨站點腳本攻擊）來控制本地文件，甚至在某些情況下還可以執行PHP代碼。

抵御全球十三類網站攻擊的Web安全網關

攻擊十：腳本代碼暴露攻擊

描述

它可以讀通過使用腳本文件名作為參數，這個腳本的源代碼。看來，這個腳本包含一個確定的名字是使用用戶提供的數據文件。這個數據是不正確驗證之前被傳遞給包括功能。

影響

攻擊者可以收集敏感信息（數據庫連接字符串，應用程序邏輯）通過分析源代碼。這些信息可以被用來發動進一步襲擊。

抵御全球十三類網站攻擊的Web安全網關

攻擊十一：SQL注入攻擊

描述

SQL注入攻擊是一個漏洞，攻擊者可以通過操縱服務器端用戶輸入的SQL語句。當一個SQL注入接受用戶輸入的Web應用程序，直接放入一個SQL語句，不正確地篩選出危險的信息。這是目前互聯網上應用的一個最常見的應用層攻擊。事實上，盡管網絡應用相對脆弱，但此漏洞相對容易防范。

危害

攻擊者可以通過此漏洞來操縱系統上任意的SQL語句。這可能會危害數據庫的完整性或者暴露敏感的信息。 根據所使用的后端數據庫，SQL注入漏洞導致不同程度的攻擊數據或者訪問系統。它可能不只是現有的查詢操作，或者是任意數據聯盟、使用子查詢、追加額外的查詢。在某些情況下，它可能會讀出或寫入文件或控制系統執行上層命令。 如Microsoft SQL Server的某些SQL服務器包含存儲和擴展程序（數據庫服務功能）。如果一個攻擊者能夠訪問這些程序有可能危及整個機器。

攻擊十二：XPath注入漏洞攻擊

描述

該腳本很容易受到XPath注入攻擊。

XPath注入攻擊是一種通過用戶提供的XPath查詢語句，利用網絡技術來構建網站。

危害

未經認證的攻擊者可以提取一個完整的XML文檔來使用XPath查詢。這可能會損害數據庫的完整性，泄露敏感信息。

抵御全球十三類網站攻擊的Web安全網關

攻擊十三：盲目SQL注入（定時）攻擊

描述

攻擊十一與攻擊十二的混合體。

危害

未經認證的攻擊者可以執行任意SQL系統及未經保護的XPath語句。這可能會損害數據庫和完整性或者泄露敏感信息。

【編輯推薦】

1. 全球首發萬兆深度內容檢測Web安全網關精簡版
2. 選購企業Web安全網關你需要注意什么？
3. 選擇UTM和Web安全網關的正確操作手段
4. Websense Web安全網關TruHybrid部署
5. Blue Coat繼續領導Web安全網關和廣域網優化市場