Web應用安全日趨嚴重我們該拿什么拯救
黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。這也使得越來越多的用戶關注應用層的安全問題,對Web應用安全的關注度也逐漸升溫。
Web安全威脅日趨嚴重的原因
目前很多業務都依賴于互聯網,例如說網上銀行、網絡購物、網游等,很多惡意攻擊者出于不良的目的對Web 服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣,Web業務平臺最容易遭受攻擊。同時,對Web服務器的攻擊也可以說是形形色色、種類繁多,常見的有掛馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。
一方面,由于TCP/IP的設計是沒有考慮安全問題的,這使得在網絡上傳輸的數據是沒有任何安全防護的。攻擊者可以利用系統漏洞造成系統進程緩沖區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶權限來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。而應用層面的軟件在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩沖區溢出、SQL注入等等流行的應用層攻擊,這些均屬于在軟件研發過程中疏忽了對安全的考慮所致。
另一方面,用戶對某些隱秘的東西帶有強烈的好奇心,一些利用木馬或病毒程序進行攻擊的攻擊者,往往就利用了用戶的這種好奇心理,將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費軟件等文件中,然后把這些文件置于某些網站當中,再引誘用戶去單擊或下載運行。或者通過電子郵件附件和QQ、MSN等即時聊天軟件,將這些捆綁了木馬或病毒的文件發送給用戶,利用用戶的好奇心理引誘用戶打開或運行這些文件。
黑客們另一種常用的方式,即把木馬或病毒編寫成一個腳本,然后嵌入到網頁、電子郵件及QQ等聊天軟件的消息當中,或作一個超級連接指向這個腳本,只要用戶打開包含有嵌入這些木馬或病毒的網頁、電子郵件和聊天信息窗口,或單擊指向這些木馬及病毒腳本的超級連接,這些木馬或病毒程序就這樣輕松地進入了用戶的PC當中。
網絡釣魚攻擊的方式也是多種多樣,其中之一便是偽造一個十分相似的網站界面,引誘用戶在這個假冒的網上銀行網站進行登錄操作,有些用戶輕易相信引誘信息,再加上粗心大意,其后果就不堪設想了。
現今企業當中,移動辦公的趨勢越來越明顯,大部分的企業員工會把計算機帶回家中工作,或者在公共場所接入互聯網,他們成為當前Web威脅首先侵入的目標。而企業員工對互聯網依賴性的加劇,也使得公司網絡比以往更加容易受到將員工做為跳板的惡意程序的攻擊。惡意程序的主要入侵途徑已經轉變為HTTP方式,而且病毒產生速度快、變種多,令本來就脆弱的企業網絡雪上加霜。
面對來勢洶洶的應用威脅,絕大多數企業并沒有真正意識到其中的危機。一方面,惡意網站以600%的年增長速度在迅速增加;另一方面,77%帶有惡意代碼的網站是被植入惡意攻擊代碼的合法網站。這些威脅正往定向、復合式攻擊發展,其中一種攻擊會包括多種威脅,比如病毒、蠕蟲、特洛伊、間諜軟件、僵尸、網絡釣魚電子郵件、漏洞利用、下載程序、社會工程、rootkit、黑客等,造成拒絕服務、服務劫持、信息泄露或篡改等危害。另外,復合攻擊也加大了收集所有“樣本”的難度,造成的損害也是多方面的,潛伏期難以預測,甚至可以遠程可控地發作。
我們又該如何應對Web威脅
隨著多形態攻擊的數量越來越多,傳統防護手段的安全效果也越來越差,總是處于預防威脅-檢測威脅-處理威脅-策略執行的循環之中。更為嚴峻的是,傳統的僅針對終端設備的防病毒解決方案并不能應對當前變化多端的Web威脅。
作為個人用戶來說,應該本身對網絡安全防范的加深和正確認識,不斷提高自身的計算機及網絡應用技術水平加固計算機的安全,以及努力克服自己的好奇心,消除貪圖小便宜的心理,規范自己的網絡操作行為,來緩解決Web應用安全問題日趨嚴重的趨勢。
對于企業用戶,針對Web應用的安全產品,可以分為網絡、Web服務器自身以及程序安全三方面。在網絡方面,可以考慮將防火墻、IDS/IPS、安全網關、防病毒墻等產品部署在Web服務器前面,這樣可以防御大部分的攻擊。此外,可以通過部署更安全的Web服務器、Web服務器自身的保護系統,比如網頁防篡改保護系統(防篡改保護和恢復軟件)、惡意主動防御系統、訪問控制系統、審計系統等產品,做到自動掃描和監控,從而保護系統和文件。目前已經出現了程序安全的研究方向,我們也希望能夠早日看到相關產品。
最后我們要做到“兩手抓、兩手都要硬”,用一句形象的比喻來說明:防火墻/入侵檢測系統如同金鐘罩鐵布衫等外功,防止明槍;而更重要的是需要修煉太極等內功,彌補自身的漏洞,躲避暗箭,內外兼修的效果將使您的企業縱橫江湖。
Web安全威脅的內容還有很多,希望大家還要多多掌握。
【編輯推薦】
