第二回：未雨綢繆 構筑WEB安全檢測防護

引言：

隨著互聯網的逐漸普及，應用層安全問題正逐漸的顯露出來。越來越多的政府等重要網站或WEB辦公系統被滲透，在通過瀏覽器方式實現展現與交互的同時，用戶的業務系統所受到的威脅也隨之而來，并且隨著業務系統的復雜化及互聯網環境的變化，所受威脅也在飛速增長。而網絡管理人員卻對此無能為力，因為傳統的WEB應用防火墻和入侵檢測系統等安全產品并不能發現并阻止來自于應用層的入侵攻擊。網站應用的安全性事先必須進行有效測試和評估，這樣才能避免在日益增長的應用層攻擊事件中遭受損失。

江湖危機：WEB安全受到的挑戰

最權威的RSA大會研究顯示，Web應用安全已超過所有以前網絡層安全，逐漸成為最嚴重、最廣泛、危害性最大的安全問題。

WEB安全的挑戰主要來自以下幾個方面：

◆ XSS跨站攻擊

◆ SQL 注入

◆ 網絡釣魚

◆ 惡意代碼

◆ 偽造ARP報文

◆ RootKit隱身技術

◆ 等等

黑客出擊：攻擊由網絡層轉向應用層

隨著互聯網技術的迅猛發展，許多政府和企業的關鍵業務活動越來越多地依賴于WEB應用，在向客戶提供通過瀏覽器訪問企業信息功能的同時，企業所面臨的風險在不斷增加。主要表現在兩個層面：一是隨著Web應用程序的增多，這些Web應用程序所帶來的安全漏洞越來越多；二是隨著互聯網技術的發展，被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經濟利益驅動非常明顯。

然而與之形成鮮明對比的卻是：現階段的安全解決方案無一例外的把重點放在網絡安全層面，致使面臨應用層攻擊（如：針對WEB應用的SQL注入攻擊、跨站腳本攻擊等）發生時，傳統的網絡WEB應用防火墻、IDS/IPS等安全產品對網站攻擊幾乎不起作用，許多政府和企業門戶網站成為黑客組織成批傳播木馬的最有效途徑。

據統計75%的網絡攻擊和互聯網安全侵害源于應用軟件，網頁上的漏洞的根源還是來自程序開發者對網頁程序編制和檢測。未經過安全訓練的程序員缺乏相關的網頁安全知識；應用部門缺乏良好的編程規范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發程序上整治，僅僅靠打補丁和安裝WEB應用防火墻是遠遠不夠的。

安恒信息高手點析：面向應用層新型攻擊特點簡析

◆ 隱蔽性強：利用Web漏洞發起對WEB應用的攻擊紛繁復雜，包括SQL注入，跨站腳本攻擊等等，一個共同特點是隱蔽性強，不易發覺。

◆ 攻擊時間短：可在短短幾秒到幾分鐘內完成一次數據竊取、一次木馬種植、完成對整個數據庫或Web服務器的控制，以至于非常困難做出人為反應。

◆危害性大：目前幾乎所有銀行，證券，電信，移動，政府以及電子商務企業都提供在線交易，查詢和交互服務。用戶的機密信息包括賬戶，個人私密信息（如身份證），交易信息等等，都是通過Web存儲于后臺數據庫中，這樣，在線服務器一旦癱瘓，或雖在正常運行，但后臺數據已被篡改或者竊取， 都將造成企業或個人巨大的損失。據權威部門統計，目前身份失竊（identity theft）已成為全球最嚴重的問題之一。

◆ 造成非常嚴重的有形和無形損失：目前，很多大型企業都是在國內外上市的企業，一旦發生這類安全事件，必將造成人心惶惶，名譽掃地，以致于造成經濟和聲譽上的巨大損失，即便不上市，其影響和損失也是不可估量的。#p#

江湖告急：現有的網絡層防護產品面對應用層攻擊束手無策

傳統的WEB應用防火墻或IDS產品存在以下不足：

◆ WEB應用防火墻：通過端口限制實現訪問控制，但對于WEB應用而言，其HTTP/HTTPS端口是開放的。因此，WEB應用防火墻無法檢測到WEB應用攻擊的發生，更談不上阻止攻擊。

◆ IDS：依靠特征庫檢測已知攻擊，而對于WEB應用攻擊，變形非常多（比如：SQL注入、跨站腳本、惡意文件包含等），IDS無法窮盡所有的特征，當然，更加不可能預知未來的變形。

Web應用安全現狀分析

◆ 網站及在線Web應用（B/S）的重要性

據CNCERT/CC（國家互聯網應急中心）發布的網絡安全工作報告顯示，我國網站的安全問題十分嚴峻，大量網站被黑客入侵和篡改，甚至被植入木馬攻擊程序，成為黑客的得力工具。利用網站操作系統的漏洞和WEB服務程序的SQL注入漏洞等，黑客能夠得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼（俗稱"網頁掛馬"），使得更多網站訪問者受到侵害。網頁掛馬是黑客最喜歡的木馬散播方式。

很多用戶的網站或基于Web的在線應用系統（B/S架構）承擔著"對外交流、公開信息、網上辦事、在線業務"等重要職能，是服務于和諧社會的窗口。如此重要的網站和系統，一旦受到黑客攻擊，不僅影響用戶的正常工作，降低網站的公信力，嚴重的情況下會導致重要信息的泄密，危及其形象。

常見WEB應用攻擊影響分析

◆ 網頁木馬：直接控制網站主機或者借此攻擊訪問者客戶端

◆ SQL注入漏洞：數據庫信息竊取、篡改、刪除

◆ Cookie注入：數據庫信息竊取、篡改、刪除，控制服務器

◆ 跨站腳本漏洞：用戶證書、網站信息、用戶信息被盜

◆ 緩沖區溢出：攻陷和控制服務器

◆ 表單繞過漏洞：攻擊者訪問禁止訪問的目錄

◆ 文件上傳漏洞：主頁篡改、數據損壞和傳播木馬

文件包含：服務器信息竊取、攻陷和控制服務器

安恒信息專家提出，如果存在上述安全隱患，若不及時修復有可能導致網站頁面被篡改、網頁木馬傳播、后臺數據庫信息被篡改或盜竊，嚴重影響用戶的正常業務運營，有損其形象。

因此安恒信息逐漸具有向用戶提供有個性化、立體化安全方案的能力，為企業證多元化的網絡安全檢測防護：

網絡安全檢測技術主要包括實時安全監控技術和安全掃描技術。實時安全監控技術通過硬件或軟件實時檢查網絡數據流并將其與系統入侵特征數據庫的數據相比較，一旦發現有被攻擊的跡象，立即根據用戶所定義的動作做出反應。這些動作可以是切斷網絡連接，也可以是通知WEB應用防火墻系統調整訪問控制策略，將入侵的數據包過濾掉。安全掃描技術(包括網絡遠程安全掃描、WEB應用防火墻系統掃描、Web網站掃描和系統安全掃描等技術)可以對Web站點、主機操作系統以及WEB應用防火墻系統的安全漏洞進行掃描，及時發現漏洞并予以修復，從而降低系統的安全風險。

網絡安全檢測技術基于自適應安全管理模式。該管理模式認為：任何一個網絡都不可能安全防范其潛在的安全風險。它有兩個特點：一是動態性和自適應性，這可通過網絡安全掃描軟件的升級及網絡安全監控中的入侵特征庫的更新來實現;二是應用層次的廣泛性，可用于操作系統、網絡層和應用層等各個層次網絡安全漏洞的檢測。

很多早期的網絡安全掃描軟件是針對遠程網絡安全掃描。這些掃描軟件能檢測并分析遠程主機的安全漏洞。事實上，由于這些軟件能夠遠程檢測安全漏洞。因而也恰是網絡攻擊者進行攻擊的有效工具。網絡攻擊者利用這些掃描軟件對目標主機進行掃描，檢測可以利用的安全性弱點，通過一次掃描得到的信息將是進一步攻擊的基礎。這也說明安全檢測技術對于實現網絡安全的重要性。網絡管理員可以利用掃描軟件，及時發現網絡漏洞并在網絡攻擊者掃描和利用之前予以修補，從而提高網絡的安全性。

利用網絡安全檢測技術可以實現網絡安全檢測和實時攻擊識別，但它只能作為網絡安全的一個重要的安全組件，還應該結合WEB應用防火墻組成一個完整的網絡安全解決方案。

如何更有效的關聯業務應用與安全措施？如何結合WEB應用防火墻組成一個完整的網絡安全解決方案？且聽下回分解！