【51CTO.com綜合報(bào)道】在Web信息系統(tǒng)高速發(fā)展的今天，Web應(yīng)用服務(wù)已經(jīng)成為當(dāng)前互聯(lián)網(wǎng)最為流行的業(yè)務(wù)。大量的在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行的同時(shí)，Web信息系統(tǒng)也面臨著各種各樣的安全問(wèn)題。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱CNCERT/CC）2011年8月8日-8月14日的統(tǒng)計(jì)報(bào)告，在此期間被篡改網(wǎng)站數(shù)量為575個(gè)，較上周環(huán)比大幅增加約29.2%。網(wǎng)站被篡改數(shù)量最多的仍是.com和.com.cn域名類網(wǎng)站，其中.gov.cn域名類網(wǎng)站有88個(gè)（占境內(nèi)約15%）。

Web的開放性豐富了我們的信息資源、拓展了我們的工作方式，也讓更多的核心業(yè)務(wù)日漸暴露在各種危險(xiǎn)中。面對(duì)越來(lái)頻繁的Web安全威脅，信息安全行業(yè)領(lǐng)軍企業(yè)網(wǎng)御星云通過(guò)對(duì)Web應(yīng)用多種攻擊方式的深入研究，以及對(duì)傳統(tǒng)解決方案的透徹分析，推出了網(wǎng)御星云Web應(yīng)用安全“套餐”，全方位保障互聯(lián)網(wǎng)安全。

圖：Web應(yīng)用的多種攻擊方式

一、Web應(yīng)用的多種攻擊方式

 Ø攻擊Web平臺(tái)

Web平臺(tái)面臨的安全問(wèn)題是方方面面的，主要可概括為以下四個(gè)方面：

1）操作系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)的安全問(wèn)題：這里指操作系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的漏洞，配置不當(dāng)，如弱口令等等，導(dǎo)致黑客、病毒可以利用這些缺陷對(duì)網(wǎng)站進(jìn)行攻擊。

2）Web發(fā)布系統(tǒng)的漏洞：Web業(yè)務(wù)常用的發(fā)布系統(tǒng)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，給入侵者可乘之機(jī)。

3）Web應(yīng)用程序的漏洞：主要指Web應(yīng)用程序的編寫人員，在編程的過(guò)程中沒(méi)有考慮到安全的問(wèn)題，使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4）自身網(wǎng)絡(luò)的安全狀況：網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊等，也會(huì)影響到網(wǎng)站的正常運(yùn)營(yíng)。

 Ø攻擊Web認(rèn)證

帳號(hào)口令攻擊方式：主要是通過(guò)猜解、探索有用的組合，從而獲取目標(biāo)站點(diǎn)的部分或全部的控制權(quán)。有手工猜解帳號(hào)口令和工具暴力破解兩種方式。

Cookies攻擊方式：通過(guò)改變cookies中的數(shù)據(jù)，攻擊者就可以訪問(wèn)用戶的帳戶；也可以通過(guò)竊取用戶的cookie訪問(wèn)用戶的帳戶。

 Ø攻擊Web數(shù)據(jù)存儲(chǔ)

這種攻擊主要是通過(guò)web與數(shù)據(jù)庫(kù)的交互漏洞，來(lái)獲取數(shù)據(jù)庫(kù)的訪問(wèn)、操作、控制權(quán)限的。通常可以達(dá)到：(1)水平權(quán)限提升：得到同級(jí)別用戶的信息。(2)垂直權(quán)限提升：得到高級(jí)別用戶的信息。(3)任意文件存取：取得web站點(diǎn)目錄以外的未被授權(quán)的文件或數(shù)據(jù)。

 ØWeb溢出攻擊

緩沖區(qū)溢出是惡意的用戶向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。。該系統(tǒng)包括存儲(chǔ)這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū)，則部分?jǐn)?shù)據(jù)就會(huì)溢出到堆棧中。如果這些數(shù)據(jù)是代碼，系統(tǒng)隨后就會(huì)執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個(gè)字段中的數(shù)據(jù)足夠的大，它就能創(chuàng)造一個(gè)緩沖器溢出條件。

Ø 攻擊Web應(yīng)用程序

Web服務(wù)器提供大量的接口來(lái)支持內(nèi)容管理、服務(wù)管理、配置等，這就造成大量的交互接口，每個(gè)接口都存在被攻擊的可能。如：telnet、ssh、ftp等連接管理私有管理端口。

安全隱患主要體現(xiàn)在：(1)telnet、ssh、ftp等連接管理；(2)私有管理端口；(3)緩沖區(qū)溢出，frontpage vsrad、webdav等；(4)基于web的管理產(chǎn)品：cisco網(wǎng)絡(luò)設(shè)備、foundry網(wǎng)絡(luò)交換設(shè)備等。

Ø Web客戶端攻擊

Web客戶端攻擊主要是通過(guò)瀏覽器、E-mail等攻擊載體實(shí)現(xiàn)攻擊的，可以分為如下三種方式：(1)動(dòng)態(tài)內(nèi)容攻擊：主要是通過(guò)構(gòu)建瀏覽器可以解釋的小規(guī)模可執(zhí)行程序或腳本代碼，將其下載到本地執(zhí)行，產(chǎn)生攻擊行為。(2)跨站腳本攻擊：該攻擊主要是不恰當(dāng)?shù)姆?wù)端輸入檢查，從而允許客戶端瀏覽器解釋腳本命令。(3)Cookies劫持：通過(guò)獲取別人的cookies資料來(lái)獲取真正web訪問(wèn)者的web身份，從而收集相關(guān)敏感信息。

Ø 拒絕服務(wù)攻擊

分布式拒絕服務(wù)（DDoS）攻擊對(duì)獲取任何聯(lián)機(jī)應(yīng)用程序和透過(guò)公共因特網(wǎng)提供的服務(wù)構(gòu)成嚴(yán)重的威脅。這些攻擊主要針對(duì)web站點(diǎn)、DNS服務(wù)、電子商務(wù)應(yīng)用程序、VoIP 服務(wù)、聯(lián)機(jī)游戲和金融服務(wù)而發(fā)動(dòng)，其阻止客戶訪問(wèn)這些應(yīng)用程序，給運(yùn)行這些應(yīng)用程序的企業(yè)和公司造成嚴(yán)重的經(jīng)濟(jì)損失。

二、傳統(tǒng)的Web防護(hù)解決方案

Ø 防火墻解決方案

在傳統(tǒng)的安全產(chǎn)品中，防火墻主要工作在四層以下，主要是基于包檢測(cè)技術(shù)，不能實(shí)現(xiàn)對(duì)HTTP協(xié)議的精細(xì)控制。比如對(duì)應(yīng)用層的SQL注入、XSS攻擊這種基于應(yīng)用層構(gòu)建的攻擊，防火墻束手無(wú)策，甚至是基于特征匹配技術(shù)的檢測(cè)產(chǎn)品，也由于這類攻擊特征不唯一性，不能精確阻斷攻擊。

Ø 防病毒產(chǎn)品解決方案

防病毒產(chǎn)品不僅對(duì)Web應(yīng)用程序中的漏洞難以識(shí)別，而且對(duì)網(wǎng)頁(yè)中存在的惡意代碼（網(wǎng)頁(yè)木馬）更是束手無(wú)策。

 ØIPS解決方案

IPS僅是對(duì)HTTP數(shù)據(jù)包有效負(fù)載的檢測(cè)分析，并不能將所有的數(shù)據(jù)包還原組裝成數(shù)據(jù)流或具體的內(nèi)容進(jìn)行基于關(guān)鍵字或具體內(nèi)容的檢測(cè)分析與特征提取，并且IPS主要是靜態(tài)的特征匹配，針對(duì)Web應(yīng)用交互中動(dòng)態(tài)頁(yè)面中的相關(guān)內(nèi)容沒(méi)有固定特征，因此IPS很難防范此類攻擊，并且IPS也不保持會(huì)話信息，很多與會(huì)話有關(guān)的攻擊，比如Cookie篡改、會(huì)話劫持，IPS都不能較好的進(jìn)行防護(hù)。總之，Web應(yīng)用攻擊之所以與其他攻擊不同，是因?yàn)樗鼈兒茈y被發(fā)現(xiàn)，而且可能來(lái)自任何在線用戶，甚至是經(jīng)過(guò)驗(yàn)證的用戶。

Ø單一Web安全防護(hù)產(chǎn)品解決方案

單一的Web安全防護(hù)工具不能對(duì)Web應(yīng)用進(jìn)行全方位的保護(hù)，因?yàn)閬?lái)自Web的攻擊是多方面的，他們可利用系統(tǒng)及應(yīng)用的漏洞攻擊，破壞Web認(rèn)證及會(huì)話，甚至可直接對(duì)數(shù)據(jù)存儲(chǔ)進(jìn)行攻擊。如Web防火墻在沒(méi)有漏洞掃描、滲透測(cè)試的情況下，制定的防護(hù)策略就顯得捉襟見肘，也不具備數(shù)據(jù)庫(kù)備份及審計(jì)功能，針對(duì)Web應(yīng)用保護(hù)更不能提前預(yù)警。所以，傳統(tǒng)的安全解決方案和單一的防護(hù)工具不能真正保障Web應(yīng)用安全。

三、網(wǎng)御星云互聯(lián)網(wǎng)Web應(yīng)用整體防護(hù)套餐

網(wǎng)御星云互聯(lián)網(wǎng)Web應(yīng)用防護(hù)解決方案分為基本防護(hù)、增強(qiáng)防護(hù)、專業(yè)防護(hù)3種套餐，可根據(jù)事前評(píng)估、滲透、對(duì)抗演練，事中采用產(chǎn)品進(jìn)行加固、安全巡檢，事后審計(jì)進(jìn)行攻擊變異分析來(lái)時(shí)時(shí)調(diào)整安全策略，整體來(lái)保障Web應(yīng)用安全。

1.基本級(jí)防護(hù)

基本級(jí)防護(hù)套餐：針對(duì)Web應(yīng)用威脅進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估分析，根據(jù)掃描及評(píng)估的結(jié)果有選擇的部署WAF、IDS、網(wǎng)頁(yè)防篡改安全產(chǎn)品，同時(shí)進(jìn)行實(shí)時(shí)的網(wǎng)站掛馬的監(jiān)控。

防護(hù)工具包括：1、Web威脅掃描2、WAF、IDS、網(wǎng)頁(yè)防篡改3、網(wǎng)站掛馬監(jiān)控。

2.增強(qiáng)級(jí)防護(hù)

增強(qiáng)及防護(hù)套餐：具備基本防護(hù)套餐功能，同時(shí)針對(duì)數(shù)據(jù)安全進(jìn)行防護(hù)，并對(duì)相關(guān)日志進(jìn)行審計(jì)。

防護(hù)工具包括：1、Web威脅掃描2、WAF、IDS、網(wǎng)頁(yè)防篡改3、網(wǎng)站掛馬監(jiān)控4、數(shù)據(jù)安全（網(wǎng)閘）5、數(shù)據(jù)庫(kù)審計(jì)6、統(tǒng)一安全管理。

3.專業(yè)級(jí)防護(hù)

專業(yè)級(jí)防護(hù)套餐：可進(jìn)行事先的掃描、源代碼評(píng)估及滲透測(cè)試，并制定安全加固方案，部署WAF、IDS、網(wǎng)頁(yè)防篡改產(chǎn)品防護(hù)Web應(yīng)用安全，同時(shí)針對(duì)Web的數(shù)據(jù)安全、應(yīng)用安全、異常流量等方面進(jìn)行全面保護(hù)與管理，并具備實(shí)時(shí)的網(wǎng)站掛馬監(jiān)控、審計(jì)及全網(wǎng)設(shè)備的統(tǒng)一管理。

防護(hù)工具包括：1、Web威脅掃描；2、源代碼評(píng)估及滲透測(cè)試；3、安全加固；4、WAF、IDS、網(wǎng)頁(yè)防篡改；5、數(shù)據(jù)安全（網(wǎng)閘）；6、應(yīng)用安全（APM）；7、網(wǎng)站掛馬監(jiān)控；8、Guard；9、審計(jì)；10、統(tǒng)一安全管理。

圖：網(wǎng)御互聯(lián)網(wǎng)Web應(yīng)用整體防護(hù)

針對(duì)Web應(yīng)用安全威脅，我們需要整體防御解決方案。傳統(tǒng)的安全產(chǎn)品及單一的防護(hù)工具不能全面的防護(hù)安全威脅，應(yīng)該從事先的掃描、源代碼評(píng)估及滲透測(cè)試中制定安全加固方案，根據(jù)需要進(jìn)行WAF、IDS、網(wǎng)頁(yè)防篡改、網(wǎng)閘（數(shù)據(jù)安全）、APM（應(yīng)用監(jiān)控）、Guard（異常流量管理）等產(chǎn)品的防御部署，結(jié)合實(shí)時(shí)的網(wǎng)站掛馬監(jiān)控、審計(jì)及全網(wǎng)設(shè)備統(tǒng)一管理來(lái)整體提高Web應(yīng)用防護(hù)威脅的能力。網(wǎng)御推薦的套餐根據(jù)防護(hù)級(jí)別分為基本級(jí)、增強(qiáng)級(jí)、專業(yè)級(jí)，實(shí)際用戶可直接套用，并且還可根據(jù)自己的安全威脅情況進(jìn)行重新組合。不管采用哪種防范策略，整體的防護(hù)解決方案會(huì)使Web應(yīng)用威脅防御能力成倍提高。

網(wǎng)御星云公司在信息安全領(lǐng)域擁有眾多核心技術(shù)，先后申請(qǐng)發(fā)明專利近40項(xiàng)，軟件著作權(quán)近30項(xiàng)。主營(yíng)業(yè)務(wù)涵蓋網(wǎng)絡(luò)邊界安全防護(hù)、應(yīng)用與數(shù)據(jù)安全防護(hù)、全網(wǎng)安全風(fēng)險(xiǎn)管理等方面。主要產(chǎn)品包括防火墻、UTM、IPSec VPN、防病毒網(wǎng)關(guān)、IPS、SSL VPN安全接入網(wǎng)關(guān)、web應(yīng)用安全防護(hù)系統(tǒng)、安全數(shù)據(jù)交換、IDS、異常流量管理、流量?jī)?yōu)化網(wǎng)關(guān)、安全審計(jì)、安全管理共計(jì)13大類500余款產(chǎn)品，其中包括網(wǎng)絡(luò)安全旗艦產(chǎn)品金剛?cè)f兆安全網(wǎng)關(guān)和應(yīng)用安全旗艦產(chǎn)品SSL VPN，是國(guó)內(nèi)信息安全產(chǎn)品線最為豐富的企業(yè)。