您现在的位置是:首页 > IT基础架构 > 网络与安全 >
Web应用安全成为安全防御的关键一环
摘要如今,Web环境的互联网应用越来越广泛,如Web2.0、社交网络、微博等新型互联网产品相继诞生,企业信息化的过程中各种应用也都架设在Web平台上,Web业务迅速发展的同时让web安全威胁也日渐凸显,黑客利用网站操作系统的漏洞得到Web服务器的控制权限,轻则篡改网页内容,重则窃...
层出不穷的web安全事件
如今,Web环境的互联网应用越来越广泛,如Web2.0、社交网络、微博等新型互联网产品相继诞生,企业信息化的过程中各种应用也都架设在Web平台上,Web业务迅速发展的同时让web安全威胁也日渐凸显,黑客利用网站操作系统的漏洞得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,植入恶意代码,侵害网站访问者。
来自国内的报告显示,2010年4月16日、17日,面向美国市场的阿里巴巴全球速卖通受到不明身份黑客的持续恶意攻击,黑客针对速卖通网站在国内和美国的服务器采取了多种手段的攻击。同年5月10日至5月16日一周内,中国境内就有81个政府网站被篡改; 截止当年5月24日,包括我国的2所一流大学与10多所重点大学在内的众多高校网站被挂木马;
与之相应的,国外的Web安全事件也是频频爆出:日本最大的BBS网站2ch被攻击,因服务器瘫痪从而受到重大损失的美国IT公司表明与联邦调查局(FBI)达成协议,将对黑客攻击采取法律手段。本次攻击来自于韩国黑客的可能性很大,2ch以外的服务器使用者也被殃及,其中包括与美国政府有关网站。损失高达250万美元;来自欧洲的报告称,2009年5 月 26 日,法国移动运营商Orange France 提供照片管理的网站频道被曝存在SQL注入漏洞,黑客利用此漏洞获取到245,000 条用户记录(包括E-mail、姓名及明文方式的密码)。
针对Web应用的攻击手段和技术日趋高明、隐蔽,致使大多Web应用处在高风险的环境中。Web应用安全问题不断升温,受到越来越多的网络用户关注。
针对web的攻击攻击缘何趋多?
在用户的场景中,B/S结构已经逐步替代C/S结构成为客户首选的应用场景,简单、方便、快捷、无缝介入等,种种便利使得客户越来越喜欢B/S结构的场景,也使得原有私有的、非标准的C/S结构逐步被替代,大量统一的、开源的B/S结构使得攻击者有了一个集中可供研究渗透的基础。于是黑客将攻击转向几乎无所不在的 80 开放端口(Web通信最常用的端口)。这两点原因导致美国大约有 75 % 的企业在 2003 年因 Web攻击而遭受经济损失。
导致 Web 应用进一步面临威胁的原因还有 Web 服务器与应用底层架构的变化以及使用非安全开放源代码组件现象的增加。Web 服务器与 Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。现在,Web 服务器与应用除了可以创建动态页面和启动应用程序外,还可以同数据库进行通信以生成对用户有用的内容。大多数 Web 服务器平台都将应用程序与服务器捆绑在一起,即使最简单的网站也会和Web应用进行交互,这为攻击提供了机会。很多攻击行为利用了当前Web体系架构存在的安全漏洞。这些攻击手段包括篡改主要Web接口、导致服务器上的嵌入式 Web 应用执行预期之外的功能、安装恶意应用程序以及欺骗后台数据库使其向攻击者发送敏感信息等。
与网络层安全相似,Web应用的安全强度也取决于整个体系中最脆弱的那一环。要构建安全的Web应用平台,开发人员必须在 Web应用的每个层面精心设计安全性。运行 Web 应用的服务器也必须不断更新。遗憾的是,许多企业在设计 Web 应用时,开发人员并未全面考虑安全性。更糟糕的是,有的用户只为 Web 服务器中可从外界访问的那部分设计了安全性,而忽略了内部访问Web应用的安全性。攻击 Web应用最常见也是最见效的手法就是利用漏洞,寻找可以获得对服务器平台(包括Microsof t SQL Server、IIS、Apache Web服务器)的根访问权的安全漏洞。其中,SQL 植入属于最危险的攻击形式之一。在发动 SQL 植入攻击时,攻击者将意料之外的 SQL 命令植入到 Web 应用表格域中,这可以让攻击者在后端数据库服务器上执行命令,并且可能获得管理员权限。缓冲区溢出攻击是一种利用超出应用程序所能处理的数据量淹没应用程序的攻击,这种攻击可以使攻击者能够在目标系统上执行命令。常见的攻击手段还有跨网站脚本攻击,这种攻击常用在网页模仿攻击中。跨网站脚本攻击有多种形式,包括诱骗用户连接到貌似著名网站上来收集用户信息,或直接接管用户的Web会话。
Fortinet的Web加固安全方案
提到Web安全不得不提到OWASP。OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。OWASP被视为Web应用安全领域的权威参考。2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。
OWASP提出的top 10攻击,分别是注入攻击、跨站脚本攻击(XSS)、越权及会话管理、不安全直接对象引入、跨站冒名请求(CSRF)、不当的安全配置、不安全的密码存储、限制URL访问失败、薄弱的传输层保护、未验证的网址重导向,Fortinet针对OWASP提出的TOP10攻击均有对应的解决机制。
(本文不涉密)
责任编辑:
上一篇:风险内控助力企业“维稳”