【51CTO.com综合报道】在Web信息系统高速发展的今天,Web应用服务已经成为当前互联网最为流行的业务。大量的在线应用业务都依托于Web服务进行的同时,Web信息系统也面临着各种各样的安全问题。根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2011年8月8日-8月14日的统计报告,在此期间被篡改网站数量为575个,较上周环比大幅增加约29.2%。网站被篡改数量最多的仍是.com和.com.cn域名类网站,其中.gov.cn域名类网站有88个(占境内约15%)。
Web的开放性丰富了我们的信息资源、拓展了我们的工作方式,也让更多的核心业务日渐暴露在各种危险中。面对越来频繁的Web安全威胁,信息安全行业领军企业网御星云通过对Web应用多种攻击方式的深入研究,以及对传统解决方案的透彻分析,推出了网御星云Web应用安全“套餐”,全方位保障互联网安全。
图:Web应用的多种攻击方式
一、Web应用的多种攻击方式
Ø攻击Web平台
Web平台面临的安全问题是方方面面的,主要可概括为以下四个方面:
1)操作系统、后台数据库的安全问题:这里指操作系统和后台数据库的漏洞,配置不当,如弱口令等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。
2)Web发布系统的漏洞:Web业务常用的发布系统,如IIS、Apache等,这些系统存在的安全漏洞,给入侵者可乘之机。
3)Web应用程序的漏洞:主要指Web应用程序的编写人员,在编程的过程中没有考虑到安全的问题,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等等。
4)自身网络的安全状况:网站服务器所处的网络安全状况也影响着网站的安全,比如网络中存在的DoS攻击等,也会影响到网站的正常运营。
Ø攻击Web认证
帐号口令攻击方式:主要是通过猜解、探索有用的组合,从而获取目标站点的部分或全部的控制权。有手工猜解帐号口令和工具暴力破解两种方式。
Cookies攻击方式:通过改变cookies中的数据,攻击者就可以访问用户的帐户;也可以通过窃取用户的cookie访问用户的帐户。
Ø攻击Web数据存储
这种攻击主要是通过web与数据库的交互漏洞,来获取数据库的访问、操作、控制权限的。通常可以达到:(1)水平权限提升:得到同级别用户的信息。(2)垂直权限提升:得到高级别用户的信息。(3)任意文件存取:取得web站点目录以外的未被授权的文件或数据。
ØWeb溢出攻击
缓冲区溢出是恶意的用户向服务器发送大量数据以使系统瘫痪的典型攻击手段。。该系统包括存储这些数据的预置缓冲区。如果所收到的数据量大于缓冲区,则部分数据就会溢出到堆栈中。如果这些数据是代码,系统随后就会执行溢出到堆栈上的任何代码。Web应用缓冲区溢出攻击的典型例子也涉及到HTML文件。如果HTML文件上的一个字段中的数据足够的大,它就能创造一个缓冲器溢出条件。
Ø 攻击Web应用程序
Web服务器提供大量的接口来支持内容管理、服务管理、配置等,这就造成大量的交互接口,每个接口都存在被攻击的可能。如:telnet、ssh、ftp等连接管理私有管理端口。
安全隐患主要体现在:(1)telnet、ssh、ftp等连接管理;(2)私有管理端口;(3)缓冲区溢出,frontpage vsrad、webdav等;(4)基于web的管理产品:cisco网络设备、foundry网络交换设备等。
Ø Web客户端攻击
Web客户端攻击主要是通过浏览器、E-mail等攻击载体实现攻击的,可以分为如下三种方式:(1)动态内容攻击:主要是通过构建浏览器可以解释的小规模可执行程序或脚本代码,将其下载到本地执行,产生攻击行为。(2)跨站脚本攻击:该攻击主要是不恰当的服务端输入检查,从而允许客户端浏览器解释脚本命令。(3)Cookies劫持:通过获取别人的cookies资料来获取真正web访问者的web身份,从而收集相关敏感信息。
Ø 拒绝服务攻击
分布式拒绝服务(DDoS)攻击对获取任何联机应用程序和透过公共因特网提供的服务构成严重的威胁。这些攻击主要针对web站点、DNS服务、电子商务应用程序、VoIP 服务、联机游戏和金融服务而发动,其阻止客户访问这些应用程序,给运行这些应用程序的企业和公司造成严重的经济损失。
二、传统的Web防护解决方案
Ø 防火墙解决方案
在传统的安全产品中,防火墙主要工作在四层以下,主要是基于包检测技术,不能实现对HTTP协议的精细控制。比如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击,防火墙束手无策,甚至是基于特征匹配技术的检测产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。
Ø 防病毒产品解决方案
防病毒产品不仅对Web应用程序中的漏洞难以识别,而且对网页中存在的恶意代码(网页木马)更是束手无策。
ØIPS解决方案
IPS仅是对HTTP数据包有效负载的检测分析,并不能将所有的数据包还原组装成数据流或具体的内容进行基于关键字或具体内容的检测分析与特征提取,并且IPS主要是静态的特征匹配,针对Web应用交互中动态页面中的相关内容没有固定特征,因此IPS很难防范此类攻击,并且IPS也不保持会话信息,很多与会话有关的攻击,比如Cookie篡改、会话劫持,IPS都不能较好的进行防护。总之,Web应用攻击之所以与其他攻击不同,是因为它们很难被发现,而且可能来自任何在线用户,甚至是经过验证的用户。
Ø单一Web安全防护产品解决方案
单一的Web安全防护工具不能对Web应用进行全方位的保护,因为来自Web的攻击是多方面的,他们可利用系统及应用的漏洞攻击,破坏Web认证及会话,甚至可直接对数据存储进行攻击。如Web防火墙在没有漏洞扫描、渗透测试的情况下,制定的防护策略就显得捉襟见肘,也不具备数据库备份及审计功能,针对Web应用保护更不能提前预警。所以,传统的安全解决方案和单一的防护工具不能真正保障Web应用安全。
三、网御星云互联网Web应用整体防护套餐
网御星云互联网Web应用防护解决方案分为基本防护、增强防护、专业防护3种套餐,可根据事前评估、渗透、对抗演练,事中采用产品进行加固、安全巡检,事后审计进行攻击变异分析来时时调整安全策略,整体来保障Web应用安全。
1.基本级防护
基本级防护套餐:针对Web应用威胁进行风险综合评估分析,根据扫描及评估的结果有选择的部署WAF、IDS、网页防篡改安全产品,同时进行实时的网站挂马的监控。
防护工具包括:1、Web威胁扫描2、WAF、IDS、网页防篡改3、网站挂马监控。
2.增强级防护
增强及防护套餐:具备基本防护套餐功能,同时针对数据安全进行防护,并对相关日志进行审计。
防护工具包括:1、Web威胁扫描2、WAF、IDS、网页防篡改3、网站挂马监控4、数据安全(网闸)5、数据库审计6、统一安全管理。
3.专业级防护
专业级防护套餐:可进行事先的扫描、源代码评估及渗透测试,并制定安全加固方案,部署WAF、IDS、网页防篡改产品防护Web应用安全,同时针对Web的数据安全、应用安全、异常流量等方面进行全面保护与管理,并具备实时的网站挂马监控、审计及全网设备的统一管理。
防护工具包括:1、Web威胁扫描;2、源代码评估及渗透测试;3、安全加固;4、WAF、IDS、网页防篡改;5、数据安全(网闸);6、应用安全(APM);7、网站挂马监控;8、Guard;9、审计;10、统一安全管理。
图:网御互联网Web应用整体防护
针对Web应用安全威胁,我们需要整体防御解决方案。传统的安全产品及单一的防护工具不能全面的防护安全威胁,应该从事先的扫描、源代码评估及渗透测试中制定安全加固方案,根据需要进行WAF、IDS、网页防篡改、网闸(数据安全)、APM(应用监控)、Guard(异常流量管理)等产品的防御部署,结合实时的网站挂马监控、审计及全网设备统一管理来整体提高Web应用防护威胁的能力。网御推荐的套餐根据防护级别分为基本级、增强级、专业级,实际用户可直接套用,并且还可根据自己的安全威胁情况进行重新组合。不管采用哪种防范策略,整体的防护解决方案会使Web应用威胁防御能力成倍提高。
网御星云公司在信息安全领域拥有众多核心技术,先后申请发明专利近40项,软件著作权近30项。主营业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理等方面。主要产品包括防火墙、UTM、IPSec VPN、防病毒网关、IPS、SSL VPN安全接入网关、web应用安全防护系统、安全数据交换、IDS、异常流量管理、流量优化网关、安全审计、安全管理共计13大类500余款产品,其中包括网络安全旗舰产品金刚万兆安全网关和应用安全旗舰产品SSL VPN,是国内信息安全产品线最为丰富的企业。
