【51CTO.com 綜合報道】近日，Gartner公布的一份調(diào)查顯示，有75%的惡意攻擊行為是針對Web應(yīng)用的，僅有很少一部分是針對網(wǎng)絡(luò)層的。調(diào)查數(shù)據(jù)顯示，近2/3的Web站點相當脆弱，容易受到不同程度的惡意攻擊。這意味著，Web網(wǎng)站的安全防御應(yīng)該成為企業(yè)信息化建設(shè)所關(guān)注的焦點，然而，事實上絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡(luò)和服務(wù)器的安全上，并沒有從真正意義上保證 Web 業(yè)務(wù)本身的安全，才給了黑客可乘之機。

根據(jù)世界知名的Web安全研究組織OWASP提供的報告，目前對Web業(yè)務(wù)系統(tǒng)威脅最嚴重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。

注入漏洞攻擊。特別是SQL注入漏洞，主要是利用目標網(wǎng)站程序未對用戶輸入的字符進行特殊字符過濾或合法性校驗，可直接執(zhí)行數(shù)據(jù)庫語句，導致網(wǎng)站存在安全風險通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截注入攻擊。

跨站腳本漏洞攻擊，是指目標網(wǎng)站對用戶提交的變量代碼未進行有效的過濾或轉(zhuǎn)換，允許攻擊者插入惡意Web代碼（通常是一些經(jīng)過構(gòu)造的javascript語句），劫持用戶會話、篡改網(wǎng)頁信息甚至引入蠕蟲病毒等通過驗證用戶輸入使用的是消極或積極的安全策略，有效檢測并攔截跨站點腳本( XSS )攻擊。

從以往發(fā)生的安全事件來看，Web攻擊可導致的后果極為嚴重，通過上述手段將一個合法正常網(wǎng)站攻陷，利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機上，從而實現(xiàn)攻擊目的。如：盜取各類用戶賬號，如機器登錄賬號、用戶網(wǎng)銀賬號、各類管理員賬號?？刂破髽I(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力。盜竊企業(yè)重要的具有商業(yè)價值的資料。非法轉(zhuǎn)賬。網(wǎng)站掛馬?？刂剖芎φ邫C器向其他網(wǎng)站發(fā)起攻擊……

鑒于上述對Web常見攻擊的分析，對Web及客戶端的保護已經(jīng)刻不容緩，為此，來自聯(lián)想網(wǎng)御的安全專家通過51CTO安全頻道，給廣大企業(yè)信息化管理者提出了以下幾點建議：

首先，解決Web服務(wù)器端安全問題。具體的解決辦法可采取源代碼審計與部署入侵防護系統(tǒng)相結(jié)合的方式，源代碼審計是經(jīng)過專業(yè)安全人員，對Web應(yīng)用程序源代碼進行安全性檢查，對程序的輸入輸出函數(shù)進行安全測試，最大程度保障Web程序的自身代碼安全；并通過部署入侵防護系統(tǒng)，針對跨站腳本、SQL注入、cookies注入、參數(shù)篡改等Web攻擊方式進行主動防護。

其次，解決Web瀏覽客戶端安全。主要是防范遠程惡意代碼執(zhí)行漏洞，其原理是通過構(gòu)造精心設(shè)計的格式錯誤數(shù)據(jù)，由攻擊者觸發(fā)系統(tǒng)漏洞，并在客戶端軟件中更改代碼執(zhí)行路徑，來執(zhí)行由攻擊者隨格式錯誤數(shù)據(jù)附帶惡意代碼或程序的利用過程。如果客戶端瀏覽器中存在未修補的惡意代碼執(zhí)行漏洞或0day漏洞，當訪問受惡意代碼感染的站點時，該站點會自動在登錄用戶的瀏覽器中運行攻擊者的惡意代碼，并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序，如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統(tǒng)后臺漏洞執(zhí)行，所有這一切根本無需任何用戶交互操作。所以應(yīng)盡量使用已采用常規(guī)堆棧保護措施版本的Web瀏覽器，來防止基于堆棧和基于堆的緩沖區(qū)溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經(jīng)提供基于數(shù)據(jù)執(zhí)行保護（ DEP ）或不執(zhí)行（ NX）的內(nèi)存保護措施，Internet Explorer 8平臺在Internet控制面板選項開啟“啟用內(nèi)存保護幫助減少聯(lián)機攻擊”的選項就可以有效防止遠程代碼攻擊；另外建議部署統(tǒng)一的內(nèi)網(wǎng)管理系統(tǒng)，統(tǒng)一對關(guān)鍵應(yīng)用程序和系統(tǒng)補丁進行時時監(jiān)控和統(tǒng)一升級，保證客戶端和內(nèi)網(wǎng)安全。

再次，是解決對木馬、病毒的防治。建議安裝終端防病毒、防火墻軟件并保持時時更新，開啟入侵防護系統(tǒng)病毒木馬防護策略，建立統(tǒng)一病毒防護體系，如在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)防毒墻，對關(guān)鍵服務(wù)器和客戶端進行重點防護，并對其網(wǎng)絡(luò)連接進行入侵檢測監(jiān)控，保證安全風險在一個可控的范圍內(nèi)。

實際上，針對當前Web安全形勢，包括聯(lián)想網(wǎng)御在內(nèi)的一大批國內(nèi)知名廠商提出了一系列的安全解決方案。這些方案從多個角度對企業(yè)IT應(yīng)用現(xiàn)狀進全方位地評估和分析，充分了解系統(tǒng)面臨的風險狀況，通過安全評估、安全修復(fù)和部署相應(yīng)產(chǎn)品相結(jié)合的方式，才能最大程度保護Web系統(tǒng)應(yīng)用的安全。