【51CTO.com獨家特稿】一個草民要想獲得大成功，單單有能力是不夠的。對于Web網(wǎng)站的安全，我們?nèi)绻總€部分都要抓，都要立即改變，這有可能將趙明直接通過時光送到戰(zhàn)亂的年代。因此，如果我們看待安全問題都先從技術(shù)上下手，往往要再奮斗個幾年才能治理好這個網(wǎng)站，但和時間不等人。因此，我們從大局上看，技術(shù)再好，沒有策略支撐是沒用，而策略沒有產(chǎn)品支持也如水中月、鏡中花那樣了。有人說安全靠的是3分技術(shù)，7分管理，那么解決趙明負(fù)責(zé)的這個網(wǎng)站必須要分成三個部分：技術(shù)+產(chǎn)品+管理，這也便是處理好自己眼前的這點事的對策。

此次攻擊行為的分析

Web 服務(wù)器是一個企業(yè)開放性最強的地方，也是暴露安全問題最多的領(lǐng)域，因此容易成為攻擊目標(biāo)。趙明作為技術(shù)負(fù)責(zé)人，要扭轉(zhuǎn)這種局面，就必須知道黑客是如何進入或者攻擊Web 服務(wù)器的，掌握黑客入侵的手法才能建立對應(yīng)的保護體系。 在進一步討論之前，我們先看看這冊 Web 服務(wù)器遭到入侵的分析。

腳本小子：大多數(shù)情況下，這些自動進行的攻擊由黑客社區(qū)中技能水平最低的人來實施，這些人通常在黑客社區(qū)中并不具備較高的知識水平，但這并不意味他們不危險。當(dāng)腳本小子獲得一個向?qū)缘墓ぞ?，啟動一個攻擊，他們通常不了解這種行為的后果，如潛在地破壞系統(tǒng)或無意識地執(zhí)行拒絕服務(wù)攻擊（DoS）。這類人通常為一些網(wǎng)絡(luò)新手，他們CGI界面的掃描程序或密碼破解器（password cracker）并針對比較大的目標(biāo)運行這些應(yīng)用程序以尋求一些 “有趣” 的結(jié)果，而趙明負(fù)責(zé)的網(wǎng)站很有可能因為沒有防火墻而成為結(jié)果中的一部分。

腳本小子可以利用工具，構(gòu)建一個當(dāng)前在線并且可訪問的系統(tǒng)數(shù)據(jù)庫，例如： Angry IP scanner 或 Nmap執(zhí)行一個簡單的 ping 掃描，以獲得一個列表，然后使用 Nessus 和其他多種工具，利用漏洞數(shù)據(jù)庫掃描發(fā)現(xiàn)的每個系統(tǒng)，發(fā)現(xiàn)漏洞并利用該漏洞。攻擊者可以執(zhí)行掃描。 一旦通過漏洞，獲得了了系統(tǒng)控制權(quán)，這些攻擊者會胡亂的搞一通，然后使用一項技術(shù)掩飾其蹤跡或滲透行為的證據(jù)，但如果沒有配套的刪除日志的工具，他們也就暴露了痕跡。

但是在大多數(shù)情況下腳本小子不執(zhí)行該步驟，這從趙明反應(yīng)出日志被刪除的事件可以看出來。因此，如果只針對此次攻擊作分析，我認(rèn)為攻擊者的水平要高一些，或者是存在某些惡意商業(yè)性進攻。攻擊者也很有可能在黑客社區(qū)中分享這個成果，這對于趙明來說，如果找不出問題的所在，必然要遭到更多的攻擊。

防護架構(gòu)與代碼漏洞的分析

Web 服務(wù)器面臨許多威脅，大部分威脅與系統(tǒng)中配置的應(yīng)用程序、操作系統(tǒng)和環(huán)境有關(guān)，前面主要是操作系統(tǒng)和應(yīng)用程序，而Web整體環(huán)境沒有進行過安全檢測，一樣也會成為Web服務(wù)器的“壞鄰居”?；旧?，攻擊趙明的黑客擁有了多個趙明不了解的技術(shù)和條件。例如，黑客可以通過探測掃描得到企業(yè)網(wǎng)絡(luò)的完整基礎(chǔ)設(shè)施，如下圖。這樣的網(wǎng)絡(luò)結(jié)構(gòu)如果暴露出來，每個服務(wù)器的弱點都可能被挖掘出來，這樣就可以組織一次時間長久而又隱蔽的攻擊，并且他的欲望也很強。  

針對趙明網(wǎng)站被篡改的文字內(nèi)容判斷，攻擊者很有可能直接針對目標(biāo)的弱點（Web服務(wù)器本身并沒有加固號）乘虛而入，更多的一種情況是通過這個網(wǎng)絡(luò)中其他系統(tǒng)（負(fù)載均衡服務(wù)器的漏洞，內(nèi)部文件服務(wù)器中的木馬病毒等）實施攻擊，但是這些系統(tǒng)甚至不知道自己被用作攻擊的工具。至于在這類攻擊中牽涉到多少系統(tǒng)，不但是趙明，我們?nèi)绻麤]有評估過所有的服務(wù)器，就無法做出肯定的估測。

假設(shè)，趙明很熟悉服務(wù)器加固的方法，那么最可能入侵到服務(wù)器的攻擊就是程序中不良代碼的漏洞或者（SQL）注入。

結(jié)構(gòu)化查詢語言（SQL）注入 是專門針對數(shù)據(jù)庫的攻擊。在這種攻擊中，攻擊者利用數(shù)據(jù)庫或 Web 頁面的設(shè)計缺陷從數(shù)據(jù)庫提取信息，甚至操縱數(shù)據(jù)庫的信息。雖然我不能詳細(xì)解釋這種攻擊是如何實施的，但如果一般了解 SQL 的話，就可以找到相關(guān)的答案。如果趙明還是比較明智的（我看了一些上交的作品，把他分析得一無是處，本人不贊同），因為在 Web 服務(wù)器上駐留數(shù)據(jù)庫的話，很可能遭到這樣的攻擊，不過趙明還好，將數(shù)據(jù)庫服務(wù)器分離開來（Web與數(shù)據(jù)庫分離一樣可以被攻破）。

下面的內(nèi)容，是不是替運維人員責(zé)任的推脫呢？從開發(fā)角度上看，任何開發(fā)人員都知道，不良的編程習(xí)慣會帶來問題。不良代碼源于眾多因素，包括培訓(xùn)質(zhì)量差、新手或應(yīng)用程序的質(zhì)量沒有保證。從好的方面講，不良代碼會給人添麻煩，并且某些特性不能按預(yù)期工作；從壞的方面講，包含不良代碼的應(yīng)用程序就成了最大的安全隱患。

另一個問題在某種程度上也與不良代碼有關(guān)，尤其是開源系統(tǒng)+開源程序，程序人員在構(gòu)建應(yīng)用程序時將使用到它們，從而縮短開發(fā)周期。不利的一面是，我們用于構(gòu)建應(yīng)用程序的組件可能不像內(nèi)部代碼那樣經(jīng)過嚴(yán)格的測試，因此可能會給應(yīng)用程序帶來隱患。

亡羊補牢的一些建議

下面一些建議，我想從三個方面對趙明進言： 

◆服務(wù)器自身安全性的問題

何不學(xué)習(xí)一下黑客，也使用漏洞掃描工具，然后對服務(wù)器進行一次徹底的“維修”呢？使用漏洞掃描作為工具，以查找Web服務(wù)器和應(yīng)用程序基礎(chǔ)設(shè)施中存在的問題，比如配置和補丁問題。使用漏洞掃描工具的需要注意的就是它們會經(jīng)常需要更新，還能發(fā)現(xiàn)你未意識到的問題，從而允許你在系統(tǒng)被侵入之前修復(fù)它們。

另外，對于任何一個服務(wù)級別的操作系統(tǒng)，都要及時更新系統(tǒng)。要關(guān)注一下是否發(fā)行補丁、服務(wù)包和更新等有助于系統(tǒng)安全的東西。你可以自動收到這些更新，或手動下載它們，這取決于您的安全策略，以及Web主機允許停機維護的時間策略。 

◆架構(gòu)補充與調(diào)整

我曾經(jīng)碰見過好幾家公司將開發(fā)和生產(chǎn)服務(wù)器放在一起，他們允許開發(fā)團隊使用生產(chǎn)服務(wù)器開發(fā)代碼，或調(diào)試現(xiàn)有代碼。這通常是極端懶惰的結(jié)果就是遭到入侵，一旦攻擊者盯上您正在開發(fā)的代碼，就會帶來嚴(yán)重的后果。此外，開發(fā)人員在測試和調(diào)試代碼時，可能會損害安全性。為自己做件好事：實現(xiàn)一個生產(chǎn)與開發(fā)分離環(huán)境！

利用防火墻分割區(qū)域。這似乎是不言自明的，但仍然需要反復(fù)提醒。對于Internet來說，這個一個充滿邪惡的地方，所以為了避免將Web服務(wù)器暴露在外面，應(yīng)該使用防火墻保護他們。而很多公司都擁有對內(nèi)和對外的各種應(yīng)用程序和服務(wù)器資源，在理想的情況下，這兩塊區(qū)域仍然需要通過“內(nèi)網(wǎng)防火墻”是分開的，并且它們之間的通信要盡可能少。通過以這種方式分開系統(tǒng)，就可以避免（至少降低了風(fēng)險）攻擊者進入Web服務(wù)器，然后訪問數(shù)據(jù)或內(nèi)部系統(tǒng)。因此，使用防火墻和 IDS（入侵診斷系統(tǒng)）/IPS（入侵防御系統(tǒng)）來保證僅允許特定的訪問，阻止不必要暴露的端口和非法的訪問十分有效。

Web 服務(wù)器或 Web 應(yīng)用程序都能夠生成關(guān)于系統(tǒng)活動的日志。有了這些記錄之后，趙明需要經(jīng)常查看它以發(fā)現(xiàn)問題，比如應(yīng)用程序失敗或可疑入侵的活動，為了防止這些記錄被刪除，我們可以單獨在架構(gòu)中增加一臺日志服務(wù)器，增加審計日志的工具，這就好比從犯罪現(xiàn)場收集的證據(jù)，一旦出現(xiàn)問題，我們甚至可以通過網(wǎng)絡(luò)警察抓到他們。（當(dāng)然，也可以利用蜜罐系統(tǒng)誘捕黑客）

那么所有的負(fù)責(zé)制成 Web 應(yīng)用的各個層面，都會使用不同的技術(shù)來確保安全性。例如：為了保護服務(wù)器的安全，需要安裝防病毒軟件；為了保證用戶數(shù)據(jù)傳輸?shù)狡髽I(yè) Web 服務(wù)器的傳輸安全，通信層通常會使用 SSL技術(shù)加密數(shù)據(jù)；為了防止用戶密碼泄露，可以使用身份認(rèn)證機制授權(quán)用戶訪問 Web 應(yīng)用。等等這些都需要配套的安全程序或是產(chǎn)品支撐。 

◆開發(fā)人員培訓(xùn)

這項工作實施起來可能要困難非常大，因為IT運維人員和開發(fā)人員的矛盾從來就沒有消除過。但一旦完成，將會帶來巨大的收益。對開發(fā)人員進行安全代碼實踐方面的培訓(xùn)能夠消除或減少不良代碼引起的問題。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】  

【編輯推薦】

1. “標(biāo)本兼治”救趙明將黑客“拒之門外”
2. 防火墻加web應(yīng)用防火墻解決趙明問題