當(dāng)前，互聯(lián)網(wǎng)上的黑客攻擊越來(lái)越多地集中在應(yīng)用層的各種開(kāi)放服務(wù)上，特別是企業(yè)和機(jī)構(gòu)紛紛將應(yīng)用遷移到Web服務(wù)平臺(tái)，隨之而 來(lái)的是針對(duì)Web服務(wù)器的入侵攻擊，如利用SQL注入攻擊完成諸如更換Web網(wǎng)站主頁(yè)，盜取管理員密碼，破壞整個(gè)網(wǎng)站數(shù)據(jù)等惡意行為 尤為突出。面對(duì)Web威脅，網(wǎng)站安全該如何做？你的網(wǎng)站需要什么樣的web應(yīng)用安全解決方案，才能固若金湯？

技術(shù)門(mén)診是51CTO社區(qū)品牌欄目，每周邀請(qǐng)一位客座專(zhuān)家，為廣大技術(shù)網(wǎng)友解答疑問(wèn)。從熱門(mén)技術(shù)到前沿知識(shí)，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個(gè)主題，站在最新最熱的技術(shù)前沿為你引航！

本期門(mén)診特邀綠盟科技的兩位專(zhuān)家來(lái)與大家一起交流WEB應(yīng)用安全問(wèn)題和做安全解決方案的過(guò)程中需要注意的事項(xiàng)。

姓　　名：趙 旭

擅長(zhǎng)領(lǐng)域：網(wǎng)絡(luò)安全、通信系統(tǒng)

綠盟科技產(chǎn)品管理中心產(chǎn)品市場(chǎng)經(jīng)理。2005年畢業(yè)于瑞典皇家理工學(xué)院，獲碩士學(xué)位，專(zhuān)業(yè)為信息通信系統(tǒng)安全?，F(xiàn)在綠盟科技主要負(fù)責(zé)WAF產(chǎn)品。

姓　　名：秦 波

: http://doctor.51cto.com/develop-174.html

擅長(zhǎng)領(lǐng)域：信息管理、安全服務(wù)

綠盟科技產(chǎn)品管理中心產(chǎn)品市場(chǎng)經(jīng)理。畢業(yè)于北京大學(xué)信息管理系，在安全服務(wù)領(lǐng)域有多年的項(xiàng)目管理和實(shí)施經(jīng)驗(yàn)。擅長(zhǎng)Web攻防領(lǐng)域，在如何保障不同行業(yè)的基于Web的業(yè)務(wù)持續(xù)性和風(fēng)險(xiǎn)分析方面有深入研究，是Web安全領(lǐng)域的國(guó)標(biāo)、軍標(biāo)和行業(yè)標(biāo)準(zhǔn)的主要編寫(xiě)者。

查看本期門(mén)診精彩實(shí)錄

參與最新技術(shù)門(mén)診：http://doctor.51cto.com/

下面精選本期網(wǎng)友提問(wèn)與專(zhuān)家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：企業(yè)在構(gòu)建自己的web網(wǎng)站時(shí)，應(yīng)從哪些方面來(lái)考慮其安全性呢？是否需要部署基于硬件的web安全網(wǎng)關(guān)呢？

A：這個(gè)問(wèn)題相對(duì)比較大，建議從安全風(fēng)險(xiǎn)分析的角度來(lái)考慮問(wèn)題。除了考慮已經(jīng)比較成熟的網(wǎng)絡(luò)層、系統(tǒng)層面以及WEB通用組件（如IIS、Apache等Web server軟件）的安全控制，Web應(yīng)用層面的安全問(wèn)題需要重點(diǎn)考慮。Web應(yīng)用層面的問(wèn)題，建議從Web應(yīng)用的生命周期進(jìn)行考慮，在各個(gè)階段都采取相應(yīng)的安全控制。問(wèn)題在生命周期中越早解決越好，因?yàn)榈搅撕笃冢鉀Q問(wèn)題的成本會(huì)高很多。當(dāng)然了，上面說(shuō)的這個(gè)生命周期的安全控制相對(duì)比較理想、對(duì)人員投入及相應(yīng)技能都有較高要求。實(shí)際情況中，網(wǎng)站更多面臨的問(wèn)題是如何度量Web應(yīng)用代碼的安全質(zhì)量，網(wǎng)站上線(xiàn)后如何采取相應(yīng)的防護(hù)措施、可以有效降低風(fēng)險(xiǎn)。針對(duì)第一個(gè)問(wèn)題，建議可以采用Web應(yīng)用黑盒測(cè)試工具，針對(duì)第二個(gè)問(wèn)題，可以考慮部署專(zhuān)有的Web安全網(wǎng)關(guān)（業(yè)界更習(xí)慣稱(chēng)為Web應(yīng)用防火墻，即WAF）。因?yàn)榇a缺陷是先天存在的，即使后來(lái)修復(fù)也會(huì)具有一定的滯后性，而且不能保證100%地發(fā)現(xiàn)所有存在的漏洞那個(gè)缺陷。WAF通過(guò)自身固化的防護(hù)機(jī)制，可以識(shí)別各類(lèi)Web安全威脅和攻擊行為并予以阻斷。

Q：我是一家企業(yè)的網(wǎng)絡(luò)管理員。單位的網(wǎng)站空間都是托管個(gè)制作方的，上次被入侵，修改了首頁(yè)FLASH頁(yè)面的介紹，本來(lái)公司是做服裝的，可被入侵之后，百度搜索出來(lái)的內(nèi)容竟然是私服魔域等介紹。我想問(wèn)下一般我們企業(yè)，在選擇網(wǎng)站制作的源碼，數(shù)據(jù)庫(kù)那些語(yǔ)言和數(shù)據(jù)庫(kù)乃至服務(wù)器更加的安全？托管給別人空間的，我們?cè)撛趺慈ゾS護(hù)防護(hù)發(fā)生入侵這方面的問(wèn)題？

A：中小型企業(yè)網(wǎng)站的維護(hù)，由于沒(méi)有專(zhuān)人來(lái)負(fù)責(zé)安全問(wèn)題，一般的維護(hù)在于更新內(nèi)容，這種網(wǎng)站一般都是虛擬機(jī)形式托管，對(duì)系統(tǒng)層沒(méi)有控制權(quán)限，僅僅是自己所負(fù)責(zé)的應(yīng)用程序。而且網(wǎng)站定位于發(fā)布信息的平臺(tái)，機(jī)密性要求不高，但如果被攻擊后很容易被利用掛馬、XSS等，給終端用戶(hù)造成傷害。建議這種類(lèi)型的網(wǎng)站從源碼的選擇上不要去抄襲和引用不成熟的代碼，盡量用簡(jiǎn)單的機(jī)制來(lái)滿(mǎn)足功能，從而減少維護(hù)量和安全攻擊。

Q：你的網(wǎng)站需要什么樣的WEB應(yīng)用安全解決方案?

1、外部攻擊;如何應(yīng)對(duì)，貴公司產(chǎn)品有這樣的解決方案嗎？

2、數(shù)據(jù)安全;服務(wù)器數(shù)據(jù)尤其是網(wǎng)站代碼和數(shù)據(jù)庫(kù)數(shù)據(jù)非常重要。如何保護(hù)不丟失，才確保web應(yīng)用安全正常運(yùn)作？

3、提高可用性;當(dāng)大量的多人訪(fǎng)問(wèn)的時(shí)候，服務(wù)器會(huì)響應(yīng)很慢，綠盟有無(wú)解決方案？

4、請(qǐng)教專(zhuān)家。托管和自建服務(wù)器從成本和安全上考慮幫我做個(gè)對(duì)比，謝謝！

A：1、我們有一款WAF設(shè)備，提供雙向的Web安全防護(hù)，可以應(yīng)對(duì)外部的攻擊，同時(shí)還提供服務(wù)器側(cè)的內(nèi)容安全，有興趣的網(wǎng)友可以再深入了解一下。

2、數(shù)據(jù)安全涵蓋范圍較廣，以數(shù)據(jù)丟失來(lái)看，這是一個(gè)攻擊結(jié)果。需要從攻擊路徑角度考慮，采取相應(yīng)的控制措施。比如以Web方式通過(guò)SQL注入之類(lèi)的攻擊獲取敏感數(shù)據(jù)，那么可以考慮WAF這類(lèi)防護(hù)產(chǎn)品。

3、提高可用性這塊，我們的WAF產(chǎn)品也有相應(yīng)的考慮，主要基于Web cache技術(shù)，減少延時(shí)，優(yōu)化最終用戶(hù)訪(fǎng)問(wèn)體驗(yàn)。

4、這個(gè)問(wèn)題還是需要結(jié)合企業(yè)自身的具體情況進(jìn)行判斷。

Q：你好，我有幾個(gè)問(wèn)題

1.網(wǎng)站經(jīng)常被暴有各種各樣的漏洞，像SQL注入、跨站等，對(duì)這些漏洞能通過(guò)防火墻進(jìn)行控制嗎。

2.大家都在說(shuō)WEB應(yīng)用防火墻，這東西能幫我們網(wǎng)管解決哪些問(wèn)題。

3.網(wǎng)站不僅需要面對(duì)病毒、漏洞等攻擊，有時(shí)候也要面對(duì)拒絕服務(wù)攻擊，比如很多人有意或無(wú)意的不停訪(fǎng)問(wèn)我的網(wǎng)站導(dǎo)致服務(wù)器資源或網(wǎng)絡(luò)資源被消耗殆盡而無(wú)法向其他人提供服務(wù)，有辦法通過(guò)WEB應(yīng)用防火墻來(lái)對(duì)此進(jìn)行控制嗎，控制方式是什么。謝謝

A：1、SQL注入、XSS這類(lèi)漏洞是應(yīng)用層面的漏洞，而FW是工作在網(wǎng)絡(luò)層面的設(shè)備，因此FW無(wú)法對(duì)此進(jìn)行控制。

2、WAF設(shè)備主要幫助解決幾個(gè)方面的問(wèn)題：解決WEB安全層面特有的問(wèn)題（應(yīng)對(duì)來(lái)自客戶(hù)端的各類(lèi)威脅以及網(wǎng)站自身的內(nèi)容安全），提升網(wǎng)站的可用性，了解網(wǎng)站的安全狀態(tài)及業(yè)務(wù)運(yùn)維狀態(tài)。

3、我們的WAF提供TCP/HTTP Flood防護(hù)功能，之所以有這個(gè)功能，也是考慮了目前國(guó)內(nèi)網(wǎng)站面臨的高風(fēng)險(xiǎn)問(wèn)題。這塊功能復(fù)用了黑洞的核心算法。黑洞的抗拒絕服務(wù)攻擊能力，相信很多朋友都非常了解，這里我也不再多說(shuō)了。

Q：專(zhuān)家您好！我有幾個(gè)問(wèn)題一直很疑惑啊。望能百忙之中抽出時(shí)間解答。

1. 如何有效的防范DDOS攻擊，或者說(shuō)如何能降低DDOS攻擊的危害。

2。對(duì)于跨站攻擊，雖然對(duì)用戶(hù)提交的數(shù)據(jù)過(guò)濾掉了一些，但是繞過(guò)跨站攻擊的夜很多。前段時(shí)間的discuz！7.2的跨站漏洞，百度的跨站漏洞等。如何有效的防范呢？謝謝了。

A：1.DDos有針對(duì)網(wǎng)絡(luò)層和應(yīng)用層，WAF能有效防護(hù)。

2. Discuz的簽名代碼中 可寫(xiě)入惡意代碼，這與攻擊字符串的變形可繞開(kāi)現(xiàn)有機(jī)制的檢查有關(guān)，有效防護(hù)在于能對(duì)不同變形的字符串準(zhǔn)確識(shí)別，目前綠盟Waf內(nèi)置了檢查各種變形字符串的模塊。

Q：現(xiàn)在云安全是個(gè)很熱門(mén)的話(huà)題，請(qǐng)問(wèn)公司的web網(wǎng)站能否結(jié)合云安全的技術(shù)進(jìn)行防護(hù)呢？綠盟科技是否有結(jié)合云安全技術(shù)的產(chǎn)品呢？

A：綠盟科技通過(guò)“云”來(lái)實(shí)現(xiàn)信息安全主要分為三個(gè)層面。

1.    自主研發(fā)和運(yùn)營(yíng)的云計(jì)算平臺(tái)，通過(guò)其對(duì)海量信息進(jìn)行分析處理發(fā)現(xiàn)威脅。

2.    自有產(chǎn)品通過(guò)對(duì)云安全的集成，快速檢測(cè)和防御互聯(lián)網(wǎng)上最新的安全威脅。

3.    通過(guò)開(kāi)放和實(shí)時(shí)的云安全服務(wù)，與第三方合作伙伴一同改善用戶(hù)的安全體驗(yàn)。綠盟有專(zhuān)門(mén)的Saas產(chǎn)品，能解決掛馬、釣魚(yú)、網(wǎng)站監(jiān)控等。

Q：請(qǐng)問(wèn)專(zhuān)家web應(yīng)用防火墻和普通的防火墻具體有什么區(qū)別？

A：簡(jiǎn)單的說(shuō)，這兩者在部署上類(lèi)似，但功能定位差異很大，防火墻主要解決網(wǎng)絡(luò)層的安全，而WAF是對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、Web平臺(tái)、應(yīng)用層都要防護(hù)，重點(diǎn)在于應(yīng)用層，并具備完整協(xié)議棧，能完全理解HTTP協(xié)議并校驗(yàn)協(xié)議是否符合RFC規(guī)范，對(duì)檢查和防護(hù)Web攻擊行為，并對(duì)Web應(yīng)用的交付優(yōu)化，包括cach、加速等，這些都是普通防火墻不具備的。更多詳細(xì)信息請(qǐng)參考官方網(wǎng)站：http://www.nsfocus.com/1_solution/1_2_8.html

Q：請(qǐng)教專(zhuān)家，有沒(méi)有什么好的網(wǎng)站漏洞掃描工具推薦還有就是，我知道，世界上是沒(méi)有絕對(duì)安全的網(wǎng)站的，只要是在網(wǎng)絡(luò)上的產(chǎn)物，或多或少都是存在潛在的安全問(wèn)題，所以，我不會(huì)問(wèn)如何去給網(wǎng)站做防御工作，我想問(wèn)的是：在一個(gè)有著商業(yè)用途方面的網(wǎng)站，該如何從對(duì)商家影響最小的情況來(lái)進(jìn)行對(duì)被黑過(guò)的網(wǎng)站進(jìn)行恢復(fù)（可能有個(gè)破壞的嚴(yán)重程度問(wèn)題，不過(guò)您可以舉例或者從某一方面來(lái)說(shuō)也行，比如中等破壞程度）

A：1、網(wǎng)站漏洞掃描工具，可以采用綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)，其提供Web應(yīng)用掃描模塊。2、 我贊成你的上半句，的確沒(méi)有百分百安全，但并不意味著不需要做好防御工作。以網(wǎng)站被黑為例，我們需要發(fā)現(xiàn)問(wèn)題的本質(zhì)（比如網(wǎng)站代碼的質(zhì)量問(wèn)題、網(wǎng)站的安全配置問(wèn)題等等），從而根本解決此類(lèi)問(wèn)題，而不應(yīng)局限于解決問(wèn)題的表象，比如僅僅是做被動(dòng)的恢復(fù)。從降低風(fēng)險(xiǎn)的角度，我們需要考慮風(fēng)險(xiǎn)計(jì)算公式中的各種影響因素（攻擊者因素、漏洞因素、技術(shù)影響性）。關(guān)于這方面的論述，具體可以參考綠盟秦波在2009第七屆網(wǎng)絡(luò)技術(shù)大會(huì)上《如何降低網(wǎng)站風(fēng)險(xiǎn)》的主題演講。鏈接：http://news.ccidnet.com/art/1321/20091210/1957699_1.html。

你的問(wèn)題很好。被攻擊的影響有兩個(gè)：聲譽(yù)、金錢(qián)。這個(gè)程度取決于攻擊者對(duì)目標(biāo)的攻擊方法，比如刪除文件、掛馬、竊取資料等。從恢復(fù)角度看可采取恢復(fù)被篡改文件、刪除惡意文件、加固和修復(fù)有漏洞的網(wǎng)站程序，同時(shí)數(shù)據(jù)庫(kù)需要定期備份和校驗(yàn)。所謂的中等破壞程度不是準(zhǔn)確定義，請(qǐng)舉一個(gè)特例更好回答，謝謝你的問(wèn)題。

查看更多精彩門(mén)診：http://doctor.51cto.com/