【51CTO.com綜合報道】在Web信息系統(tǒng)高速發(fā)展的今天，Web應(yīng)用服務(wù)已經(jīng)成為當(dāng)前互聯(lián)網(wǎng)最為流行的業(yè)務(wù)。大量的在線應(yīng)用業(yè)務(wù)都依托于Web服務(wù)進(jìn)行的同時，Web信息系統(tǒng)也面臨著各種各樣的安全問題。根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡稱CNCERT/CC）2011年8月8日-8月14日的統(tǒng)計報告，在此期間被篡改網(wǎng)站數(shù)量為575個，較上周環(huán)比大幅增加約29.2%。網(wǎng)站被篡改數(shù)量最多的仍是.com和.com.cn域名類網(wǎng)站，其中.gov.cn域名類網(wǎng)站有88個（占境內(nèi)約15%）。

Web的開放性豐富了我們的信息資源、拓展了我們的工作方式，也讓更多的核心業(yè)務(wù)日漸暴露在各種危險中。面對越來頻繁的Web安全威脅，信息安全行業(yè)領(lǐng)軍企業(yè)網(wǎng)御星云通過對Web應(yīng)用多種攻擊方式的深入研究，以及對傳統(tǒng)解決方案的透徹分析，推出了網(wǎng)御星云Web應(yīng)用安全“套餐”，全方位保障互聯(lián)網(wǎng)安全。

圖：Web應(yīng)用的多種攻擊方式

一、Web應(yīng)用的多種攻擊方式

 Ø攻擊Web平臺

Web平臺面臨的安全問題是方方面面的，主要可概括為以下四個方面：

1）操作系統(tǒng)、后臺數(shù)據(jù)庫的安全問題：這里指操作系統(tǒng)和后臺數(shù)據(jù)庫的漏洞，配置不當(dāng)，如弱口令等等，導(dǎo)致黑客、病毒可以利用這些缺陷對網(wǎng)站進(jìn)行攻擊。

2）Web發(fā)布系統(tǒng)的漏洞：Web業(yè)務(wù)常用的發(fā)布系統(tǒng)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，給入侵者可乘之機(jī)。

3）Web應(yīng)用程序的漏洞：主要指Web應(yīng)用程序的編寫人員，在編程的過程中沒有考慮到安全的問題，使得黑客能夠利用這些漏洞發(fā)起對網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4）自身網(wǎng)絡(luò)的安全狀況：網(wǎng)站服務(wù)器所處的網(wǎng)絡(luò)安全狀況也影響著網(wǎng)站的安全，比如網(wǎng)絡(luò)中存在的DoS攻擊等，也會影響到網(wǎng)站的正常運(yùn)營。

 Ø攻擊Web認(rèn)證

帳號口令攻擊方式：主要是通過猜解、探索有用的組合，從而獲取目標(biāo)站點(diǎn)的部分或全部的控制權(quán)。有手工猜解帳號口令和工具暴力破解兩種方式。

Cookies攻擊方式：通過改變cookies中的數(shù)據(jù)，攻擊者就可以訪問用戶的帳戶；也可以通過竊取用戶的cookie訪問用戶的帳戶。

 Ø攻擊Web數(shù)據(jù)存儲

這種攻擊主要是通過web與數(shù)據(jù)庫的交互漏洞，來獲取數(shù)據(jù)庫的訪問、操作、控制權(quán)限的。通?？梢赃_(dá)到：(1)水平權(quán)限提升：得到同級別用戶的信息。(2)垂直權(quán)限提升：得到高級別用戶的信息。(3)任意文件存?。喝〉脀eb站點(diǎn)目錄以外的未被授權(quán)的文件或數(shù)據(jù)。

 ØWeb溢出攻擊

緩沖區(qū)溢出是惡意的用戶向服務(wù)器發(fā)送大量數(shù)據(jù)以使系統(tǒng)癱瘓的典型攻擊手段。。該系統(tǒng)包括存儲這些數(shù)據(jù)的預(yù)置緩沖區(qū)。如果所收到的數(shù)據(jù)量大于緩沖區(qū)，則部分?jǐn)?shù)據(jù)就會溢出到堆棧中。如果這些數(shù)據(jù)是代碼，系統(tǒng)隨后就會執(zhí)行溢出到堆棧上的任何代碼。Web應(yīng)用緩沖區(qū)溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個字段中的數(shù)據(jù)足夠的大，它就能創(chuàng)造一個緩沖器溢出條件。

Ø 攻擊Web應(yīng)用程序

Web服務(wù)器提供大量的接口來支持內(nèi)容管理、服務(wù)管理、配置等，這就造成大量的交互接口，每個接口都存在被攻擊的可能。如：telnet、ssh、ftp等連接管理私有管理端口。

安全隱患主要體現(xiàn)在：(1)telnet、ssh、ftp等連接管理；(2)私有管理端口；(3)緩沖區(qū)溢出，frontpage vsrad、webdav等；(4)基于web的管理產(chǎn)品：cisco網(wǎng)絡(luò)設(shè)備、foundry網(wǎng)絡(luò)交換設(shè)備等。

Ø Web客戶端攻擊

Web客戶端攻擊主要是通過瀏覽器、E-mail等攻擊載體實(shí)現(xiàn)攻擊的，可以分為如下三種方式：(1)動態(tài)內(nèi)容攻擊：主要是通過構(gòu)建瀏覽器可以解釋的小規(guī)?？蓤?zhí)行程序或腳本代碼，將其下載到本地執(zhí)行，產(chǎn)生攻擊行為。(2)跨站腳本攻擊：該攻擊主要是不恰當(dāng)?shù)姆?wù)端輸入檢查，從而允許客戶端瀏覽器解釋腳本命令。(3)Cookies劫持：通過獲取別人的cookies資料來獲取真正web訪問者的web身份，從而收集相關(guān)敏感信息。

Ø 拒絕服務(wù)攻擊

分布式拒絕服務(wù)（DDoS）攻擊對獲取任何聯(lián)機(jī)應(yīng)用程序和透過公共因特網(wǎng)提供的服務(wù)構(gòu)成嚴(yán)重的威脅。這些攻擊主要針對web站點(diǎn)、DNS服務(wù)、電子商務(wù)應(yīng)用程序、VoIP 服務(wù)、聯(lián)機(jī)游戲和金融服務(wù)而發(fā)動，其阻止客戶訪問這些應(yīng)用程序，給運(yùn)行這些應(yīng)用程序的企業(yè)和公司造成嚴(yán)重的經(jīng)濟(jì)損失。

二、傳統(tǒng)的Web防護(hù)解決方案

Ø 防火墻解決方案

在傳統(tǒng)的安全產(chǎn)品中，防火墻主要工作在四層以下，主要是基于包檢測技術(shù)，不能實(shí)現(xiàn)對HTTP協(xié)議的精細(xì)控制。比如對應(yīng)用層的SQL注入、XSS攻擊這種基于應(yīng)用層構(gòu)建的攻擊，防火墻束手無策，甚至是基于特征匹配技術(shù)的檢測產(chǎn)品，也由于這類攻擊特征不唯一性，不能精確阻斷攻擊。

Ø 防病毒產(chǎn)品解決方案

防病毒產(chǎn)品不僅對Web應(yīng)用程序中的漏洞難以識別，而且對網(wǎng)頁中存在的惡意代碼（網(wǎng)頁木馬）更是束手無策。

 ØIPS解決方案

IPS僅是對HTTP數(shù)據(jù)包有效負(fù)載的檢測分析，并不能將所有的數(shù)據(jù)包還原組裝成數(shù)據(jù)流或具體的內(nèi)容進(jìn)行基于關(guān)鍵字或具體內(nèi)容的檢測分析與特征提取，并且IPS主要是靜態(tài)的特征匹配，針對Web應(yīng)用交互中動態(tài)頁面中的相關(guān)內(nèi)容沒有固定特征，因此IPS很難防范此類攻擊，并且IPS也不保持會話信息，很多與會話有關(guān)的攻擊，比如Cookie篡改、會話劫持，IPS都不能較好的進(jìn)行防護(hù)?？傊?，Web應(yīng)用攻擊之所以與其他攻擊不同，是因?yàn)樗鼈兒茈y被發(fā)現(xiàn)，而且可能來自任何在線用戶，甚至是經(jīng)過驗(yàn)證的用戶。

Ø單一Web安全防護(hù)產(chǎn)品解決方案

單一的Web安全防護(hù)工具不能對Web應(yīng)用進(jìn)行全方位的保護(hù)，因?yàn)閬碜訵eb的攻擊是多方面的，他們可利用系統(tǒng)及應(yīng)用的漏洞攻擊，破壞Web認(rèn)證及會話，甚至可直接對數(shù)據(jù)存儲進(jìn)行攻擊。如Web防火墻在沒有漏洞掃描、滲透測試的情況下，制定的防護(hù)策略就顯得捉襟見肘，也不具備數(shù)據(jù)庫備份及審計功能，針對Web應(yīng)用保護(hù)更不能提前預(yù)警。所以，傳統(tǒng)的安全解決方案和單一的防護(hù)工具不能真正保障Web應(yīng)用安全。

三、網(wǎng)御星云互聯(lián)網(wǎng)Web應(yīng)用整體防護(hù)套餐

網(wǎng)御星云互聯(lián)網(wǎng)Web應(yīng)用防護(hù)解決方案分為基本防護(hù)、增強(qiáng)防護(hù)、專業(yè)防護(hù)3種套餐，可根據(jù)事前評估、滲透、對抗演練，事中采用產(chǎn)品進(jìn)行加固、安全巡檢，事后審計進(jìn)行攻擊變異分析來時時調(diào)整安全策略，整體來保障Web應(yīng)用安全。

1.基本級防護(hù)

基本級防護(hù)套餐：針對Web應(yīng)用威脅進(jìn)行風(fēng)險綜合評估分析，根據(jù)掃描及評估的結(jié)果有選擇的部署WAF、IDS、網(wǎng)頁防篡改安全產(chǎn)品，同時進(jìn)行實(shí)時的網(wǎng)站掛馬的監(jiān)控。

防護(hù)工具包括：1、Web威脅掃描2、WAF、IDS、網(wǎng)頁防篡改3、網(wǎng)站掛馬監(jiān)控。

2.增強(qiáng)級防護(hù)

增強(qiáng)及防護(hù)套餐：具備基本防護(hù)套餐功能，同時針對數(shù)據(jù)安全進(jìn)行防護(hù)，并對相關(guān)日志進(jìn)行審計。

防護(hù)工具包括：1、Web威脅掃描2、WAF、IDS、網(wǎng)頁防篡改3、網(wǎng)站掛馬監(jiān)控4、數(shù)據(jù)安全（網(wǎng)閘）5、數(shù)據(jù)庫審計6、統(tǒng)一安全管理。

3.專業(yè)級防護(hù)

專業(yè)級防護(hù)套餐：可進(jìn)行事先的掃描、源代碼評估及滲透測試，并制定安全加固方案，部署WAF、IDS、網(wǎng)頁防篡改產(chǎn)品防護(hù)Web應(yīng)用安全，同時針對Web的數(shù)據(jù)安全、應(yīng)用安全、異常流量等方面進(jìn)行全面保護(hù)與管理，并具備實(shí)時的網(wǎng)站掛馬監(jiān)控、審計及全網(wǎng)設(shè)備的統(tǒng)一管理。

防護(hù)工具包括：1、Web威脅掃描；2、源代碼評估及滲透測試；3、安全加固；4、WAF、IDS、網(wǎng)頁防篡改；5、數(shù)據(jù)安全（網(wǎng)閘）；6、應(yīng)用安全（APM）；7、網(wǎng)站掛馬監(jiān)控；8、Guard；9、審計；10、統(tǒng)一安全管理。

圖：網(wǎng)御互聯(lián)網(wǎng)Web應(yīng)用整體防護(hù)

針對Web應(yīng)用安全威脅，我們需要整體防御解決方案。傳統(tǒng)的安全產(chǎn)品及單一的防護(hù)工具不能全面的防護(hù)安全威脅，應(yīng)該從事先的掃描、源代碼評估及滲透測試中制定安全加固方案，根據(jù)需要進(jìn)行WAF、IDS、網(wǎng)頁防篡改、網(wǎng)閘（數(shù)據(jù)安全）、APM（應(yīng)用監(jiān)控）、Guard（異常流量管理）等產(chǎn)品的防御部署，結(jié)合實(shí)時的網(wǎng)站掛馬監(jiān)控、審計及全網(wǎng)設(shè)備統(tǒng)一管理來整體提高Web應(yīng)用防護(hù)威脅的能力。網(wǎng)御推薦的套餐根據(jù)防護(hù)級別分為基本級、增強(qiáng)級、專業(yè)級，實(shí)際用戶可直接套用，并且還可根據(jù)自己的安全威脅情況進(jìn)行重新組合。不管采用哪種防范策略，整體的防護(hù)解決方案會使Web應(yīng)用威脅防御能力成倍提高。

網(wǎng)御星云公司在信息安全領(lǐng)域擁有眾多核心技術(shù)，先后申請發(fā)明專利近40項(xiàng)，軟件著作權(quán)近30項(xiàng)。主營業(yè)務(wù)涵蓋網(wǎng)絡(luò)邊界安全防護(hù)、應(yīng)用與數(shù)據(jù)安全防護(hù)、全網(wǎng)安全風(fēng)險管理等方面。主要產(chǎn)品包括防火墻、UTM、IPSec VPN、防病毒網(wǎng)關(guān)、IPS、SSL VPN安全接入網(wǎng)關(guān)、web應(yīng)用安全防護(hù)系統(tǒng)、安全數(shù)據(jù)交換、IDS、異常流量管理、流量優(yōu)化網(wǎng)關(guān)、安全審計、安全管理共計13大類500余款產(chǎn)品，其中包括網(wǎng)絡(luò)安全旗艦產(chǎn)品金剛?cè)f兆安全網(wǎng)關(guān)和應(yīng)用安全旗艦產(chǎn)品SSL VPN，是國內(nèi)信息安全產(chǎn)品線最為豐富的企業(yè)。