層出不窮的web安全事件

如今，Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，如Web2.0、社交網(wǎng)絡(luò)、微博等新型互聯(lián)網(wǎng)產(chǎn)品相繼誕生，企業(yè)信息化的過程中各種應(yīng)用也都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)迅速發(fā)展的同時(shí)讓web安全威脅也日漸凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，植入惡意代碼，侵害網(wǎng)站訪問者。

來自國內(nèi)的報(bào)告顯示，2010年4月16日、17日，面向美國市場(chǎng)的阿里巴巴全球速賣通受到不明身份黑客的持續(xù)惡意攻擊，黑客針對(duì)速賣通網(wǎng)站在國內(nèi)和美國的服務(wù)器采取了多種手段的攻擊。同年5月10日至5月16日一周內(nèi)，中國境內(nèi)就有81個(gè)政府網(wǎng)站被篡改； 截止當(dāng)年5月24日，包括我國的2所一流大學(xué)與10多所重點(diǎn)大學(xué)在內(nèi)的眾多高校網(wǎng)站被掛木馬；

與之相應(yīng)的，國外的Web安全事件也是頻頻爆出：日本最大的BBS網(wǎng)站2ch被攻擊，因服務(wù)器癱瘓從而受到重大損失的美國IT公司表明與聯(lián)邦調(diào)查局（FBI）達(dá)成協(xié)議，將對(duì)黑客攻擊采取法律手段。本次攻擊來自于韓國黑客的可能性很大，2ch以外的服務(wù)器使用者也被殃及，其中包括與美國政府有關(guān)網(wǎng)站。損失高達(dá)250萬美元；來自歐洲的報(bào)告稱，2009年5 月 26 日，法國移動(dòng)運(yùn)營商Orange France 提供照片管理的網(wǎng)站頻道被曝存在SQL注入漏洞，黑客利用此漏洞獲取到245,000 條用戶記錄（包括E-mail、姓名及明文方式的密碼）。

針對(duì)Web應(yīng)用的攻擊手段和技術(shù)日趨高明、隱蔽，致使大多Web應(yīng)用處在高風(fēng)險(xiǎn)的環(huán)境中。Web應(yīng)用安全問題不斷升溫，受到越來越多的網(wǎng)絡(luò)用戶關(guān)注。

針對(duì)web的攻擊攻擊緣何趨多？

在用戶的場(chǎng)景中，B/S結(jié)構(gòu)已經(jīng)逐步替代C/S結(jié)構(gòu)成為客戶首選的應(yīng)用場(chǎng)景，簡(jiǎn)單、方便、快捷、無縫介入等，種種便利使得客戶越來越喜歡B/S結(jié)構(gòu)的場(chǎng)景，也使得原有私有的、非標(biāo)準(zhǔn)的C/S結(jié)構(gòu)逐步被替代，大量統(tǒng)一的、開源的B/S結(jié)構(gòu)使得攻擊者有了一個(gè)集中可供研究滲透的基礎(chǔ)。于是黑客將攻擊轉(zhuǎn)向幾乎無所不在的 80 開放端口（Web通信最常用的端口）。這兩點(diǎn)原因?qū)е旅绹蠹s有 75 % 的企業(yè)在 2003 年因 Web攻擊而遭受經(jīng)濟(jì)損失。

導(dǎo)致 Web 應(yīng)用進(jìn)一步面臨威脅的原因還有 Web 服務(wù)器與應(yīng)用底層架構(gòu)的變化以及使用非安全開放源代碼組件現(xiàn)象的增加。Web 服務(wù)器與 Web 應(yīng)用已經(jīng)從最初提供簡(jiǎn)單的靜態(tài)內(nèi)容演變到提供豐富的動(dòng)態(tài)內(nèi)容?，F(xiàn)在，Web 服務(wù)器與應(yīng)用除了可以創(chuàng)建動(dòng)態(tài)頁面和啟動(dòng)應(yīng)用程序外，還可以同數(shù)據(jù)庫進(jìn)行通信以生成對(duì)用戶有用的內(nèi)容。大多數(shù) Web 服務(wù)器平臺(tái)都將應(yīng)用程序與服務(wù)器捆綁在一起，即使最簡(jiǎn)單的網(wǎng)站也會(huì)和Web應(yīng)用進(jìn)行交互，這為攻擊提供了機(jī)會(huì)。很多攻擊行為利用了當(dāng)前Web體系架構(gòu)存在的安全漏洞。這些攻擊手段包括篡改主要Web接口、導(dǎo)致服務(wù)器上的嵌入式 Web 應(yīng)用執(zhí)行預(yù)期之外的功能、安裝惡意應(yīng)用程序以及欺騙后臺(tái)數(shù)據(jù)庫使其向攻擊者發(fā)送敏感信息等。

與網(wǎng)絡(luò)層安全相似，Web應(yīng)用的安全強(qiáng)度也取決于整個(gè)體系中最脆弱的那一環(huán)。要構(gòu)建安全的Web應(yīng)用平臺(tái)，開發(fā)人員必須在 Web應(yīng)用的每個(gè)層面精心設(shè)計(jì)安全性。運(yùn)行 Web 應(yīng)用的服務(wù)器也必須不斷更新。遺憾的是，許多企業(yè)在設(shè)計(jì) Web 應(yīng)用時(shí)，開發(fā)人員并未全面考慮安全性。更糟糕的是，有的用戶只為 Web 服務(wù)器中可從外界訪問的那部分設(shè)計(jì)了安全性，而忽略了內(nèi)部訪問Web應(yīng)用的安全性。攻擊 Web應(yīng)用最常見也是最見效的手法就是利用漏洞，尋找可以獲得對(duì)服務(wù)器平臺(tái)（包括Microsof t SQL Server、IIS、Apache Web服務(wù)器）的根訪問權(quán)的安全漏洞。其中，SQL 植入屬于最危險(xiǎn)的攻擊形式之一。在發(fā)動(dòng) SQL 植入攻擊時(shí)，攻擊者將意料之外的 SQL 命令植入到 Web 應(yīng)用表格域中，這可以讓攻擊者在后端數(shù)據(jù)庫服務(wù)器上執(zhí)行命令，并且可能獲得管理員權(quán)限。緩沖區(qū)溢出攻擊是一種利用超出應(yīng)用程序所能處理的數(shù)據(jù)量淹沒應(yīng)用程序的攻擊，這種攻擊可以使攻擊者能夠在目標(biāo)系統(tǒng)上執(zhí)行命令。常見的攻擊手段還有跨網(wǎng)站腳本攻擊，這種攻擊常用在網(wǎng)頁模仿攻擊中?？缇W(wǎng)站腳本攻擊有多種形式，包括誘騙用戶連接到貌似著名網(wǎng)站上來收集用戶信息，或直接接管用戶的Web會(huì)話。

Fortinet的Web加固安全方案

提到Web安全不得不提到OWASP。OWASP（開放Web軟體安全項(xiàng)目- Open Web Application Security Project）是一個(gè)開放社群、非營利性組織，目前全球有130個(gè)分會(huì)近萬名會(huì)員，其主要目標(biāo)是研議協(xié)助解決Web軟體安全之標(biāo)準(zhǔn)、工具與技術(shù)文件，長(zhǎng)期致力于協(xié)助政府或企業(yè)了解并改善網(wǎng)頁應(yīng)用程式與網(wǎng)頁服務(wù)的安全性。OWASP被視為Web應(yīng)用安全領(lǐng)域的權(quán)威參考。2009年發(fā)布的美國國家和國際立法、標(biāo)準(zhǔn)、準(zhǔn)則、委員會(huì)和行業(yè)實(shí)務(wù)守則參考引用了OWASP。美國聯(lián)邦貿(mào)易委員（FTC）強(qiáng)烈建議所有企業(yè)需遵循OWASP十大WEB弱點(diǎn)防護(hù)守則。

OWASP提出的top 10攻擊，分別是注入攻擊、跨站腳本攻擊（XSS）、越權(quán)及會(huì)話管理、不安全直接對(duì)象引入、跨站冒名請(qǐng)求（CSRF）、不當(dāng)?shù)陌踩渲?、不安全的密碼存儲(chǔ)、限制URL訪問失敗、薄弱的傳輸層保護(hù)、未驗(yàn)證的網(wǎng)址重導(dǎo)向，F(xiàn)ortinet針對(duì)OWASP提出的TOP10攻擊均有對(duì)應(yīng)的解決機(jī)制。

除了OWASP發(fā)布的Web攻擊特性，F(xiàn)ortiweb還包含內(nèi)置的Web簽名庫及模板策略引擎，通過Fortiguard云安全服務(wù)體系不間斷的采集世界各地的Web安全事件，將安全事件出現(xiàn)的攻擊特征及趨勢(shì)還原分布到Fortiweb安全體系中，保證使用Fortiweb的客戶Web場(chǎng)景可以有效的抵御新型的Web攻擊行為。

Fortiweb在提供行業(yè)領(lǐng)先的Web 應(yīng)用防火墻（WAF）技術(shù)之外， FortiWeb 還超越了傳統(tǒng)的Web安全設(shè)備，可提供XML 安全實(shí)現(xiàn)，在少數(shù)XML應(yīng)用場(chǎng)景下也可做到完整應(yīng)用交互防護(hù)。

作為安全解決方案，DDOS和DOS攻擊是經(jīng)常遇到的問題。Fortiweb提供各種基于網(wǎng)絡(luò)層級(jí)應(yīng)用層的防護(hù)，尤為需要提出的是，傳統(tǒng)DDOS防護(hù)都是基于閾值進(jìn)行控制，在配置準(zhǔn)確度和客戶體驗(yàn)度上都不是很令人滿意。Fortiweb提出的挑戰(zhàn)式Web防護(hù)，在不干預(yù)服務(wù)器端應(yīng)用的前提下，增加的挑戰(zhàn)行為，超出閾值的類DDOS攻擊如果無法滿足Fortiweb提出的挑戰(zhàn)將會(huì)被清理，滿足挑戰(zhàn)的請(qǐng)求行為會(huì)被正確轉(zhuǎn)發(fā)，把DDOS應(yīng)用層防護(hù)提升到一個(gè)新的境界。

Fortiweb作為Fortinet安全產(chǎn)品線的一員，繼承了Fortinet硬件架構(gòu)的特性，使用基于硬件的應(yīng)用加速及服務(wù)器負(fù)載均衡等功能，為Web 安全的防護(hù)提供了性能及低消耗的保障，在大量復(fù)雜配置及海量并發(fā)大的情況下，依然保持令人滿意的應(yīng)用轉(zhuǎn)發(fā)。

Fortiweb作為Web安全的加固方案，遵循業(yè)界對(duì)于Web交互過程中出現(xiàn)的攻擊行為防護(hù)準(zhǔn)則，并且考慮到Web服務(wù)作為Web攻擊的目的地，加強(qiáng)本身的自由的健壯性是必須的，同時(shí)也提供了專家級(jí)別的Web應(yīng)用掃描評(píng)估引擎，特地在事前對(duì)全部Web系統(tǒng)進(jìn)行完整掃描，并提供合理的修復(fù)加固建議。

Fortiweb作為Web安全加固設(shè)備，還對(duì)Web服務(wù)優(yōu)化提出的相當(dāng)多的意見，內(nèi)置的自學(xué)習(xí)模型，可以有效地分析全站的訪問行為，生成訪問baseline。當(dāng)然，記錄的攻擊匯總及攻擊細(xì)節(jié)可以輔助網(wǎng)站維護(hù)者定制Web加固計(jì)劃。Fortiweb提供的WIS（web訪問趨勢(shì)分析）可以智能地描繪訪問者區(qū)域及興趣內(nèi)容分布的趨勢(shì)，通過區(qū)域圖直觀地看到區(qū)域熱點(diǎn)分布和內(nèi)容熱點(diǎn)點(diǎn)擊，更為有效地輔助管理人員建立用戶特性研究分析。

綜上可知，F(xiàn)ortiweb的安全體系、網(wǎng)絡(luò)層級(jí)應(yīng)用層的防護(hù)及內(nèi)置的自我學(xué)習(xí)模型等，能夠有效防護(hù)諸如數(shù)據(jù)竊取、DDoS、網(wǎng)頁篡改等各種高危害性的網(wǎng)站攻擊，全面保障Web站點(diǎn)防護(hù)，滿足網(wǎng)絡(luò)用戶對(duì)于Web安全的需求。