随着互联网技术的迅猛发展,许多用户的关键业务越来越多地基于WEB应用,这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。

WEB应用安全形势

    早期,在DMZ区部署静态的Web服务器是标准的安全模型,Web数据中心建立在企业防火墙之外以便于访问者能自由的访问Web站点,但却不能随意访问企业的内部网络和系统。现在,通过Web来访问Web应用系统不仅仅是企业内部的用户,更是直接暴露在Internet上以便于Internet用户访问,传统的DMZ区的概念已经不适用于现在的安全需求。

    常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历等攻击;二是利用WEB页面自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击(XSS)等。

  • 跨站脚本(XSS)攻击——插入恶意脚本,用户浏览时会遭受挂马、帐号盗取、强行下载等攻击。
  • SQL注入——构造SQL代码让服务器执行,获取敏感数据、篡改数据、破坏数据。
  • 缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。
  • Cookie假冒——精心修改cookie数据进行用户假冒。
  • 认证逃避——攻击者利用不安全的证书和身份管理,绕过认证。
  • 表单绕过-----攻击者利用后台校验不严格,直接绕过认证进入后台。
  • 非法输入——在动态网页的输入中使用各种非法数据,获取服务器敏感数据。
  • 强制访问——访问未授权的网页。
  • 隐藏变量篡改——对网页中的隐藏变量进行修改,欺骗服务器程序。
  • 拒绝服务攻击——构造大量的非法请求,使Web服务器不能响应正常用户的访问。

传统安全设备应对web应用安全的局限

 许多企业在谈及web应用安全时,都会认为“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了 SSL 技术”、“我们每个季度都会进行渗透测试”……所以,“我们的应用是安全的”。现实真是如此吗?让我们一起来看一下 Web 应用安全的全景图:

  • 防火墙类   

不管是硬件防火墙还是软件防火墙主要发挥的是访问控制功能,工作在OSI模型三、四层,基于IP报文进行检测,通过分析,判断相关报文是否为正常的访问请求数据,具体可以实现诸如端口、应用协议等控制,从而实现网络边界的基本隔离和保护。在实际应用过程中,为了确保WEB应用的正常服务能力,防火墙必须对外开启80或443等应用系统相关的网络端口,同时我们会把对外服务的应用系统部署在防火墙的DMZ区,用于与内网的隔离。所以防火墙本身的功能定位,其在实际工作过程中根本不需要理解Web应用程序语言如HTML及ASP等,也无需理解HTTP/HTTPS会话,凡是通过80或443端口进出的数据一律畅通无阻。但是,恰恰相反,目前日趋严重的WEB应用攻击都是被封装在正常的HTTP或者HTTPS流量中,所以传统防火墙根本不可能检测到攻击的发生,更谈不上采取措施实行防御了。

  • IDS类系统

最早的IDS,到后来的IPS,到现在的IDP,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量进行实时阻断,系统能够识别和阻断类似蠕虫攻击、端口扫描等攻击行为,其对攻击的识别完全依靠自身的特征库数据。入侵检测类系统可以部署在网络边界处,也往往部署在内网节点。而对于WEB应用攻击,相对其他层面的攻击其种类和对应变形非常多(比如:SQL注入、跨站脚本(XSS)、表单绕过、COOK注入、恶意文件执行等等),针对WEB应用攻击如此的复杂化、多样化,入侵检测防御系统能够发挥的作用很小很小。

    因此,可以看出:

 a. 网络脆弱性扫描工具,由于它仅仅用来分析网络层面的漏洞,不了解应用本身,所以不能彻底提高Web应用安全性;

 b. 防火墙可以阻止对重要端口的访问,但是 80 和 443 端口始终要开放,我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;

 c. SSL 可以加密数据,但是它仅仅保护了在传输过程中数据的安全性,并没有保护Web应用本身;

 d. 每个季度的渗透测试,无法满足处于不断变更之中的应用。

解决方案

  从web应用的安全全景图,我们可以看出,web应用安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。从整体的应用安全防护角度出发,通过整体安全检测、主动防御、监控审计三部分的全面部署,可以促使web应用程序运行在比较安全的应用环境。

  • web应用防火墙
    目前类似支付卡行业数据安全标准(PCI DSS),明确要求需要通过部署WEB应用防火墙来实现对网银系统的保护,从而保护相关的支付卡数据。随着安全技术的发展及各个层面对安全的要求(等级保护),类似证券行业、电子商务行业、期货行业等都将会把对WEB交易系统的安全保障工作作为整个信息安全非常重要的一部分来开展。

从WEB应用系统的本身技术环境及安全要求出发,我们认为WEB应用防火墙具有一下特性:

(1) 深入理解HTTP/HTTPS。WAF必须全面深入分析和解析HTTP协议,这个是基础。

(2) 非常强的保护技术。除了能够抵御各类日常的WEB应用攻击(SQL注入、跨站、隐藏字段攻击等等),同时还要提供暴利破解攻击防御、限制会话攻击防御、COOK保护等功能,从各个细节负面保障HTTP/HTTPS通讯过程是安全的。

(3) 策略管理。WAF系统应该提供强大策略管理功能,可以方便的弃用某些自动生成的策略,可以方便的修正误判,可以为不同的应用定制不同的策略,可以定制攻击的特征及其响应事件,可以将探测和阻断结合起来等等。目的是能够灵活地使用好WAF系统,满足多种多样的用户环境。

(4) 多重检查技术:诸如提供主动安全模式和被动安全模式等多重检查技术。

(5) 性能要求:由于系统承担着HTTP/HTTPS的解包分析工作,所以系统必须具有强大的性能支撑,不能够出现因为分析不过来造成分析错误或者影响应用。

  • 深度安全入侵防御系统
        DPtech系列的IPS,具备2层到7层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库、病毒库和协议特征库,既可以有效检测并实时阻断隐藏在海量网络流量中的各种攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理。该类产品还还可以作为防毒墙,其内置了卡巴斯基的病毒库,可以实时有效的阻断蠕虫王、冲击波、麦托、尼姆达、震荡波和高波等网络蠕虫病毒的渗透。

服务内容

WEB安全专业服务包含两大类、九方面:

远程服务内容:

服务名称 服务内容 客户收益
WEB应用深度漏洞检测 采用专业安全工具及安全专家人工检测相结合的方式,对WEB应用进行深度风险评估(黑盒测试); 识别、控制、降低或消除可能影响WEB应用的安全风险;
WEB应用木马检测 利用专业安全工具检测网页木马; 了解WEB应用的当前状况,是否已经被攻击挂马 ;
清除网页木马和恶意代码;
渗透测试 利用存在的漏洞及黑客攻击技术,实施无害攻击; 知道WEB应用抵御黑客入侵的强度;
了解黑客是如何利用现有的漏洞;
远程应急响应 对受攻击WEB应用进行入侵分析、应急修复; 及时解决安全事件,化解安全危机;
将安全事件影响的损失降到最低;
WEB应用安全通告 WEB应用安全漏洞通告;
重大WEB应用安全事件通告;
及时了解最新的WEB应用漏洞信息;
及时规避新WEB应用安全漏洞带来的风险;
了解最新外部安全环境;

 

现场服务内容:

服务名称 服务内容 客户收益
WEB应用安全加固 采用专业安全工具对WEB应用进行代码审核,并协助加固(白盒测试); 修补WEB应用漏洞,完善WEB应用编码;
增强WEB应用抵御黑客入侵的强度;
增强业务连续性;
WEB应用安全培训 安全开发培训;
安全维护培训;
培养开发人员安全编码意识、安全编码能力;
增强维护人员专业安全知识;
现场应急响应

 

对受攻击WEB应用进行入侵分析、应急修复; 及时解决安全事件,化解安全危机;
将安全事件影响的损失降到最低;
安全巡检 对应用系统进行安全巡检,并在巡检结束后2个工作日内提交巡检报告; 定期掌握应用系统存在的安全隐患;
及时落实修补措施;

 

服务投诉 | 微信公众平台 | 站长工具 | IT外包服务 | IT外包 |深圳IT外包 | IT服务外包 | 北京IT外包 | 杭州IT外包 | 天津IT外包 | IT外包公司 | 无线覆盖 | 虚拟化 | 北京无线覆盖 | 信诺IT外包

Copyright © 2005~2016 Grandtec All Right Reserved .备案号:粤ICP备09111491号

常年法律顾问:香港马杰律师行  深圳灵泉律师事务所

Powered by PageAdmin CMS Free Version