WEB应用安全形势
早期,在DMZ区部署静态的Web服务器是标准的安全模型,Web数据中心建立在企业防火墙之外以便于访问者能自由的访问Web站点,但却不能随意访问企业的内部网络和系统。现在,通过Web来访问Web应用系统不仅仅是企业内部的用户,更是直接暴露在Internet上以便于Internet用户访问,传统的DMZ区的概念已经不适用于现在的安全需求。
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历等攻击;二是利用WEB页面自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击(XSS)等。
传统安全设备应对web应用安全的局限
许多企业在谈及web应用安全时,都会认为“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了 SSL 技术”、“我们每个季度都会进行渗透测试”……所以,“我们的应用是安全的”。现实真是如此吗?让我们一起来看一下 Web 应用安全的全景图:
不管是硬件防火墙还是软件防火墙主要发挥的是访问控制功能,工作在OSI模型三、四层,基于IP报文进行检测,通过分析,判断相关报文是否为正常的访问请求数据,具体可以实现诸如端口、应用协议等控制,从而实现网络边界的基本隔离和保护。在实际应用过程中,为了确保WEB应用的正常服务能力,防火墙必须对外开启80或443等应用系统相关的网络端口,同时我们会把对外服务的应用系统部署在防火墙的DMZ区,用于与内网的隔离。所以防火墙本身的功能定位,其在实际工作过程中根本不需要理解Web应用程序语言如HTML及ASP等,也无需理解HTTP/HTTPS会话,凡是通过80或443端口进出的数据一律畅通无阻。但是,恰恰相反,目前日趋严重的WEB应用攻击都是被封装在正常的HTTP或者HTTPS流量中,所以传统防火墙根本不可能检测到攻击的发生,更谈不上采取措施实行防御了。
最早的IDS,到后来的IPS,到现在的IDP,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量进行实时阻断,系统能够识别和阻断类似蠕虫攻击、端口扫描等攻击行为,其对攻击的识别完全依靠自身的特征库数据。入侵检测类系统可以部署在网络边界处,也往往部署在内网节点。而对于WEB应用攻击,相对其他层面的攻击其种类和对应变形非常多(比如:SQL注入、跨站脚本(XSS)、表单绕过、COOK注入、恶意文件执行等等),针对WEB应用攻击如此的复杂化、多样化,入侵检测防御系统能够发挥的作用很小很小。
因此,可以看出:
a. 网络脆弱性扫描工具,由于它仅仅用来分析网络层面的漏洞,不了解应用本身,所以不能彻底提高Web应用安全性;
b. 防火墙可以阻止对重要端口的访问,但是 80 和 443 端口始终要开放,我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;
c. SSL 可以加密数据,但是它仅仅保护了在传输过程中数据的安全性,并没有保护Web应用本身;
d. 每个季度的渗透测试,无法满足处于不断变更之中的应用。
解决方案
从web应用的安全全景图,我们可以看出,web应用安全关注方面应该涵盖WEB服务器的安全及数据库服务器的安全。从整体的应用安全防护角度出发,通过整体安全检测、主动防御、监控审计三部分的全面部署,可以促使web应用程序运行在比较安全的应用环境。
从WEB应用系统的本身技术环境及安全要求出发,我们认为WEB应用防火墙具有一下特性:
(1) 深入理解HTTP/HTTPS。WAF必须全面深入分析和解析HTTP协议,这个是基础。
(2) 非常强的保护技术。除了能够抵御各类日常的WEB应用攻击(SQL注入、跨站、隐藏字段攻击等等),同时还要提供暴利破解攻击防御、限制会话攻击防御、COOK保护等功能,从各个细节负面保障HTTP/HTTPS通讯过程是安全的。
(3) 策略管理。WAF系统应该提供强大策略管理功能,可以方便的弃用某些自动生成的策略,可以方便的修正误判,可以为不同的应用定制不同的策略,可以定制攻击的特征及其响应事件,可以将探测和阻断结合起来等等。目的是能够灵活地使用好WAF系统,满足多种多样的用户环境。
(4) 多重检查技术:诸如提供主动安全模式和被动安全模式等多重检查技术。
(5) 性能要求:由于系统承担着HTTP/HTTPS的解包分析工作,所以系统必须具有强大的性能支撑,不能够出现因为分析不过来造成分析错误或者影响应用。
WEB安全专业服务包含两大类、九方面:
远程服务内容:
服务名称 | 服务内容 | 客户收益 |
---|---|---|
WEB应用深度漏洞检测 | 采用专业安全工具及安全专家人工检测相结合的方式,对WEB应用进行深度风险评估(黑盒测试); | 识别、控制、降低或消除可能影响WEB应用的安全风险; |
WEB应用木马检测 | 利用专业安全工具检测网页木马; | 了解WEB应用的当前状况,是否已经被攻击挂马 ; 清除网页木马和恶意代码; |
渗透测试 | 利用存在的漏洞及黑客攻击技术,实施无害攻击; | 知道WEB应用抵御黑客入侵的强度; 了解黑客是如何利用现有的漏洞; |
远程应急响应 | 对受攻击WEB应用进行入侵分析、应急修复; | 及时解决安全事件,化解安全危机; 将安全事件影响的损失降到最低; |
WEB应用安全通告 | WEB应用安全漏洞通告; 重大WEB应用安全事件通告; |
及时了解最新的WEB应用漏洞信息; 及时规避新WEB应用安全漏洞带来的风险; 了解最新外部安全环境; |
现场服务内容:
服务名称 | 服务内容 | 客户收益 |
---|---|---|
WEB应用安全加固 | 采用专业安全工具对WEB应用进行代码审核,并协助加固(白盒测试); | 修补WEB应用漏洞,完善WEB应用编码; 增强WEB应用抵御黑客入侵的强度; 增强业务连续性; |
WEB应用安全培训 | 安全开发培训; 安全维护培训; |
培养开发人员安全编码意识、安全编码能力; 增强维护人员专业安全知识; |
现场应急响应
|
对受攻击WEB应用进行入侵分析、应急修复; | 及时解决安全事件,化解安全危机; 将安全事件影响的损失降到最低; |
安全巡检 | 对应用系统进行安全巡检,并在巡检结束后2个工作日内提交巡检报告; | 定期掌握应用系统存在的安全隐患; 及时落实修补措施; |
服务投诉 | 微信公众平台 | 站长工具 | IT外包服务 | IT外包 |深圳IT外包 | IT服务外包 | 北京IT外包 | 杭州IT外包 | 天津IT外包 | IT外包公司 | 无线覆盖 | 虚拟化 | 北京无线覆盖 | 信诺IT外包 | 北京信诚IT保姆
Copyright © 2005~2023 Grandtec All Right Reserved .备案号:粤ICP备09111491号
常年法律顾问:香港马杰律师行 深圳灵泉律师事务所