隨著信息化建設的不斷深入,Web技術的日益成熟,Web應用平臺已經(jīng)在電子政務、電子商務等領域得到廣泛的應用,以協(xié)同工作環(huán)境、社會性網(wǎng)絡服務以及托管應用程序為代表的Web技術,將在很大程度上改變人們溝通交流的方式和工作方式。但這些新的技術在給商業(yè)活動的發(fā)展帶來便利的同時,也帶來了前所未有的巨大安全風險。
過去,網(wǎng)站的內容大多是靜態(tài)的。網(wǎng)站管理員對合法網(wǎng)站上的內容進行管理,能夠分辨出“可信”站點和“不可信”站點。但如今,Web 內容逐漸趨于動態(tài)化,最終用戶持續(xù)不斷的更新現(xiàn)有內容、共享應用程序,并通過多種渠道進行即時通訊。即使采用最佳的策略制定方法,某些不良內容或惡意軟件也會隨時彈出(甚至在可信站點也是如此),使公司的重要信息和網(wǎng)絡暴露于極為危險的環(huán)境之下。
根據(jù) Gartner 的調查,信息安全攻擊有 75% 都是發(fā)生在 Web 應用層而非網(wǎng)絡層面上。同時,數(shù)據(jù)也顯示,2/3的Web站點都相當脆弱,易受攻擊。可以說,絕大多數(shù)企業(yè)將大量的投資花費在網(wǎng)絡和服務器的安全上,沒有從真正意義上保證 Web 業(yè)務本身的安全,才給了黑客可乘之機。
根據(jù)世界知名的Web安全研究組織OWASP提供的報告,目前對Web業(yè)務系統(tǒng)威脅最嚴重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。
注入漏洞攻擊。特別是SQL注入漏洞,主要是利用目標網(wǎng)站程序未對用戶輸入的字符進行特殊字符過濾或合法性校驗,可直接執(zhí)行數(shù)據(jù)庫語句,導致網(wǎng)站存在安全風險通過驗證用戶輸入使用的是消極或積極的安全策略,有效檢測并攔截注入攻擊。
跨站腳本漏洞攻擊,是指目標網(wǎng)站對用戶提交的變量代碼未進行有效的過濾或轉換,允許攻擊者插入惡意Web代碼(通常是一些經(jīng)過構造的javascript語句),劫持用戶會話、篡改網(wǎng)頁信息甚至引入蠕蟲病毒等通過驗證用戶輸入使用的是消極或積極的安全策略,有效檢測并攔截跨站點腳本( XSS )攻擊。
從以往發(fā)生的安全事件來看,Web攻擊可導致的后果極為嚴重,通過上述手段將一個合法正常網(wǎng)站攻陷,利用獲取到的相應權限在網(wǎng)頁中嵌入惡意代碼,將惡意程序下載到存在客戶端漏洞的主機上,從而實現(xiàn)攻擊目的。如:盜取各類用戶賬號,如機器登錄賬號、用戶網(wǎng)銀賬號、各類管理員賬號。控制企業(yè)數(shù)據(jù),包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力。盜竊企業(yè)重要的具有商業(yè)價值的資料。非法轉賬。網(wǎng)站掛馬。控制受害者機器向其他網(wǎng)站發(fā)起攻擊……
鑒于上述對Web常見攻擊的分析,對Web及客戶端的保護已經(jīng)刻不容緩。聯(lián)想網(wǎng)御的安全專家給出幾點建議:
首先,解決Web服務器端安全問題。具體的解決辦法可采取源代碼審計與部署入侵防護系統(tǒng)相結合的方式,源代碼審計是經(jīng)過專業(yè)安全人員,對Web應用程序源代碼進行安全性檢查,對程序的輸入輸出函數(shù)進行安全測試,最大程度保障Web程序的自身代碼安全;并通過部署入侵防護系統(tǒng),針對跨站腳本、SQL注入、cookies注入、參數(shù)篡改等Web攻擊方式進行主動防護。
其次,解決Web瀏覽客戶端安全。主要是防范遠程惡意代碼執(zhí)行漏洞,其原理是通過構造精心設計的格式錯誤數(shù)據(jù),由攻擊者觸發(fā)系統(tǒng)漏洞,并在客戶端軟件中更改代碼執(zhí)行路徑,來執(zhí)行由攻擊者隨格式錯誤數(shù)據(jù)附帶惡意代碼或程序的利用過程。如果客戶端瀏覽器中存在未修補的惡意代碼執(zhí)行漏洞或0day漏洞,當訪問受惡意代碼感染的站點時,該站點會自動在登錄用戶的瀏覽器中運行攻擊者的惡意代碼,并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序,如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統(tǒng)后臺漏洞執(zhí)行,所有這一切根本無需任何用戶交互操作。所以應盡量使用已采用常規(guī)堆棧保護措施版本的Web瀏覽器,來防止基于堆棧和基于堆的緩沖區(qū)溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經(jīng)提供基于數(shù)據(jù)執(zhí)行保護( DEP )或不執(zhí)行( NX)的內存保護措施,Internet Explorer 8平臺在Internet控制面板選項開啟“啟用內存保護幫助減少聯(lián)機攻擊”的選項就可以有效防止遠程代碼攻擊;另外建議部署統(tǒng)一的內網(wǎng)管理系統(tǒng),統(tǒng)一對關鍵應用程序和系統(tǒng)補丁進行時時監(jiān)控和統(tǒng)一升級,保證客戶端和內網(wǎng)安全。
再次,是解決對木馬、病毒的防治。建議安裝終端防病毒、防火墻軟件并保持時時更新,開啟入侵防護系統(tǒng)病毒木馬防護策略,建立統(tǒng)一病毒防護體系,如在網(wǎng)絡邊界部署網(wǎng)絡防毒墻,對關鍵服務器和客戶端進行重點防護,并對其網(wǎng)絡連接進行入侵檢測監(jiān)控,保證安全風險在一個可控的范圍內。
聯(lián)想網(wǎng)御針對當前Web安全形勢,提出了一系列的安全解決方案。從多角度角度、全方位的安全評估和現(xiàn)狀分析,了解系統(tǒng)面臨的風險狀況,通過安全評估、安全修復和部署相應產(chǎn)品相結合的方式,構建了最大程度保護Web系統(tǒng)應用安全的保障體系。毋庸置疑的是,信息安全是一個循序漸進的防御過程,需要的是全面而完善的體系建設。
京公網(wǎng)安備 11010502049343號