由于WEB應(yīng)用程序?qū)τ诋?dāng)今許多企業(yè)的內(nèi)部和外部操作都極端重要,所以其可用性和安全性既是客戶(hù)的期望又是其要求。因而,企業(yè)應(yīng)該在WEB應(yīng)用程序 問(wèn)題上不惜一切代價(jià)。同時(shí),WEB應(yīng)用程序的重要性也給安全專(zhuān)家?guī)?lái)巨大壓力,因?yàn)闆](méi)有什么會(huì)比企業(yè)的關(guān)鍵網(wǎng)站或應(yīng)用被攻擊、破壞更恐怖了。不幸的是,在 構(gòu)建應(yīng)用程序的競(jìng)賽中,許多企業(yè)給開(kāi)發(fā)者施加壓力,要求其重點(diǎn)關(guān)注應(yīng)用程序的安全。
本文將探討如何在WEB應(yīng)用程序的性能、可用性、安全性上達(dá)到平衡。
安全策略
在WEB應(yīng)用程序安全問(wèn)題上保持前瞻性和主動(dòng)性應(yīng)當(dāng)成為IT的頭等大事。如果WEB應(yīng)用程序遭受破壞,企業(yè)往往會(huì)遭受極大損失。對(duì)于大型企業(yè),丟失 的不僅僅是金錢(qián),更重要的是聲譽(yù)的喪失。重要WEB應(yīng)用程序經(jīng)常遭受攻擊會(huì)使客戶(hù)和公司的CEO不滿。不管是否可以避免攻擊,IT往往會(huì)遭受譴責(zé),雖然這未必公平。
在CIO和CFO們談到“安全”時(shí),他們往往會(huì)為高額費(fèi)用而震驚。但是,企業(yè)未必需要將大把的金錢(qián)用于強(qiáng)化WEB應(yīng)用程序。要贏得WEB安全的保衛(wèi)戰(zhàn),企業(yè)需要打“組合拳”:將相關(guān)解決安全問(wèn)題的最佳方法和工具結(jié)合起來(lái)。
你不必請(qǐng)一位資深的CISSP來(lái)加固你的WEB應(yīng)用程序,也不必花太多金錢(qián)。但成功地強(qiáng)化企業(yè)的WEB應(yīng)用確實(shí)需要花費(fèi)時(shí)間、努力和一些交涉技巧 (你對(duì)安全的擔(dān)憂和關(guān)注在項(xiàng)目經(jīng)理眼中也許就是在大驚小怪)。在固化企業(yè)的WEB應(yīng)用程序時(shí),你需要綜合利用過(guò)程、工具、優(yōu)化及最佳方法。一般說(shuō)來(lái),這些 策略就是關(guān)于網(wǎng)絡(luò)、與應(yīng)用程序和過(guò)程相關(guān)的性質(zhì)等。
WEB應(yīng)用的最佳方法應(yīng)從網(wǎng)絡(luò)層開(kāi)始,從WEB應(yīng)用程序的開(kāi)發(fā)到投入使用的整個(gè)過(guò)程中,都要將安全性作為頭等大事。
網(wǎng)絡(luò):將服務(wù)器隱藏在DMZ(隔離區(qū))
如果你是安全專(zhuān)家,可能會(huì)覺(jué)得此方法有點(diǎn)兒小兒科。但是,并非人人都是安全專(zhuān)家,而且即使最好的安全專(zhuān)家有時(shí)也會(huì)犯困。將WEB服務(wù)器放在DMZ 不會(huì)從技術(shù)上使WEB應(yīng)用或網(wǎng)站更安全,但是一旦WEB服務(wù)器被成功攻擊或破壞,該方法可以保護(hù)基礎(chǔ)架構(gòu)的其余部分免受攻擊。
如果企業(yè)網(wǎng)站或WEB應(yīng)用程序在自己的服務(wù)器上,那么,外圍防御每天都會(huì)遭受各種掃描。你無(wú)法阻止攻擊者探測(cè)外圍的開(kāi)放服務(wù),但你可以在攻擊者成功 損害了一臺(tái)WEB服務(wù)器后,使他難以造成更大的危害。將面向外部的WEB服務(wù)器放在DMZ中的要旨在于,將攻擊者限制在一個(gè)較小的范圍內(nèi),在一臺(tái)服務(wù)器被 攻克后,這樣做可以限制其危害。例如,如果你將所有進(jìn)入的連接都進(jìn)行地址轉(zhuǎn)換,使其到達(dá)內(nèi)部網(wǎng)絡(luò),那么黑客就可以成功地利用未打補(bǔ)丁的漏洞或使用SQL注 入實(shí)現(xiàn)特權(quán)提升,從而可以無(wú)限制地訪問(wèn)內(nèi)部網(wǎng)絡(luò)。
網(wǎng)絡(luò):重新審查防火墻規(guī)則
減少WEB應(yīng)用程序攻擊面的最簡(jiǎn)捷的方法之一就是保證丟棄所有進(jìn)入WEB服務(wù)器群端口的連接。如果你暴露了一個(gè)WEB應(yīng)用,就沒(méi)有理由在WEB服務(wù) 器上允許RDP,也沒(méi)有理由允許ICMP。暴露WEB服務(wù)器上的其它TCP/UDP服務(wù)可能需要測(cè)試或診斷,但除卻TCP的80端口或443端口,沒(méi)有理 由允許任何進(jìn)入的連接到達(dá)WEB服務(wù)器。安全管理專(zhuān)家應(yīng)經(jīng)常檢查防火墻的規(guī)則的異常情況,特別是如果企業(yè)有幾個(gè)人在管理防火墻,經(jīng)常審查就尤其重要了。
工具:保護(hù)前端
如果你要保護(hù)內(nèi)部的WEB應(yīng)用程序,一般并不需要WEB應(yīng)用程序防火墻。但是大型企業(yè)往往擁有面向外部世界的WEB應(yīng)用程序,如果這些程序出現(xiàn)問(wèn)題,企業(yè)將喪失大量金錢(qián),因而企業(yè)非常需要WEB應(yīng)用防火墻。
無(wú)疑,一個(gè)遵循謹(jǐn)慎原則而開(kāi)發(fā)的應(yīng)用程序不可能需要WEB應(yīng)用防火墻級(jí)的保護(hù)。但是,有時(shí)WEB的開(kāi)發(fā)者們不驗(yàn)證用戶(hù)提供的輸入,此時(shí)最大敵人恰好 是開(kāi)發(fā)者自己。而且,從編碼的觀點(diǎn)看,WEB開(kāi)發(fā)者也無(wú)法保護(hù)WEB應(yīng)用程序免受曠日持久的DoS攻擊;雖然我們應(yīng)當(dāng)責(zé)備開(kāi)發(fā)者因粗心大意而使網(wǎng)站遭受 SQL注入攻擊,但如果系統(tǒng)管理員沒(méi)有正確地強(qiáng)化WEB服務(wù)器,也沒(méi)有及時(shí)打補(bǔ)丁,是不是也應(yīng)承擔(dān)責(zé)任呢?在出現(xiàn)問(wèn)題時(shí),再去探究漏洞是否是人為錯(cuò)誤造成 的就沒(méi)有太大意義了。關(guān)鍵的問(wèn)題是,WEB應(yīng)用防火墻對(duì)于保護(hù)WEB應(yīng)用程序免于遭受各種攻擊和漏洞利用可謂意義重大,最根本的問(wèn)題是防止漏洞被利用。企 業(yè)需要判定不部署WEB應(yīng)用防火墻的風(fēng)險(xiǎn)是否超過(guò)其益處。
應(yīng)用程序:強(qiáng)化WEB服務(wù)器
脆弱的WEB應(yīng)用程序會(huì)將企業(yè)暴露在不必要的風(fēng)險(xiǎn)中。將WEB服務(wù)器部署在Linux而非Windows上未必會(huì)更安全。配置錯(cuò)誤的Apache部署與配置錯(cuò)誤的IIS一樣脆弱。同樣的理論也適用于底層的操作系統(tǒng)。
事實(shí)上,如果你僅僅固化WEB服務(wù)器自身卻沒(méi)有強(qiáng)化底層的操作系統(tǒng),那么你就不可能覆蓋攻擊WEB應(yīng)用程序的所有漏洞。正如企業(yè)應(yīng)當(dāng)過(guò)濾防火墻上所有不必要的協(xié)議一樣,移除那些對(duì)于WEB應(yīng)用程序非必需的系統(tǒng)服務(wù)也非常重要。
例如,Windows Server 2008的默認(rèn)部署包含50個(gè)正在運(yùn)行的服務(wù),而Windows Server Core的默認(rèn)部署僅包含36個(gè)服務(wù)。雖然IIS會(huì)增加少量服務(wù),但是借助用于部署WEB服務(wù)器的方法來(lái)進(jìn)行簡(jiǎn)單優(yōu)化,就可以極大地減少WEB應(yīng)用程序的 攻擊面。當(dāng)然,在Linux中,禁用一些不必要的正在運(yùn)行的進(jìn)程從而強(qiáng)化底層操作系統(tǒng),也可以達(dá)到同樣的優(yōu)化目的。花時(shí)間從服務(wù)器中清除不必要的服務(wù)是改 善WEB應(yīng)用程序安全狀況的最簡(jiǎn)捷步驟。
工具:經(jīng)常使用漏洞掃描器
不管企業(yè)的變更控制過(guò)程如何嚴(yán)格,業(yè)務(wù)的自然過(guò)程(無(wú)論是否受到控制)都會(huì)產(chǎn)生新漏洞。這些漏洞有可能是防火墻變化的結(jié)果,也可能是更新WEB應(yīng)用程序或底層操作系統(tǒng)、新發(fā)現(xiàn)的零日漏洞、錯(cuò)誤配置的結(jié)果。
新發(fā)現(xiàn)漏洞的原因并不重要,因?yàn)樽钪匾膯?wèn)題是能夠發(fā)現(xiàn)并解決安全問(wèn)題。不幸的是,你不能依靠某個(gè)安全專(zhuān)家甚至不能依靠某個(gè)安全團(tuán)隊(duì),去發(fā)現(xiàn)WEB 應(yīng)用程序環(huán)境中的漏洞。在一個(gè)WEB應(yīng)用程序投入使用時(shí),發(fā)現(xiàn)新漏洞的責(zé)任最好交給可以主動(dòng)發(fā)現(xiàn)安全問(wèn)題并在問(wèn)題發(fā)時(shí)生發(fā)出警告的自動(dòng)化工具。
沒(méi)有什么可以替代一個(gè)健全的漏洞掃描器,我們也沒(méi)有理由不去使用這種工具,因?yàn)檫@種掃描器便宜且易于部署。
應(yīng)用程序:清楚應(yīng)用程序的默認(rèn)配置和安全環(huán)境
從網(wǎng)絡(luò)和操作系統(tǒng)的觀點(diǎn)看,許多問(wèn)題都會(huì)把WEB服務(wù)器置于風(fēng)險(xiǎn)中。但管理員做的最糟糕的事情之一就是部署了IIS等產(chǎn)品后,就覺(jué)得“完活”了。保 障IIS的安全本身就身就是一項(xiàng)艱巨的任務(wù),不過(guò),為使WEB 應(yīng)用程序成為一個(gè)難以攻克的目標(biāo),你不必成為一個(gè)IIS權(quán)威。你只需要理解哪個(gè)WEB應(yīng)用程序服務(wù)器的默認(rèn)配置會(huì)增加風(fēng)險(xiǎn),以及如何快速解決這些問(wèn)題就可 以了。
攻擊者非常熟悉IIS,所以他們知道默認(rèn)的IIS站點(diǎn)是放在c:inetpubwwwroot目錄下。在IIS中,WEB應(yīng)用程序運(yùn)行在用以隔 離應(yīng)用程序從而實(shí)現(xiàn)更好安全的應(yīng)用程序池中。不過(guò),狡猾的攻擊者知道默認(rèn)的應(yīng)用程序運(yùn)行在網(wǎng)絡(luò)服務(wù)(Network Service)賬戶(hù)下。網(wǎng)絡(luò)服務(wù)(Network Service)賬戶(hù)擁有的權(quán)利超過(guò)了用戶(hù)給予應(yīng)用程序池的權(quán)利。所以,禁用默認(rèn)配置并創(chuàng)建一個(gè)由新賬戶(hù)保障其安全的新應(yīng)用程序池是最簡(jiǎn)單有效的安全建 議。攻擊者還知道,默認(rèn)情況下,應(yīng)用程序池運(yùn)行在iUSR_Host_Name賬戶(hù)下。如果攻擊者可以發(fā)現(xiàn)WEB服務(wù)器的主機(jī)名,就可以知道答案并關(guān)閉 iUSR賬戶(hù),并通過(guò)發(fā)送假冒的認(rèn)證請(qǐng)求而攻克WEB服務(wù)器。
為保障IIS服務(wù)器的安全,管理員應(yīng)當(dāng)做的事情有很多,但是保留WEB服務(wù)器的默認(rèn)設(shè)置是一個(gè)很容易避免的安全問(wèn)題。
過(guò)程:參加設(shè)計(jì)會(huì)議
技術(shù)不可能完全解決安全方面的每一個(gè)問(wèn)題,因?yàn)槲覀冞€需要其它方面的工作。
有些開(kāi)發(fā)者可能會(huì)認(rèn)為,在開(kāi)發(fā)應(yīng)用程序時(shí),安全并非頭等大事。這并不是說(shuō)開(kāi)發(fā)者不關(guān)心安全問(wèn)題,但緊迫時(shí)間表和資源可能會(huì)阻止開(kāi)發(fā)者重視安全問(wèn)題。另外,有的開(kāi)發(fā)者還可能缺乏安全編程所需要的知識(shí)。
例如,安全專(zhuān)家都知道當(dāng)開(kāi)發(fā)者在WEB應(yīng)用程序中使用動(dòng)態(tài)查詢(xún)卻沒(méi)有對(duì)用戶(hù)提供的輸入信息進(jìn)行凈化時(shí),就有可能面臨SQL注入風(fēng)險(xiǎn)。如果安全專(zhuān)家在 在WEB應(yīng)用程序的設(shè)計(jì)會(huì)議上詢(xún)問(wèn)一下,就會(huì)發(fā)現(xiàn)幾乎所有的開(kāi)發(fā)人員因?yàn)閳?zhí)行速度問(wèn)題而偏愛(ài)動(dòng)態(tài)查詢(xún)。但通過(guò)使用存儲(chǔ)過(guò)程或參數(shù)化查詢(xún),開(kāi)發(fā)者就可以防止 攻擊者歪曲查詢(xún)結(jié)果。如果你無(wú)法提出建議,你就不可能影響關(guān)鍵的設(shè)計(jì)決策,無(wú)法對(duì)最終的產(chǎn)品的安全性產(chǎn)生重要影響。
在設(shè)計(jì)階段安全專(zhuān)家應(yīng)當(dāng)解決的另一個(gè)問(wèn)題是,將要增加到WEB應(yīng)用程序上去的數(shù)據(jù)驗(yàn)證方法。不正確地驗(yàn)證數(shù)據(jù)就會(huì)給SQL注入和跨站腳本攻擊敞開(kāi)大 門(mén)。WEB應(yīng)用程序不應(yīng)當(dāng)允許用戶(hù)在一個(gè)字段中輸入指向惡意腳本的URL。同樣地,WEB應(yīng)用程序也不應(yīng)當(dāng)允許用戶(hù)在一個(gè)本該輸入電話號(hào)碼的字段中輸入 SQL命令。
多數(shù)開(kāi)發(fā)者知道,在涉及到數(shù)據(jù)驗(yàn)證問(wèn)題時(shí),首要的規(guī)則就是絕對(duì)不相信用戶(hù)提供的輸入。但是,數(shù)據(jù)驗(yàn)證并不是安全專(zhuān)家在WEB應(yīng)用程序的設(shè)計(jì)會(huì)議期間 應(yīng)當(dāng)提出的唯一的問(wèn)題,“數(shù)據(jù)消毒”問(wèn)題也必須解決。例如,在多數(shù)情況下,用戶(hù)不應(yīng)當(dāng)能夠在一個(gè)字段中輸入由HTML標(biāo)記封裝起來(lái)的數(shù)據(jù)。在一個(gè)期望捕獲 基本的用戶(hù)信息的WEB表單中,在將一個(gè)字符串的值寫(xiě)到數(shù)據(jù)庫(kù)中時(shí),我們有什么合理的理由可以存儲(chǔ)HTML標(biāo)記嗎?
這里你就需要做出判斷了:如果此時(shí)談?wù)摰腤EB應(yīng)用程序的某些字段要求使用HTML標(biāo)記來(lái)構(gòu)建更好看的清單,那么由于業(yè)務(wù)需要,你就需要在某些實(shí)例 中處理HTML。但這類(lèi)WEB應(yīng)用程序也會(huì)強(qiáng)化安全策略,禁止使用可能有破壞性的HTML。所以,在設(shè)計(jì)階段,這類(lèi)WEB應(yīng)用程序可以提供一個(gè)很好的范 例,它會(huì)啟發(fā)安全專(zhuān)家或具有安全意識(shí)的開(kāi)發(fā)者對(duì)最終的WEB應(yīng)用程序產(chǎn)品發(fā)揮重大影響。
處理:安全團(tuán)隊(duì)和質(zhì)量保證團(tuán)隊(duì)?wèi)?yīng)當(dāng)緊密團(tuán)結(jié)
在有些情況下,在一個(gè)新WEB應(yīng)用程序的開(kāi)發(fā)期間安排安全專(zhuān)家留在開(kāi)發(fā)小組中也許不太可能或無(wú)法令人接受。但對(duì)于管理良好的開(kāi)發(fā)項(xiàng)目來(lái)說(shuō),你一定要確保質(zhì)量保證專(zhuān)員留在開(kāi)發(fā)者的房間內(nèi)。
在理想情況下,在涉及新WEB應(yīng)用程序的測(cè)試過(guò)程中,安全和質(zhì)量保證團(tuán)隊(duì)?wèi)?yīng)當(dāng)緊密團(tuán)結(jié)。其原因很簡(jiǎn)單:質(zhì)量保證團(tuán)隊(duì)的專(zhuān)家通常幾乎沒(méi)有應(yīng)用程序的安全概念背景。所以,在與一個(gè)不使用相關(guān)安全最佳方法的開(kāi)發(fā)團(tuán)隊(duì)進(jìn)行合作時(shí),最可能的產(chǎn)品有可能是一個(gè)漏洞百出的應(yīng)用程序。
改變這種產(chǎn)品的最好而且是唯一的機(jī)會(huì)是,在發(fā)布新WEB應(yīng)用程序的公共測(cè)試版本時(shí),使安全團(tuán)隊(duì)或至少一個(gè)安全專(zhuān)家與質(zhì)量保證團(tuán)隊(duì)在一起。如果你工作在一個(gè)中小型企業(yè),開(kāi)發(fā)團(tuán)隊(duì)還有可能就是質(zhì)量保證團(tuán)隊(duì),或企業(yè)將應(yīng)用程序的開(kāi)發(fā)外包出去。
無(wú)論怎樣,安全專(zhuān)家必須能夠闡述明白:具體的SQL注入攻擊、XSS攻擊或LFI/RFI攻擊如何實(shí)現(xiàn)。這將會(huì)給開(kāi)發(fā)過(guò)程帶來(lái)巨大價(jià)值。
最終目標(biāo)是部署一個(gè)穩(wěn)定而安全的WEB應(yīng)用程序。所以,從安全的觀點(diǎn)看,安全專(zhuān)家們的思考和行動(dòng)能夠像質(zhì)量保證團(tuán)隊(duì)一樣是非常重要的。這可能意味著 主動(dòng)提供質(zhì)量保證服務(wù)或關(guān)注發(fā)布版本日期,關(guān)注何時(shí)準(zhǔn)備部署現(xiàn)有的產(chǎn)品更新(因?yàn)樾掳姹拘枰M(jìn)行測(cè)試)。雖然你作為一名安全專(zhuān)家出現(xiàn)在開(kāi)發(fā)團(tuán)隊(duì)有時(shí)不太受 歡迎,但日后你可能因幫助開(kāi)發(fā)了一個(gè)更穩(wěn)健和安全的WEB應(yīng)用程序而得到感謝。而且,在此過(guò)程中,如果你能夠教育WEB開(kāi)發(fā)者黑客如何利用WEB應(yīng)用程序 的漏洞,就自然有助于確保未來(lái)的軟件會(huì)包含使WEB應(yīng)用程序更強(qiáng)健更安全的特性。
總體而說(shuō),WEB應(yīng)用程序的安全并不是一個(gè)那么難的目標(biāo)。雖然許多安全項(xiàng)目的成功存在于安全專(zhuān)家的手中,實(shí)現(xiàn)強(qiáng)健的WEB應(yīng)用程序的安全要求企業(yè)各方的協(xié)同努力。
WEB應(yīng)用程序的安全更應(yīng)當(dāng)是一個(gè)過(guò)程驅(qū)動(dòng)的而不是技術(shù)驅(qū)動(dòng)的問(wèn)題,而且必須一直如此。我們不能用一個(gè)防火墻和反病毒軟件來(lái)保障WEB應(yīng)用程序的安 全后就覺(jué)得萬(wàn)事大吉了。正如歷經(jīng)開(kāi)發(fā)生命周期的其它任何軟件一樣,我們應(yīng)當(dāng)用一種可預(yù)測(cè)的和結(jié)構(gòu)化的方法來(lái)實(shí)現(xiàn)保障WEB應(yīng)用程序的過(guò)程。有時(shí),保障 WEB應(yīng)用程序安全需要耗費(fèi)很多時(shí)間和努力,但在與不付出這些時(shí)間和努力所造成的巨額代價(jià)相比,這是完全值得的。
京公網(wǎng)安備 11010502049343號(hào)