引言:
隨著互聯(lián)網(wǎng)的逐漸普及,應用層安全問題正逐漸的顯露出來。越來越多的政府等重要網(wǎng)站或WEB辦公系統(tǒng)被滲透,在通過瀏覽器方式實現(xiàn)展現(xiàn)與交互的同時,用戶的業(yè)務系統(tǒng)所受到的威脅也隨之而來,并且隨著業(yè)務系統(tǒng)的復雜化及互聯(lián)網(wǎng)環(huán)境的變化,所受威脅也在飛速增長。而網(wǎng)絡管理人員卻對此無能為力,因為傳統(tǒng)的WEB應用防火墻和入侵檢測系統(tǒng)等安全產(chǎn)品并不能發(fā)現(xiàn)并阻止來自于應用層的入侵攻擊。網(wǎng)站應用的安全性事先必須進行有效測試和評估,這樣才能避免在日益增長的應用層攻擊事件中遭受損失。
江湖危機:WEB安全受到的挑戰(zhàn)
最權威的RSA大會研究顯示,Web應用安全已超過所有以前網(wǎng)絡層安全,逐漸成為最嚴重、最廣泛、危害性最大的安全問題。
WEB安全的挑戰(zhàn)主要來自以下幾個方面:
·XSS跨站攻擊
·SQL 注入
·網(wǎng)絡釣魚
·惡意代碼
·偽造ARP報文
·RootKit隱身技術
·等等
黑客出擊:攻擊由網(wǎng)絡層轉向應用層
隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展,許多政府和企業(yè)的關鍵業(yè)務活動越來越多地依賴于WEB應用,在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時,企業(yè)所面臨的風險在不斷增加。主要表現(xiàn)在兩個層面:一是隨著Web應用程序的增多,這些Web應用程序所帶來的安全漏洞越來越多;二是隨著互聯(lián)網(wǎng)技術的發(fā)展,被用來進行攻擊的黑客工具越來越多、黑客活動越來越猖獗,組織性和經(jīng)濟利益驅動非常明顯。
然而與之形成鮮明對比的卻是:現(xiàn)階段的安全解決方案無一例外的把重點放在網(wǎng)絡安全層面,致使面臨應用層攻擊(如:針對WEB應用的SQL注入攻擊、跨站腳本攻擊等)發(fā)生時,傳統(tǒng)的網(wǎng)絡WEB應用防火墻、IDS/IPS等安全產(chǎn)品對網(wǎng)站攻擊幾乎不起作用,許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑。
據(jù)統(tǒng)計75%的網(wǎng)絡攻擊和互聯(lián)網(wǎng)安全侵害源于應用軟件,網(wǎng)頁上的漏洞的根源還是來自程序開發(fā)者對網(wǎng)頁程序編制和檢測。未經(jīng)過安全訓練的程序員缺乏相關的網(wǎng)頁安全知識;應用部門缺乏良好的編程規(guī)范和代碼檢測機制等等。解決此類問題必須在WEB應用軟件開發(fā)程序上整治,僅僅靠打補丁和安裝WEB應用防火墻是遠遠不夠的。
安恒信息高手點析:面向應用層新型攻擊特點簡析
·隱蔽性強:利用Web漏洞發(fā)起對WEB應用的攻擊紛繁復雜,包括SQL注入,跨站腳本攻擊等等,一個共同特點是隱蔽性強,不易發(fā)覺。
·攻擊時間短:可在短短幾秒到幾分鐘內(nèi)完成一次數(shù)據(jù)竊取、一次木馬種植、完成對整個數(shù)據(jù)庫或Web服務器的控制,以至于非常困難做出人為反應。
·危害性大:目前幾乎所有銀行,證券,電信,移動,政府以及電子商務企業(yè)都提供在線交易,查詢和交互服務。用戶的機密信息包括賬戶,個人私密信息(如身份證),交易信息等等,都是通過Web存儲于后臺數(shù)據(jù)庫中,這樣,在線服務器一旦癱瘓,或雖在正常運行,但后臺數(shù)據(jù)已被篡改或者竊取, 都將造成企業(yè)或個人巨大的損失。據(jù)權威部門統(tǒng)計,目前身份失竊(identity theft)已成為全球最嚴重的問題之一。
·造成非常嚴重的有形和無形損失:目前,很多大型企業(yè)都是在國內(nèi)外上市的企業(yè),一旦發(fā)生這類安全事件,必將造成人心惶惶,名譽掃地,以致于造成經(jīng)濟和聲譽上的巨大損失,即便不上市,其影響和損失也是不可估量的。
江湖告急:現(xiàn)有的網(wǎng)絡層防護產(chǎn)品面對應用層攻擊束手無策
傳統(tǒng)的WEB應用防火墻或IDS產(chǎn)品存在以下不足:
·WEB應用防火墻:通過端口限制實現(xiàn)訪問控制,但對于WEB應用而言,其HTTP/HTTPS端口是開放的。因此,WEB應用防火墻無法檢測到WEB應用攻擊的發(fā)生,更談不上阻止攻擊。
·IDS:依靠特征庫檢測已知攻擊,而對于WEB應用攻擊,變形非常多(比如:SQL注入、跨站腳本、惡意文件包含等),IDS無法窮盡所有的特征,當然,更加不可能預知未來的變形。
Web應用安全現(xiàn)狀分析
·網(wǎng)站及在線Web應用(B/S)的重要性
據(jù)CNCERT/CC(國家互聯(lián)網(wǎng)應急中心)發(fā)布的網(wǎng)絡安全工作報告顯示,我國網(wǎng)站的安全問題十分嚴峻,大量網(wǎng)站被黑客入侵和篡改,甚至被植入木馬攻擊程序,成為黑客的得力工具。利用網(wǎng)站操作系統(tǒng)的漏洞和WEB服務程序的SQL注入漏洞等,黑客能夠得到Web服務器的控制權限,輕則篡改網(wǎng)頁內(nèi)容,重則竊取重要內(nèi)部數(shù)據(jù),更為嚴重的則是在網(wǎng)頁中植入惡意代碼(俗稱“網(wǎng)頁掛馬”),使得更多網(wǎng)站訪問者受到侵害。網(wǎng)頁掛馬是黑客最喜歡的木馬散播方式。
很多用戶的網(wǎng)站或基于Web的在線應用系統(tǒng)(B/S架構)承擔著“對外交流、公開信息、網(wǎng)上辦事、在線業(yè)務”等重要職能,是服務于和諧社會的窗口。如此重要的網(wǎng)站和系統(tǒng),一旦受到黑客攻擊,不僅影響用戶的正常工作,降低網(wǎng)站的公信力,嚴重的情況下會導致重要信息的泄密,危及其形象。
常見WEB應用攻擊影響分析
·網(wǎng)頁木馬:直接控制網(wǎng)站主機或者借此攻擊訪問者客戶端
·SQL注入漏洞:數(shù)據(jù)庫信息竊取、篡改、刪除
·Cookie注入:數(shù)據(jù)庫信息竊取、篡改、刪除,控制服務器
·跨站腳本漏洞:用戶證書、網(wǎng)站信息、用戶信息被盜
·緩沖區(qū)溢出:攻陷和控制服務器
·表單繞過漏洞:攻擊者訪問禁止訪問的目錄
·文件上傳漏洞:主頁篡改、數(shù)據(jù)損壞和傳播木馬
·文件包含:服務器信息竊取、攻陷和控制服務器
安恒信息專家提出,如果存在上述安全隱患,若不及時修復有可能導致網(wǎng)站頁面被篡改、網(wǎng)頁木馬傳播、后臺數(shù)據(jù)庫信息被篡改或盜竊,嚴重影響用戶的正常業(yè)務運營,有損其形象。
因此安恒信息逐漸具有向用戶提供有個性化、立體化安全方案的能力,為企業(yè)證多元化的網(wǎng)絡安全檢測防護:
網(wǎng)絡安全檢測技術主要包括實時安全監(jiān)控技術和安全掃描技術。實時安全監(jiān)控技術通過硬件或軟件實時檢查網(wǎng)絡數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫的數(shù)據(jù)相比較,一旦發(fā)現(xiàn)有被攻擊的跡象,立即根據(jù)用戶所定義的動作做出反應。這些動作可以是切斷網(wǎng)絡連接,也可以是通知WEB應用防火墻系統(tǒng)調整訪問控制策略,將入侵的數(shù)據(jù)包過濾掉。安全掃描技術(包括網(wǎng)絡遠程安全掃描、WEB應用防火墻系統(tǒng)掃描、Web網(wǎng)站掃描和系統(tǒng)安全掃描等技術)可以對Web站點、主機操作系統(tǒng)以及WEB應用防火墻系統(tǒng)的安全漏洞進行掃描,及時發(fā)現(xiàn)漏洞并予以修復,從而降低系統(tǒng)的安全風險。
網(wǎng)絡安全檢測技術基于自適應安全管理模式。該管理模式認為:任何一個網(wǎng)絡都不可能安全防范其潛在的安全風險。它有兩個特點:一是動態(tài)性和自適應性,這可通過網(wǎng)絡安全掃描軟件的升級及網(wǎng)絡安全監(jiān)控中的入侵特征庫的更新來實現(xiàn);二是應用層次的廣泛性,可用于操作系統(tǒng)、網(wǎng)絡層和應用層等各個層次網(wǎng)絡安全漏洞的檢測。
很多早期的網(wǎng)絡安全掃描軟件是針對遠程網(wǎng)絡安全掃描。這些掃描軟件能檢測并分析遠程主機的安全漏洞。事實上,由于這些軟件能夠遠程檢測安全漏洞。因而也恰是網(wǎng)絡攻擊者進行攻擊的有效工具。網(wǎng)絡攻擊者利用這些掃描軟件對目標主機進行掃描,檢測可以利用的安全性弱點,通過一次掃描得到的信息將是進一步攻擊的基礎。這也說明安全檢測技術對于實現(xiàn)網(wǎng)絡安全的重要性。網(wǎng)絡管理員可以利用掃描軟件,及時發(fā)現(xiàn)網(wǎng)絡漏洞并在網(wǎng)絡攻擊者掃描和利用之前予以修補,從而提高網(wǎng)絡的安全性。
利用網(wǎng)絡安全檢測技術可以實現(xiàn)網(wǎng)絡安全檢測和實時攻擊識別,但它只能作為網(wǎng)絡安全的一個重要的安全組件,還應該結合WEB應用防火墻組成一個完整的網(wǎng)絡安全解決方案。
京公網(wǎng)安備 11010502049343號