文章內(nèi)容

Web網(wǎng)站腳本安全之攻防戰(zhàn)爭(zhēng)

發(fā)布時(shí)間: 2012/7/4 14:40:43

當(dāng)前，來(lái)自Web的各種攻擊已經(jīng)成為全球安全領(lǐng)域最大的挑戰(zhàn)，并且有愈演愈烈之勢(shì)。目前的難點(diǎn)在于，很多Web威脅的思路已經(jīng)有別于傳統(tǒng)，隱蔽、牟利、產(chǎn)業(yè)化已經(jīng)成為了此類(lèi)威脅的特點(diǎn)。對(duì)廣大企業(yè)用戶來(lái)講，Web威脅令人無(wú)法忽視，而相關(guān)防御技術(shù)的應(yīng)用與保護(hù)也同樣充滿挑戰(zhàn)。
　　
　　Web服務(wù)的隱憂
　　
　　所謂Web服務(wù)，是指由企業(yè)發(fā)布的完成其特別商務(wù)需求的在線應(yīng)用服務(wù)，其他公司或應(yīng)用軟件能夠通過(guò)Internet來(lái)訪問(wèn)并使用這項(xiàng)應(yīng)用服務(wù)。Web服務(wù)采用基本的Internet協(xié)議，“松散地連接”網(wǎng)絡(luò)上的服務(wù)節(jié)點(diǎn)，并將“服務(wù)過(guò)程”定義在Web應(yīng)用程序中，利用標(biāo)準(zhǔn)的存取協(xié)議（XML）為客戶端節(jié)點(diǎn)提供服務(wù)。
　　
　　Web服務(wù)主要解決基于分布在網(wǎng)絡(luò)上不同服務(wù)器或終端之間的業(yè)務(wù)集成，面對(duì)海量的外部信息資源和應(yīng)用資源提供一種中間的服務(wù)，使得所有用戶可以得到方便的信息共享和應(yīng)用共享。Web服務(wù)平臺(tái)已經(jīng)在電子商務(wù)、企業(yè)信息化中得到廣泛的應(yīng)用，很多企業(yè)都將應(yīng)用架設(shè)在Web平臺(tái)上，并不斷完善和提高其功能和性能，為客戶提供更為方便、快捷的服務(wù)支持。
　　
　　啟明星辰總工程師萬(wàn)卿在接受本報(bào)獨(dú)家采訪時(shí)透露，當(dāng)前Web服務(wù)的迅速發(fā)展引起了黑客們的強(qiáng)烈關(guān)注，他們已將注意力從以往對(duì)傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對(duì) Web服務(wù)的攻擊上。但是，很多企業(yè)對(duì)此并沒(méi)有做好足夠的準(zhǔn)備，也沒(méi)有給予足夠的重視。
　　
　　根據(jù) Gartner 的調(diào)查，信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，2/3的 Web 站點(diǎn)都相當(dāng)脆弱，易受攻擊。可以說(shuō)，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，忽略了保證 Web服務(wù)本身的安全，才給了黑客可乘之機(jī)。
　　
　　而趨勢(shì)科技2008年一季度病毒報(bào)告顯示，今年一季度Web威脅感染數(shù)量增長(zhǎng)了1.5倍，可以預(yù)見(jiàn)，今年又將是Web威脅大肆爆發(fā)的一年。 Web威脅所具備的滲透性和利益驅(qū)動(dòng)性，已經(jīng)成為當(dāng)前網(wǎng)絡(luò)中增長(zhǎng)最快的風(fēng)險(xiǎn)因素。網(wǎng)絡(luò)罪犯已經(jīng)逐漸將Web作為從事惡意活動(dòng)的新途徑，Web安全威脅已經(jīng)成為對(duì)企業(yè)來(lái)說(shuō)最為猛烈的攻擊之一。
　　
　　不難看出，所有從Web服務(wù)引起和針對(duì)于Web服務(wù)的各種惡意活動(dòng)構(gòu)成了Web安全威脅。據(jù)深信服高級(jí)產(chǎn)品經(jīng)理邱德文介紹，Web威脅的主要形式包括兩種：一種是從Web服務(wù)器發(fā)起，針對(duì)于廣大互聯(lián)網(wǎng)用戶的Web威脅；另外一種的攻擊對(duì)象就是Web服務(wù)，由在互聯(lián)網(wǎng)上活動(dòng)的黑客發(fā)起，針對(duì)于企業(yè)、政府的網(wǎng)站攻擊和破壞行為。
　　
　　浪潮信息安全技術(shù)總監(jiān)孫大軍表示，針對(duì)于廣大互聯(lián)網(wǎng)用戶而言，Web威脅的危害是很大的，破壞性也是比較強(qiáng)的，各種各樣的木馬、網(wǎng)絡(luò)釣魚(yú)、僵尸網(wǎng)絡(luò)對(duì)用戶正常使用互聯(lián)網(wǎng)的造成了非常大的影響。目前國(guó)內(nèi)的大型企業(yè)、政府部門(mén)已經(jīng)意識(shí)到了Web安全的重要性，從領(lǐng)導(dǎo)到員工也普遍比較重視。然而，廣大中小企業(yè)和個(gè)別網(wǎng)站還沒(méi)有意識(shí)到Web安全的重要性。
　　
　　Web威脅隨著互聯(lián)網(wǎng)應(yīng)用的發(fā)展而不斷地發(fā)展。特別是在網(wǎng)上辦公、網(wǎng)上銀行等多種互聯(lián)網(wǎng)應(yīng)用的開(kāi)展以后，惡意攻擊者們看到了有利可圖，導(dǎo)致各種Web攻擊方式層出不窮，形式也不斷翻新。
　　
　　對(duì)于不同規(guī)模的企業(yè)而言，威脅程度顯然是不同的，因?yàn)椴煌?guī)模的企業(yè)受到Web攻擊和受到的影響所產(chǎn)生的損失是不同的，這也是導(dǎo)致不同規(guī)模的企業(yè)對(duì)Web威脅重視程度不同的原因之一。
　　
　　防御的僵局
　　
　　目前企業(yè)用戶對(duì)于Web威脅的重視程度也越來(lái)越高，大部分企業(yè)都會(huì)選擇部署軟硬件安全產(chǎn)品，以抵御Web威脅。趨勢(shì)科技產(chǎn)品營(yíng)銷(xiāo)經(jīng)理徐學(xué)龍認(rèn)為，僅僅依靠單一安全產(chǎn)品已不能保證整個(gè)網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。應(yīng)對(duì)目前新型的Web威脅，利用架設(shè)在網(wǎng)關(guān)處的安全產(chǎn)品，在威脅進(jìn)入企業(yè)網(wǎng)絡(luò)之前就將其攔截在企業(yè)大門(mén)之外是更加有效的方法。在此基礎(chǔ)上，還需要將被動(dòng)防御轉(zhuǎn)化為快速響應(yīng)、主動(dòng)出擊的主動(dòng)式安全專(zhuān)家服務(wù)，才可以最快的速度幫助企業(yè)客戶有效管理安全事件并減少業(yè)務(wù)損失。
　　
　　根據(jù)IDC年初公布的報(bào)告，全球Web安全市場(chǎng)將會(huì)在2012年前達(dá)到65億美元的規(guī)模。事實(shí)上，這一市場(chǎng)容量已經(jīng)超過(guò)了UTM所預(yù)期的40億美元的規(guī)模。與此對(duì)應(yīng)的是，根據(jù)Gartner在第二季度公布的統(tǒng)計(jì)數(shù)字，全球Web安全產(chǎn)品的使用程度相當(dāng)?shù)�，僅有10%的企業(yè)部署了專(zhuān)門(mén)的Web安全網(wǎng)關(guān)。
　　
　　對(duì)此萬(wàn)卿的看法是，傳統(tǒng)上企業(yè)為了保障信息系統(tǒng)安全，通常會(huì)使用不同的技術(shù)，主要包括：訪問(wèn)控制技術(shù)、防病毒技術(shù)、加密技術(shù)等等。但是即便有防病毒保護(hù)、防火墻和VPN，企業(yè)仍然不得不允許一部分的通信經(jīng)過(guò)防火墻。畢竟 Web服務(wù)的目的是為用戶提供服務(wù)，保護(hù)措施可以關(guān)閉不必要暴露的端口，但是Web應(yīng)用必須的 80 和 443 端口是一定要開(kāi)放的�？梢皂樌ㄟ^(guò)的這部分通信，可能是善意的，也可能是惡意的，很難辨別。
　　
　　須要指出的是，Web應(yīng)用是由軟件構(gòu)成的，那么它一定會(huì)包含缺陷（Bug），這些Bug 就可以被惡意的用戶利用，他們通過(guò)執(zhí)行各種惡意的操作，或者偷竊、或者操控、或者破壞 Web 應(yīng)用數(shù)據(jù)、甚至利用Web系統(tǒng)作為攻擊跳板，破壞企業(yè)的整個(gè)信息系統(tǒng)。
　　
　　Web業(yè)務(wù)平臺(tái)的不安全性主要是由Web平臺(tái)的特點(diǎn)，即開(kāi)放性所致，企業(yè)需要利用Web業(yè)務(wù)平臺(tái)為用戶提供服務(wù)就必須接受這個(gè)特點(diǎn)。對(duì)此孫大軍的看法是，只要訪問(wèn)可以順利通過(guò)企業(yè)的防火墻，Web業(yè)務(wù)就可以毫無(wú)保留地呈現(xiàn)在用戶面前。因此，只有加強(qiáng)Web業(yè)務(wù)服務(wù)器自身的安全，才是真正的Web服務(wù)安全解決之道。
　　
　　另外，徐學(xué)龍表示，全球爆發(fā)大規(guī)模疫情的時(shí)代已經(jīng)宣告結(jié)束，今后 Web威脅的數(shù)量將持續(xù)成長(zhǎng)，并且越來(lái)越顯現(xiàn)出“逐利性”，以竊取企業(yè)、個(gè)人用戶的私密信息牟利為目的。新一代的Web威脅具備混合型、定向攻擊和區(qū)域性爆發(fā)等特點(diǎn)，員工對(duì)互聯(lián)網(wǎng)的依賴性使得公司網(wǎng)絡(luò)比以往更加容易受到攻擊。正因?yàn)槿绱�，普通的瀏覽網(wǎng)頁(yè)都變成了一件帶有極大安全風(fēng)險(xiǎn)的事情。Web威脅可以在用戶完全沒(méi)有察覺(jué)的情況下進(jìn)入網(wǎng)絡(luò)，從而對(duì)公司數(shù)據(jù)資產(chǎn)、行業(yè)信譽(yù)和關(guān)鍵業(yè)務(wù)構(gòu)成極大威脅。
　　
　　由于Web威脅的發(fā)展越來(lái)越表現(xiàn)“逐利性”，而攻擊的越是大型企業(yè)，黑客們所能夠獲得的收益也就越大。因此，越是大型的企業(yè)，他們?cè)庥鯳eb威脅的程度也就越嚴(yán)重，很多知名的大型企業(yè)往往成為黑客零日攻擊和目標(biāo)定點(diǎn)攻擊的主要威脅目標(biāo)。由于采用定向攻擊的手法，這些病毒并不會(huì)大規(guī)模傳播，普通病毒數(shù)據(jù)庫(kù)也很難收集到它們的病毒樣本。因此，這些定向攻擊的病毒也就很難被防病毒軟件偵測(cè)并查殺。
　　
　　只有依靠提供量身定做的客制化病毒碼，才能走在新病毒的前面，快速有效地進(jìn)行病毒查殺，將未知威脅帶來(lái)的危害降至最小。像趨勢(shì)科技推出的針對(duì)未知威脅的主動(dòng)式服務(wù)TMHD，可為企業(yè)量身打造客制化病毒碼，滿足不同企業(yè)的差異化網(wǎng)絡(luò)安全需求。
　　
　　新技術(shù)威脅
　　
　　根據(jù)世界上權(quán)威的Web安全與數(shù)據(jù)庫(kù)安全研究組織OWASP提供的報(bào)告，目前對(duì)Web業(yè)務(wù)系統(tǒng)威脅最嚴(yán)重的兩種攻擊方式是SQL注入攻擊和跨站腳本攻擊。
　　
　　SQL注入攻擊
　　
　　SQL注入的攻擊原理是利用程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，導(dǎo)致入侵者可以通過(guò)惡意SQL命令的執(zhí)行，獲得數(shù)據(jù)讀取和修改的權(quán)限。攻擊者成功進(jìn)行SQL注入后，會(huì)擁有整個(gè)系統(tǒng)的最高權(quán)限，可以修改頁(yè)面、數(shù)據(jù)，在網(wǎng)頁(yè)中添加惡意代碼，危害極大。
　　
　　SQL注入攻擊的變種極多，有經(jīng)驗(yàn)的攻擊者會(huì)手動(dòng)調(diào)整攻擊參數(shù)，致使攻擊數(shù)據(jù)的變種不勝枚舉，這導(dǎo)致傳統(tǒng)的特征匹配檢測(cè)方法僅能識(shí)別相當(dāng)少的攻擊。
　　
　　另外，此類(lèi)攻擊的實(shí)現(xiàn)過(guò)程非常簡(jiǎn)單。目前互聯(lián)網(wǎng)上流行眾多的SQL注入攻擊工具，攻擊者借助這些工具可很快對(duì)目標(biāo)Web系統(tǒng)實(shí)施攻擊和破壞。
　　
　　令人擔(dān)憂的是，由于Web編程語(yǔ)言自身的缺陷，以及具有安全編程能力的開(kāi)發(fā)人員少之又少，大多數(shù)Web業(yè)務(wù)系統(tǒng)均具有被SQL注入攻擊的可能。而攻擊者一旦注入成功，可以控制整個(gè)Web業(yè)務(wù)系統(tǒng)，包括對(duì)數(shù)據(jù)做任意的修改。
　　
　　跨站腳本（XSS）攻擊
　　
　　不同于SQL注入以Web服務(wù)器為目標(biāo)的攻擊方式，跨站腳本攻擊則是將目標(biāo)指向了Web業(yè)務(wù)系統(tǒng)所提供服務(wù)的客戶端。
　　
　　跨站腳本攻擊是通過(guò)在網(wǎng)頁(yè)中加入惡意代碼，當(dāng)訪問(wèn)者瀏覽網(wǎng)頁(yè)時(shí)，惡意代碼會(huì)被執(zhí)行或者以通過(guò)給管理員發(fā)信息的方式誘使管理員瀏覽，從而獲得管理員權(quán)限，控制整個(gè)網(wǎng)站。攻擊者利用跨站請(qǐng)求偽造能夠輕松地強(qiáng)迫用戶的瀏覽器發(fā)出非故意的HTTP請(qǐng)求，如詐騙性的電匯請(qǐng)求、修改口令和下載非法的內(nèi)容等請(qǐng)求。
　　
　　根據(jù)以往跨站腳本攻擊的安全事件及產(chǎn)生的后果來(lái)看，跨站腳本攻擊可導(dǎo)致的后果非常嚴(yán)重，影響面也十分之廣，主要包括了：
　　
　　第一，盜取各類(lèi)用戶賬號(hào)，如機(jī)器登錄賬號(hào)、用戶網(wǎng)銀賬號(hào)、各類(lèi)管理員賬號(hào)等。
　　
　　第二，控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力。
　　
　　第三，盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料。
　　
　　第四，非法轉(zhuǎn)賬。
　　
　　第五，強(qiáng)制發(fā)送電子郵件。
　　
　　第六，網(wǎng)站掛馬。
　　
　　第七，控制受害者機(jī)器向其他網(wǎng)站發(fā)起攻擊。
　　
　　跨站腳本攻擊不僅威脅程度更大、威脅波及面更廣，同時(shí)攻擊過(guò)程也更加復(fù)雜多變，與SQL注入攻擊檢測(cè)類(lèi)似，傳統(tǒng)上基于攻擊特征匹配的防御技術(shù)難以奏效。
　　
　　
　　關(guān)注Web站點(diǎn)
　　
　　Web應(yīng)用的發(fā)展，對(duì)網(wǎng)站產(chǎn)生越來(lái)越重要的作用，而越來(lái)越多的網(wǎng)站在此過(guò)程中也因?yàn)榇嬖诎踩[患而成為Web安全重災(zāi)區(qū)。在黑客的眼里，網(wǎng)站并非是一個(gè)提供互聯(lián)網(wǎng)服務(wù)和信息交流的平臺(tái)，而是可以成為被低成本利用獲取利益的一個(gè)途徑。
　　
　　根據(jù)啟明星辰發(fā)布的2008年Web安全統(tǒng)計(jì)報(bào)告，顯示中國(guó)大陸網(wǎng)站遭入侵導(dǎo)致網(wǎng)頁(yè)被篡改成倍增長(zhǎng)。截至到今年二季度，僅網(wǎng)頁(yè)篡改數(shù)量已經(jīng)是2004年的30倍，達(dá)到61228起，這還不包含未被官方披露的數(shù)字。Web安全問(wèn)題幾乎成為網(wǎng)站不能承受之重，追溯起來(lái)誘因很多。
　　
　　第一，大多數(shù)網(wǎng)站設(shè)計(jì)，只考慮正常用戶穩(wěn)定使用。
　　
　　一個(gè)網(wǎng)站設(shè)計(jì)者更多地考慮滿足用戶應(yīng)用，如何實(shí)現(xiàn)業(yè)務(wù)。很少考慮網(wǎng)站應(yīng)用開(kāi)發(fā)過(guò)程中所存在的漏洞，這些漏洞在不關(guān)注安全代碼設(shè)計(jì)的人員眼里幾乎不可見(jiàn)。大多數(shù)網(wǎng)站設(shè)計(jì)開(kāi)發(fā)者，網(wǎng)站維護(hù)人員對(duì)網(wǎng)站攻防技術(shù)的了解甚少。在正常使用過(guò)程中，即便存在安全漏洞，正常的使用者也不會(huì)察覺(jué)。但在黑客對(duì)漏洞敏銳的發(fā)現(xiàn)和充分的利用下，網(wǎng)站存在的這些漏洞就被挖掘出來(lái)了，且成為黑客們直接或間接獲取利益的機(jī)會(huì)。
　　
　　第二，網(wǎng)站防御措施過(guò)于落后。
　　
　　大多數(shù)傳統(tǒng)的基于特征識(shí)別的入侵防御技術(shù)或內(nèi)容過(guò)濾技術(shù)，對(duì)保護(hù)網(wǎng)站抵御黑客攻擊的效果不佳。比如對(duì)SQL注入、跨站腳本這種特征不唯一的網(wǎng)站攻擊，基于特征匹配技術(shù)防御攻擊，不能精確阻斷攻擊。
　　
　　大量黑客通過(guò)構(gòu)建任意表達(dá)式來(lái)繞過(guò)防御設(shè)備固化的特征庫(kù)。比如：and 1=1和and 2=2是一類(lèi)數(shù)據(jù)庫(kù)語(yǔ)句，但可以人為地任意構(gòu)造數(shù)字構(gòu)成同類(lèi)語(yǔ)句的不同特征。而and、=等這些標(biāo)識(shí)在Web提交數(shù)據(jù)庫(kù)應(yīng)用中又是普遍存在的表達(dá)符號(hào)，不能作為攻擊的唯一特征。因此，這就很難基于特征標(biāo)識(shí)來(lái)構(gòu)建一個(gè)精確阻斷SQL注入攻擊的防御系統(tǒng)。這也導(dǎo)致目前有很多黑客將SQL注入成為入侵網(wǎng)站的首選攻擊技術(shù)之一。基于應(yīng)用層構(gòu)建的攻擊，防火墻更是束手無(wú)策。
　　
　　第三，黑客入侵后未被及時(shí)發(fā)現(xiàn)。
　　
　　一些黑客在獲取網(wǎng)站的控制權(quán)限之后并不暴露自己，而是利用所控制網(wǎng)站產(chǎn)生直接利益。
　　
　　
　　網(wǎng)頁(yè)掛馬就是一種利用網(wǎng)站，將瀏覽網(wǎng)站的人種植其木馬的一種非常隱蔽且直接獲取利益的主要方式之一。訪問(wèn)網(wǎng)站而被種植木馬的人通常并不知情，導(dǎo)致一些用戶的機(jī)密信息被竊取。網(wǎng)站成了黑客散布木馬的一個(gè)渠道。網(wǎng)站本身雖然能夠提供正常服務(wù)，但訪問(wèn)網(wǎng)站的人卻遭受著木馬程序的危害。
　　
　　第四，發(fā)現(xiàn)安全問(wèn)題不能徹底解決。
　　
　　網(wǎng)站技術(shù)發(fā)展較快、安全問(wèn)題日益突出，但由于關(guān)注重點(diǎn)不同，絕大多數(shù)的網(wǎng)站開(kāi)發(fā)與設(shè)計(jì)公司對(duì)網(wǎng)站安全代碼設(shè)計(jì)方面了解甚少。即使發(fā)現(xiàn)網(wǎng)站安全存在問(wèn)題和漏洞，其修補(bǔ)方式也只是停留在頁(yè)面修復(fù)，很難針對(duì)網(wǎng)站具體的漏洞原理對(duì)源代碼進(jìn)行改造。這些也是為什么有些網(wǎng)站雖然安裝了網(wǎng)頁(yè)防篡改、網(wǎng)站恢復(fù)軟件后仍然遭受攻擊的原因。
　　
　　碰撞與變遷
　　
　　鑒于上述對(duì)Web業(yè)務(wù)系統(tǒng)常見(jiàn)攻擊的分析，對(duì)Web業(yè)務(wù)系統(tǒng)的保護(hù)已經(jīng)刻不容緩。安全學(xué)術(shù)界和產(chǎn)業(yè)界的研究機(jī)構(gòu)和各大廠商也紛紛拿出了識(shí)別和防御的措施及技術(shù)方案，力求為Web業(yè)務(wù)系統(tǒng)提供深層的安全防御。
　　
　　但遺憾的是，由于Web威脅的迅猛發(fā)展，僅借助硬件、操作系統(tǒng)、服務(wù)、應(yīng)用程序提供商提供沒(méi)有漏洞的系統(tǒng)，顯然是不夠的。因此，需要在網(wǎng)絡(luò)邊界和服務(wù)器前增加安全控制設(shè)備，或者在服務(wù)器系統(tǒng)上部署軟件來(lái)防御各種攻擊。
　　
　　據(jù)孫大軍介紹，目前防御Web威脅的主要挑戰(zhàn)在于各種新的攻擊方式不斷出現(xiàn)，而傳統(tǒng)的針對(duì)Web威脅的防御方式主要是從代碼分析入手，導(dǎo)致隨著各種攻擊方式的不斷翻新，防御方式也要被動(dòng)地跟著更新，無(wú)法從根本上解決問(wèn)題。
　　
　　據(jù)悉，針對(duì)SQL 注入攻擊和跨站腳本攻擊，在傳統(tǒng)的安全產(chǎn)業(yè)界，主要的識(shí)別和防御方法有基于特征的關(guān)鍵字匹配技術(shù)和基于異常檢測(cè)技術(shù)�；谔卣鞯年P(guān)鍵字匹配技術(shù)是目前的主流方法，一些主流的IPS產(chǎn)品都采用這種檢測(cè)技術(shù)。但由于其技術(shù)的局限性和機(jī)械性，使得這類(lèi)IPS產(chǎn)品會(huì)形成漏報(bào)和誤報(bào)。
　　
　　而應(yīng)用于像Web防火墻這類(lèi)產(chǎn)品中的基于異常檢測(cè)技術(shù)，能夠發(fā)現(xiàn)一些異常情況。但其缺陷也顯而易見(jiàn)，比如需要一定的學(xué)習(xí)期才能投入使用，而且一但業(yè)務(wù)模型發(fā)生變化，就需要重新學(xué)習(xí)，更為重要的是，異常未必就是攻擊。
　　
　　在學(xué)術(shù)界，針對(duì)SQL注入，同樣有兩個(gè)重要的研究方向，即基于正常行為模型的AMNESIA和基于數(shù)字簽名技術(shù)的SQL Rand 方法。這兩種方法的主要弱點(diǎn)是需要能夠獲得應(yīng)用程序的源代碼和修改源碼。同時(shí)需要改變?cè)袠I(yè)務(wù)系統(tǒng)的部署，方案相當(dāng)復(fù)雜。
　　
　　傳統(tǒng)的產(chǎn)業(yè)界和學(xué)術(shù)界解決方案的不足，還主要存在于對(duì)SQL 注入攻擊和跨站腳本攻擊的誤報(bào)、漏報(bào)，以及部署復(fù)雜的問(wèn)題�？梢�(jiàn)，解決Web業(yè)務(wù)安全的關(guān)鍵在于檢測(cè)和部署。
　　
　　對(duì)此，萬(wàn)卿的看法是，目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化檢測(cè)機(jī)制來(lái)解決Web攻擊的防御問(wèn)題。比如基于攻擊手法VXID的檢測(cè)算法，可以在很大程度上解決上述難題。
　　
　　據(jù)悉，VXID算法是一種將規(guī)則分析（建立虛擬機(jī)檢測(cè)規(guī)則的過(guò)程）和異常分析（符合Web攻擊模型的，就是Web攻擊）相結(jié)合的技術(shù)。其核心內(nèi)容是首先收集、分析各種可能的Web攻擊方法（包括SQL注入特征和XSS攻擊特征），并提取出相應(yīng)的有針對(duì)性的攻擊機(jī)理。之后為這些攻擊方法建立相應(yīng)的檢測(cè)模型（VXID算法誤用檢測(cè)模型）。根據(jù)這些虛擬機(jī)檢測(cè)來(lái)自URL、Cookie、POST-Form中的各參數(shù)域值是否符合SQL注入模型，檢測(cè)提交的腳本代碼是否符合XSS攻擊模型，如果符合則表示發(fā)生了Web攻擊。
　　
　　采用此類(lèi)算法的好處是，避免了單純特征匹配方法的大量漏報(bào)和誤報(bào)。換句話說(shuō)，這種技術(shù)不會(huì)因?yàn)閷㈥P(guān)鍵字定義得過(guò)于嚴(yán)格而出現(xiàn)誤報(bào)，也不會(huì)因?yàn)閮H能定義有限多個(gè)特征而使得變種攻擊可以輕易繞過(guò)。另外，此種技術(shù)不需要在業(yè)務(wù)系統(tǒng)的代碼上做任何修改，實(shí)現(xiàn)難度較低。
　　
　　另外，徐學(xué)龍介紹說(shuō)，在面對(duì)不斷自我更新、快速動(dòng)態(tài)變化的Web威脅時(shí)，一些企業(yè)往往顯得很被動(dòng)。傳統(tǒng)解決方案往往是當(dāng)病毒入侵企業(yè)并造成明顯程度的損害后，IT人員才知道問(wèn)題的發(fā)生，隨后才展開(kāi)問(wèn)題的調(diào)查、對(duì)策研究、獲取廠商支持、解決方案測(cè)試和部署等工作。由于發(fā)現(xiàn)病毒到清除病毒的周期較長(zhǎng)，使得企業(yè)在此期間面臨很大的風(fēng)險(xiǎn)。此外，由于企業(yè)IT人員所能掌握的技術(shù)有限，對(duì)有些安全威脅了解不夠，使得他們?cè)诿鎸?duì)這些Web攻擊時(shí)往往顯得束手無(wú)策。這些問(wèn)題的存在，使很多企業(yè)雖然部署了軟硬件網(wǎng)絡(luò)安全解決方案，卻無(wú)法最大限度地發(fā)揮它們的功能，IT維護(hù)成本也居高不下，給企業(yè)帶來(lái)很大的風(fēng)險(xiǎn)和負(fù)擔(dān)。
　　
　　從這個(gè)意義上說(shuō)，用戶急需一套具備動(dòng)態(tài)、主動(dòng)防御Web威脅的技術(shù)，其中Web信譽(yù)服務(wù)（WRS）技術(shù)成為了一個(gè)熱點(diǎn)。借助Web信譽(yù)服務(wù)，一旦嵌有惡意程序的網(wǎng)站剛剛出現(xiàn)，安全廠商就可以通過(guò)獨(dú)特的防護(hù)技術(shù)保護(hù)用戶的訪問(wèn)不受侵害，有效攔截出現(xiàn)在每個(gè)區(qū)域的Web威脅。
　　
　　一般來(lái)說(shuō)，WRS技術(shù)為每個(gè)URL提供一個(gè)信譽(yù)分值，這個(gè)信譽(yù)分值基于該網(wǎng)站的存在時(shí)間長(zhǎng)短、地理位置變化和歷史情況等諸多因素計(jì)算而來(lái)。通過(guò)信譽(yù)分值的比對(duì)，就可以知道某個(gè)URL潛在的風(fēng)險(xiǎn)級(jí)別。當(dāng)用戶訪問(wèn)具有潛在風(fēng)險(xiǎn)的網(wǎng)站時(shí)，就可以及時(shí)獲得系統(tǒng)提醒或阻止，Web信譽(yù)服務(wù)可以幫助用戶快速地確認(rèn)目標(biāo)網(wǎng)站的安全性。
　　
　　編看編想
　　
　　Web安全與人員意識(shí)
　　
　　在很多情況下，Web安全防御常常都會(huì)牽扯到人員的意識(shí)問(wèn)題。舉例來(lái)看，有很多企業(yè)的網(wǎng)管對(duì)網(wǎng)站的價(jià)值認(rèn)識(shí)僅僅是一臺(tái)服務(wù)器或者是網(wǎng)站的建設(shè)成本，為了這個(gè)服務(wù)器而增加超出其成本的安全防護(hù)措施則認(rèn)為是得不償失。
　　
　　而實(shí)際上，當(dāng)網(wǎng)站遭受攻擊之后，帶來(lái)的直接和間接的損失往往不能用一臺(tái)服務(wù)器或者是網(wǎng)站建設(shè)成本來(lái)衡量。因?yàn)楹芏嘈畔①Y產(chǎn)在遭受攻擊之后會(huì)造成無(wú)形價(jià)值的流失。不幸的是，當(dāng)前很多用戶單位的網(wǎng)站負(fù)責(zé)人員，只有在Web站點(diǎn)遭受攻擊，且造成的損失遠(yuǎn)超過(guò)網(wǎng)站本身價(jià)值之后才開(kāi)始意識(shí)到這一點(diǎn)。
　　
　　另外，由于各種用戶的應(yīng)用環(huán)境千差萬(wàn)別，所以用戶在進(jìn)行Web安全防御的時(shí)候，更多地應(yīng)該考慮因地制宜。適合于自己的安全方案才是最好的方案。
　　
　　具體的建議有兩點(diǎn)：
　　
　　一是應(yīng)該盡量從系統(tǒng)開(kāi)始規(guī)劃的時(shí)候就考慮Web威脅問(wèn)題；
　　
　　二是盡量從根本入手，避免頭痛醫(yī)頭、腳痛醫(yī)腳，而是針對(duì)于Web威脅，盡量從保護(hù)相關(guān)進(jìn)程免受攻擊入手。

本文出自：億恩科技【www.xuefeilisp.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]

上一篇 >> 企業(yè)反病毒保護(hù)：AV簽名值得嗎？
下一篇 >> 樣本提取方法

中文字幕交换系列在线_一级黄片亚洲第一_午夜视频精品视在线播放_国产真人做受免费视频

服務(wù)器租用

服務(wù)器托管

機(jī)柜批發(fā)

云服務(wù)器

建站俠

空間/域名

安全保姆

幫助類(lèi)別

幫助中心

文章內(nèi)容

Web網(wǎng)站腳本安全之攻防戰(zhàn)爭(zhēng)

同類(lèi)文章

億恩公告

在線客服