网站防护 从三鹿集团网站连续被黑说起

  自爆发三鹿牌婴幼儿奶粉事件以来，三鹿集团网站即遭遇黑客连续不断的攻击，网站主页标题一度被黑客篡改为“三聚氰胺集团”。甚至有黑客在上面聊天留言“楼主继续黑，偶打酱油路过~”。短短一个月来，三鹿集团的主页已经被黑数次，不可不谓史上最受黑客青睐的网站之一。

当然，这些黑客所谓“侠义之举”的孰是孰非我们并不多加以评论，不过从上述事件中我们不难看到如今的企业网站频频被黑早已不是什么新鲜事了，我们不妨从网站防护角度来看看是什么造成如此众多的网站被黑客们玩弄于鼓掌之中呢。

近年来，Web技术在客户和服务端的广泛利用，是黑客们越来越侵向于使用各种攻击手法来针对Web应用层进行攻击，即绕过了防火墙等常规防护手段，也使得攻击手段更加简便和多样化，令人防不胜防。据Gartner统计：目前75%攻击转移到应用层，当企业的网站不断遭到攻击，原有的防火墙已经不能满足企业对网络攻击的防御。因为应用层面非常广，比如说Web应用，邮件应用，中间件应用等，应用在不断增多，导致现在很多攻击在应用层。客户原有的防火墙，IPS不能进行全面的防御了。这也即是企业网站屡次被攻击的原因之一。

为什么我们说传统防火墙阻止不了这类攻击呢？因为这类攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击（SQL injection）。在这种攻击中，黑客利用你自己的其中一张HTML表单，未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序，狡猾的黑客就可以在服务器上随意执行命令。另一些攻击比较简单。譬如说，HTML注释里面往往含有敏感信息，包括不谨慎的编程人员留下的登录信息。

于是乎，针对应用层的攻击手段，从篡改cookies到更改HTML表单里面的隐藏字段，完全取决于黑客的创造力。不过好消息是，大多数这类攻击是完全可以阻止的。

WEB应用防火墙的出现就是为了专门解决这方面难题的，这种防火墙专门针对Web应用进行全面防护的设备，部署一个立体防护的层次，使其能自动智能化地对黑客的这些攻击手段进行判别和防护应用防火墙通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。

       以一款现在业内比较流行的Barracuda-NC应用防火墙为例，它能对下列一般方法无法检测的Web应用层攻击手段进行有效的防护：

植入恶意脚本

Cookie / Session投毒

Form表单 / 隐藏域修改

缓存溢出

参数篡改

跨站式脚本攻击

强制浏览 / 目录探测

Sql注入 / 命令注入

数据窃取 / 身份窃取

已知漏洞攻击 /  Zero Day漏洞攻击

应用程序Dos

    在工作时，Barracuda-NC应用防火墙具有基于应用层的检测，同时又拥有基于状态的网络防火墙优势的双重特点，

•对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限；

• 拥有预期数据的完整知识(Complete Knowledge of expected values)系统，防止各种形式的SQL/命令注入，跨站式脚本攻击；

• 实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真。

    并且，他能使企业Web应用全面隐身，因为即使黑客再神奇也无法攻击看不见的东西。Barracuda-NC应用防火墙对外部访问网站进行隐身，可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息，让黑客看不见，摸不着，探测不到，自然也无从猜测分析和攻击。以下便是一款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏的网站的结果。

    同时，它还能识别各种爬行探测程序，只允许正常的搜索引擎爬虫进入，抵御黑客爬行程序于门外，让想通过探测确定攻击目标的黑客彻底无门。

    总之，三鹿网站这次的连续被黑事件，单从技术角度来说无疑于给许多企业敲响了警钟，近年来许多企业网站频遭攻击固有黑客们的猖獗活动导致，亦有自己安全防护出现漏洞的原因。在web应用愈发成为企业网络应用的核心所在，如何更好的保护自己的网络安全，我们所要做的就是找出企业网络安全盲点，关注企业网络web应用层的防护！