Web应用安全 我们如何应对？

　　如今，Web业务平台已经在电子商务、企业信息化中得到广泛应用，很多企业都将应用架设在Web平台上，Web业务的迅速发展也引起了黑客们的强烈关注，他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

　　根据 Gartner 的调查，信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上，2/3的 Web 站点都相当脆弱，易受攻击。另外，在今年4月国家计算机网络应急技术处理协调中心最新发布的报告中指出，“2007年度，网络仿冒、网页恶意代码、网站篡改等增长速度接近200%。”而随着Web2.0应用的推广，相关安全问题逐渐凸显，针对该类网站的攻击事件也在不断增多。

　　Web应用危机重重

　　众所周知，TCP/IP的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击……这些均属于在软件研发过程中疏忽了对安全的考虑所致。此外，现在很多论坛和网站都使用PHP程序开发的，而由于PHP漏洞的问题，面临PHP include各种攻击的威胁。如果漏洞被利用，攻击者能够利用它，把恶意代码强行插入到被攻击的PHP应用里。还有一种，就是跨站脚本攻击XSS/CSS (Cross SITe Script) attack。它利用网页及cookies漏洞，攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。比如通过跨站构造一个表单，表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。开放Web软件安全计划(Open Web Application Security Project , OWASP)甚至将其列为2007年Web安全威胁之首。XSS攻击的一个典型案例是PDF阅读器Adobe Acrobat Reader上的跨站脚本攻击。通过这二类方法攻击者恶意篡改首页地址、屏蔽锁定、IE搜索引擎被修改、强行添加非法网站地址链接、甚到可在用户电脑上利植木马、下载病毒和蠕虫、关闭反防毒软件程序、远程访问和控制用户电脑，从而导致用户电脑崩溃和网络不畅。

　　目前很多业务都依赖于互联网，例如说网上银行、网上购物等，很多恶意攻击者出于不良的目的对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样，Web业务平台最容易遭受攻击。同时，对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。据东软网络安全营销中心产品经理王军民介绍，“挂马可通过网站漏洞直接将木马程序植入网页，如果网络用户个人PC没做好安全防护，那么很容易在不知情的情况下将自己的账户、密码都透露给恶意攻击者，这是非常危险的。”另一方面，Web2.0应用虽然让用户的使用更加方便，比如可以直接在网页中写Excel文档、进行文字处理，就好像在自己PC上使用Office一样。但在Web2.0下采用Ajax技术，JavaScript脚本被更多的应用，又使得区分脚本的安全性变得更加困难。

　　当然，“Web业务平台的不安全也在很大程度上取决于内部原因。”启明星辰威胁检测产品部高级产品经理吴凡如是说，“目前大部分的Web业务编写人员没有受过专业的安全培训，安全意识相对薄弱，这就导致了目前在互联网上大量的Web网站存在各种设计上漏洞。再加上Web业务的广泛应用，其使用者的范围难以控制，任何一个攻击者都可以轻易地访问在互联网上公开发布的任意一个Web站点。这两个原因都导致Web业务平台的不安全。”

　　安全意识需提高

　　Web应用的安全隐患很多，用户的一些认识误区又加剧了Web应用的不安全。CP Secure 产品经理田原谈到，“有的用户认为使用了防火墙、IDS等传统网络防护就能让Web服务器安全无事。其实通过利用系统本身漏洞、程序漏洞，通过正常的连接完全可以取得Web权限，进而篡改网页，如常见的 SQL 注入攻击，其表现层面完全是正常的数据交互查询。对于防火墙或者IDS而言，这是正常的访问连接，没有任何特征能够说明此种访问连接存在攻击，但其实系统已经受到攻击。有的用户则认为使用了网络通信加密如SSL和漏洞扫描工具就能够解决问题。而事实上，网络加密只能保证网络通信传送数据的保密性，对于系统漏洞和应用程序漏洞仍无法保护，扫描工具也无法对网站应用程序进行检测，无法查找应用本身的漏洞。”

　　另一方面，有人认为，只要网站没有被人篡改网页就算是安全的。其实，目前比较常见的还有网页挂马。我们经常能在Google上看到“该网站可能含有恶意软件，有可能会危害您的电脑”，这里面就有可能是被挂马了，这种攻击方式虽然没有直接危害到Web业务本身，但危害了网站的信誉和形象，也属于网站管理员需要关心的范围。这就要求网站的管理人员提高安全防范的意识，而且最好能有定期的安全检查。

　　东软网络安全营销中心产品经理王军民说，“我们在给企业用户提供解决方案时一再强调‘3分技术7分管理’，仅靠技术防护，主观放松警惕是无法保障安全的。”在网络用户中也一样，无论采用何种防护，都必须时刻提高警惕。比如上网时不要随便点击诱惑性网站;不要随便打开网上下载的文件;最好定期杀毒、清空cookie;登陆邮箱时不要选择保存个人信息……总之，安全意识时刻要有，养成这种习惯才能最大程度地防范个人PC遭受攻击。

　　总体上看，目前国内用户对Web业务安全的关注度还不够，很多用户还在使用普通防火墙保护Web业务，这在应用层攻击泛滥的今天，是很不够的。国内能看到的专门针对Web进行防御的产品有入侵防御产品IPS和Web防火墙，都是对深层威胁行为进行发现和防御的产品。这类产品多是透明方式接入网络，直接串接在Web业务服务器前即可。

　　应对之道

　　针对Web应用安全，过去有网页恢复系统，能够将被篡改的页面恢复原状，但此类产品无法从根本解决Web应用被入侵的问题。目前在国际上也流行一种WAF(Web Application Firewall)产品，通过该类产品能够专门对Web入侵行为进行阻断和识别。东软则针对应用层防护推出了独家专利的NEL引擎，可以将基于协议分析的攻击检测任务划分为：协议分析、制订攻击检测规则和攻击检测三个子任务，每个子任务又分别由协议分析小组、攻击分析小组、和描述语言开发小组来分别承担。这样，即使系统增加了很多协议，制订了很多攻击规则，也能够构造一个大规模的攻击检测系统。NEL检测引擎可以起到WAF的作用，同时对基于SMTP协议的攻击拒之门外，也就是在保护Web应用安全的同时，保证网站中其他应用服务器的安全。

　　此外，对于Web安全和防止网页篡改，还需要对于系统漏洞和应用程序漏洞有深刻认识，基于系统和应用程序来做专门的Web服务和网页防范措施及工具。CP Secure 产品经理田原总结了以下六条帮助读者应对Web安全威胁：(1)找出系统的安全漏洞，及时升级最新补丁;(2)对动态网页实施的保护，在保护静态网页的同时保护网站脚本和后端数据库;确认脚本许可只赋予仅仅包含存在问题脚本的独立目录;(3)网页文件保护策略， 网页写保护，主动防御恶意代码，防跨站攻击，高效URL过滤技术(防止SQL注入)，优化Web性能和安全加固，双机热备;(4)锁定文件、目录和其他系统资源，设置Web服务器或守护进程运行最低数量的优先权，使应用程序使用最少的特权运行，不信任来自用户甚至数据库的任何信息有助于防止脚本利用，每当您从不可信的源获得信息时，都要确保它不包含任何可执行代码方可进行处理;(5)使用网页防篡改和恢复软件;(6)做好服务器应用程序本身安全防护，避免漏洞;删除不需要的应用程序。

　　针对Web应用的安全产品，可以分为网络、Web服务器自身以及程序安全三方面。在网络方面，可以考虑将防火墙、IDS/IPS、安全网关、防病毒墙、网站保护墙等产品部署在Web服务器前面，这样可以防御大部分的攻击。此外，可以通过部署更安全的Web服务器、Web服务器自身的保护系统，比如网页防篡改保护系统(防篡改保护和恢复软件)、恶意主动防御系统、访问控制系统、审计系统等产品，做到自动扫描和监控，从而保护系统和文件。目前已经出现了程序安全的研究方向，我们也希望能够早日看到相关产品。