Web應(yīng)用安全日趨嚴(yán)重我們該拿什么拯救 |
發(fā)布時間: 2012/9/15 15:24:00 |
黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限,輕則篡改網(wǎng)頁內(nèi)容,重則竊取重要內(nèi)部數(shù)據(jù),更為嚴(yán)重的則是在網(wǎng)頁中植入惡意代碼,使得網(wǎng)站訪問者受到侵害。這也使得越來越多的用戶關(guān)注應(yīng)用層的安全問題,對Web應(yīng)用安全的關(guān)注度也逐漸升溫。 Web安全威脅日趨嚴(yán)重的原因 目前很多業(yè)務(wù)都依賴于互聯(lián)網(wǎng),例如說網(wǎng)上銀行、網(wǎng)絡(luò)購物、網(wǎng)游等,很多惡意攻擊者出于不良的目的對Web 服務(wù)器進(jìn)行攻擊,想方設(shè)法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣,Web業(yè)務(wù)平臺最容易遭受攻擊。同時,對Web服務(wù)器的攻擊也可以說是形形色色、種類繁多,常見的有掛馬、SQL注入、緩沖區(qū)溢出、嗅探、利用IIS等針對Webserver漏洞進(jìn)行攻擊。 一方面,由于TCP/IP的設(shè)計是沒有考慮安全問題的,這使得在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)是沒有任何安全防護(hù)的。攻擊者可以利用系統(tǒng)漏洞造成系統(tǒng)進(jìn)程緩沖區(qū)溢出,攻擊者可能獲得或者提升自己在有漏洞的系統(tǒng)上的用戶權(quán)限來運(yùn)行任意程序,甚至安裝和運(yùn)行惡意代碼,竊取機(jī)密數(shù)據(jù)。而應(yīng)用層面的軟件在開發(fā)過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩沖區(qū)溢出、SQL注入等等流行的應(yīng)用層攻擊,這些均屬于在軟件研發(fā)過程中疏忽了對安全的考慮所致。 另一方面,用戶對某些隱秘的東西帶有強(qiáng)烈的好奇心,一些利用木馬或病毒程序進(jìn)行攻擊的攻擊者,往往就利用了用戶的這種好奇心理,將木馬或病毒程序捆綁在一些艷麗的圖片、音視頻及免費(fèi)軟件等文件中,然后把這些文件置于某些網(wǎng)站當(dāng)中,再引誘用戶去單擊或下載運(yùn)行;蛘咄ㄟ^電子郵件附件和QQ、MSN等即時聊天軟件,將這些捆綁了木馬或病毒的文件發(fā)送給用戶,利用用戶的好奇心理引誘用戶打開或運(yùn)行這些文件。 黑客們另一種常用的方式,即把木馬或病毒編寫成一個腳本,然后嵌入到網(wǎng)頁、電子郵件及QQ等聊天軟件的消息當(dāng)中,或作一個超級連接指向這個腳本,只要用戶打開包含有嵌入這些木馬或病毒的網(wǎng)頁、電子郵件和聊天信息窗口,或單擊指向這些木馬及病毒腳本的超級連接,這些木馬或病毒程序就這樣輕松地進(jìn)入了用戶的PC當(dāng)中。 網(wǎng)絡(luò)釣魚攻擊的方式也是多種多樣,其中之一便是偽造一個十分相似的網(wǎng)站界面,引誘用戶在這個假冒的網(wǎng)上銀行網(wǎng)站進(jìn)行登錄操作,有些用戶輕易相信引誘信息,再加上粗心大意,其后果就不堪設(shè)想了。 現(xiàn)今企業(yè)當(dāng)中,移動辦公的趨勢越來越明顯,大部分的企業(yè)員工會把計算機(jī)帶回家中工作,或者在公共場所接入互聯(lián)網(wǎng),他們成為當(dāng)前Web威脅首先侵入的目標(biāo)。而企業(yè)員工對互聯(lián)網(wǎng)依賴性的加劇,也使得公司網(wǎng)絡(luò)比以往更加容易受到將員工做為跳板的惡意程序的攻擊。惡意程序的主要入侵途徑已經(jīng)轉(zhuǎn)變?yōu)镠TTP方式,而且病毒產(chǎn)生速度快、變種多,令本來就脆弱的企業(yè)網(wǎng)絡(luò)雪上加霜。 面對來勢洶洶的應(yīng)用威脅,絕大多數(shù)企業(yè)并沒有真正意識到其中的危機(jī)。一方面,惡意網(wǎng)站以600%的年增長速度在迅速增加;另一方面,77%帶有惡意代碼的網(wǎng)站是被植入惡意攻擊代碼的合法網(wǎng)站。這些威脅正往定向、復(fù)合式攻擊發(fā)展,其中一種攻擊會包括多種威脅,比如病毒、蠕蟲、特洛伊、間諜軟件、僵尸、網(wǎng)絡(luò)釣魚電子郵件、漏洞利用、下載程序、社會工程、rootkit、黑客等,造成拒絕服務(wù)、服務(wù)劫持、信息泄露或篡改等危害。另外,復(fù)合攻擊也加大了收集所有“樣本”的難度,造成的損害也是多方面的,潛伏期難以預(yù)測,甚至可以遠(yuǎn)程可控地發(fā)作。 我們又該如何應(yīng)對Web威脅 隨著多形態(tài)攻擊的數(shù)量越來越多,傳統(tǒng)防護(hù)手段的安全效果也越來越差,總是處于預(yù)防威脅-檢測威脅-處理威脅-策略執(zhí)行的循環(huán)之中。更為嚴(yán)峻的是,傳統(tǒng)的僅針對終端設(shè)備的防病毒解決方案并不能應(yīng)對當(dāng)前變化多端的Web威脅。 作為個人用戶來說,應(yīng)該本身對網(wǎng)絡(luò)安全防范的加深和正確認(rèn)識,不斷提高自身的計算機(jī)及網(wǎng)絡(luò)應(yīng)用技術(shù)水平加固計算機(jī)的安全,以及努力克服自己的好奇心,消除貪圖小便宜的心理,規(guī)范自己的網(wǎng)絡(luò)操作行為,來緩解決Web應(yīng)用安全問題日趨嚴(yán)重的趨勢。 對于企業(yè)用戶,針對Web應(yīng)用的安全產(chǎn)品,可以分為網(wǎng)絡(luò)、Web服務(wù)器自身以及程序安全三方面。在網(wǎng)絡(luò)方面,可以考慮將防火墻、IDS/IPS、安全網(wǎng)關(guān)、防病毒墻等產(chǎn)品部署在Web服務(wù)器前面,這樣可以防御大部分的攻擊。此外,可以通過部署更安全的Web服務(wù)器、Web服務(wù)器自身的保護(hù)系統(tǒng),比如網(wǎng)頁防篡改保護(hù)系統(tǒng)(防篡改保護(hù)和恢復(fù)軟件)、惡意主動防御系統(tǒng)、訪問控制系統(tǒng)、審計系統(tǒng)等產(chǎn)品,做到自動掃描和監(jiān)控,從而保護(hù)系統(tǒng)和文件。目前已經(jīng)出現(xiàn)了程序安全的研究方向,我們也希望能夠早日看到相關(guān)產(chǎn)品。 最后我們要做到“兩手抓、兩手都要硬”,用一句形象的比喻來說明:防火墻/入侵檢測系統(tǒng)如同金鐘罩鐵布衫等外功,防止明槍;而更重要的是需要修煉太極等內(nèi)功,彌補(bǔ)自身的漏洞,躲避暗箭,內(nèi)外兼修的效果將使您的企業(yè)縱橫江湖。 Web安全威脅的內(nèi)容還有很多,希望大家還要多多掌握。 本文出自:億恩科技【1tcdy.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |