首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

Web安全之攻防战争


http://www.gipsky.com/
<STRONG>新技术威胁</STRONG>

根据世界上权威的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。

<STRONG>SQL注入攻击</STRONG>

SQL注入的攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害极大。

SQL注入攻击的变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种不胜枚举,这导致传统的特征匹配检测方法仅能识别相当少的攻击。

另外,此类攻击的实现过程非常简单。目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。

令人担忧的是,由于Web编程语言自身的缺陷,以及具有安全编程能力的开发人员少之又少,大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦注入成功,可以控制整个Web业务系统,包括对数据做任意的修改。

<STRONG>跨站脚本(XSS)攻击</STRONG>

不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击则是将目标指向了Web业务系统所提供服务的客户端。

跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行或者以通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

根据以往跨站脚本攻击的安全事件及产生的后果来看,跨站脚本攻击可导致的后果非常严重,影响面也十分之广,主要包括了:

第一,盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号等。

第二,控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。

第三,盗窃企业重要的具有商业价值的资料。

第四,非法转账。

第五,强制发送电子邮件。

第六,网站挂马。

第七,控制受害者机器向其他网站发起攻击。

跨站脚本攻击不仅威胁程度更大、威胁波及面更广,同时攻击过程也更加复杂多变,与SQL注入攻击检测类似,传统上基于攻击特征匹配的防御技术难以奏效。



<STRONG>关注Web站点</STRONG>

Web应用的发展,对网站产生越来越重要的作用,而越来越多的网站在此过程中也因为存在安全隐患而成为Web安全重灾区。在黑客的眼里,网站并非是一个提供互联网服务和信息交流的平台,而是可以成为被低成本利用获取利益的一个途径。

根据启明星辰发布的2008年Web安全统计报告,显示中国大陆网站遭入侵导致网页被篡改成倍增长。截至到今年二季度,仅网页篡改数量已经是2004年的30倍,达到61228起,这还不包含未被官方披露的数字。Web安全问题几乎成为网站不能承受之重,追溯起来诱因很多。

第一,大多数网站设计,只考虑正常用户稳定使用。

一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见。大多数网站设计开发者,网站维护人员对网站攻防技术的了解甚少。在正常使用过程中,即便存在安全漏洞,正常的使用者也不会察觉。但在黑客对漏洞敏锐的发现和充分的利用下,网站存在的这些漏洞就被挖掘出来了,且成为黑客们直接或间接获取利益的机会。

第二,网站防御措施过于落后。

大多数传统的基于特征识别的入侵防御技术或内容过滤技术,对保护网站抵御黑客攻击的效果不佳。比如对SQL注入、跨站脚本这种特征不唯一的网站攻击,基于特征匹配技术防御攻击,不能精确阻断攻击。

大量黑客通过构建任意表达式来绕过防御设备固化的特征库。比如:and 1=1和and 2=2是一类数据库语句,但可以人为地任意构造数字构成同类语句的不同特征。而and、=等这些标识在Web提交数据库应用中又是普遍存在的表达符号,不能作为攻击的唯一特征。因此,这就很难基于特征标识来构建一个精确阻断SQL注入攻击的防御系统。这也导致目前有很多黑客将SQL注入成为入侵网站的首选攻击技术之一。基于应用层构建的攻击,防火墙更是束手无策。

第三,黑客入侵后未被及时发现。

一些黑客在获取网站的控制权限之后并不暴露自己,而是利用所控制网站产生直接利益。



网页挂马就是一种利用网站,将浏览网站的人种植其木马的一种非常隐蔽且直接获取利益的主要方式之一。访问网站而被种植木马的人通常并不知情,导致一些用户的机密信息被窃取。网站成了黑客散布木马的一个渠道。网站本身虽然能够提供正常服务,但访问网站的人却遭受着木马程序的危害。

第四,发现安全问题不能彻底解决。

网站技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的网站开发与设计公司对网站安全代码设计方面了解甚少。 即使发现网站安全存在问题和漏洞,其修补方式也只是停留在页面修复,很难针对网站具体的漏洞原理对源代码进行改造。这些也是为什么有些网站虽然安装了网页防篡改、网站恢复软件后仍然遭受攻击的原因。

碰撞与变迁

鉴于上述对Web业务系统常见攻击的分析,对Web业务系统的保护已经刻不容缓。安全学术界和产业界的研究机构和各大厂商也纷纷拿出了识别和防御的措施及技术方案,力求为Web业务系统提供深层的安全防御。

但遗憾的是,由于Web威胁的迅猛发展,仅借助硬件、操作系统、服务、应用程序提供商提供没有漏洞的系统,显然是不够的。因此,需要在网络边界和服务器前增加安全控制设备,或者在服务器系统上部署软件来防御各种攻击。

据孙大军介绍,目前防御Web威胁的主要挑战在于各种新的攻击方式不断出现,而传统的针对Web威胁的防御方式主要是从代码分析入手,导致随着各种攻击方式的不断翻新,防御方式也要被动地跟着更新,无法从根本上解决问题。

据悉,针对SQL 注入攻击和跨站脚本攻击,在传统的安全产业界,主要的识别和防御方法有基于特征的关键字匹配技术和基于异常检测技术。基于特征的关键字匹配技术是目前的主流方法,一些主流的IPS产品都采用这种检测技术。但由于其技术的局限性和机械性,使得这类IPS产品会形成漏报和误报。

而应用于像Web防火墙这类产品中的基于异常检测技术,能够发现一些异常情况。但其缺陷也显而易见,比如需要一定的学习期才能投入使用,而且一但业务模型发生变化,就需要重新学习,更为重要的是,异常未必就是攻击。

在学术界,针对SQL注入,同样有两个重要的研究方向,即基于正常行为模型的AMNESIA和基于数字签名技术的SQL Rand 方法。这两种方法的主要弱点是需要能够获得应用程序的源代码和修改源码。同时需要改变原有业务系统的部署,方案相当复杂。

传统的产业界和学术界解决方案的不足,还主要存在于对SQL 注入攻击和跨站脚本攻击的误报、漏报,以及部署复杂的问题。可见,解决Web业务安全的关键在于检测和部署。

对此,万卿的看法是,目前更加有效的防御手段可以采用融合基于原理和基于特征的柔性化检测机制来解决Web攻击的防御问题。比如基于攻击手法VXID的检测算法,可以在很大程度上解决上述难题。

据悉,VXID算法是一种将规则分析(建立虚拟机检测规则的过程)和异常分析(符合Web攻击模型的,就是Web攻击)相结合的技术。其核心内容是首先收集、分析各种可能的Web攻击方法(包括SQL注入特征和XSS攻击特征),并提取出相应的有针对性的攻击机理。之后为这些攻击方法建立相应的检测模型(VXID算法误用检测模型)。根据这些虚拟机检测来自URL、Cookie、POST-Form中的各参数域值是否符合SQL注入模型,检测提交的脚本代码是否符合XSS攻击模型,如果符合则表示发生了Web攻击。

采用此类算法的好处是,避免了单纯特征匹配方法的大量漏报和误报。换句话说,这种技术不会因为将关键字定义得过于严格而出现误报,也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。另外,此种技术不需要在业务系统的代码上做任何修改,实现难度较低。

另外,徐学龙介绍说,在面对不断自我更新、快速动态变化的Web威胁时,一些企业往往显得很被动。传统解决方案往往是当病毒入侵企业并造成明显程度的损害后,IT人员才知道问题的发生,随后才展开问题的调查、对策研究、获取厂商支持、解决方案测试和部署等工作。由于发现病毒到清除病毒的周期较长,使得企业在此期间面临很大的风险。此外,由于企业IT人员所能掌握的技术有限,对有些安全威胁了解不够,使得他们在面对这些Web攻击时往往显得束手无策。这些问题的存在,使很多企业虽然部署了软硬件网络安全解决方案,却无法最大限度地发挥它们的功能,IT维护成本也居高不下,给企业带来很大的风险和负担。

从这个意义上说,用户急需一套具备动态、主动防御Web威胁的技术,其中Web信誉服务(WRS)技术成为了一个热点。借助Web信誉服务,一旦嵌有恶意程序的网站刚刚出现,安全厂商就可以通过独特的防护技术保护用户的访问不受侵害,有效拦截出现在每个区域的Web威胁。

一般来说,WRS技术为每个URL提供一个信誉分值,这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对,就可以知道某个URL潜在的风险级别。当用户访问具有潜在风险的网站时,就可以及时获得系统提醒或阻止,Web信誉服务可以帮助用户快速地确认目标网站的安全性。

<STRONG>编看编想</STRONG>

Web安全与人员意识

在很多情况下,Web安全防御常常都会牵扯到人员的意识问题。举例来看,有很多企业的网管对网站的价值认识仅仅是一台服务器或者是网站的建设成本,为了这个服务器而增加超出其成本的安全防护措施则认为是得不偿失。

而实际上,当网站遭受攻击之后,带来的直接和间接的损失往往不能用一台服务器或者是网站建设成本来衡量。因为很多信息资产在遭受攻击之后会造成无形价值的流失。不幸的是,当前很多用户单位的网站负责人员,只有在Web站点遭受攻击,且造成的损失远超过网站本身价值之后才开始意识到这一点。

另外,由于各种用户的应用环境千差万别,所以用户在进行Web安全防御的时候,更多地应该考虑因地制宜。适合于自己的安全方案才是最好的方案。

具体的建议有两点:

一是应该尽量从系统开始规划的时候就考虑Web威胁问题;

二是尽量从根本入手,避免头痛医头、脚痛医脚,而是针对于Web威胁,尽量从保护相关进程免受攻击入手。

相关链接

防御Web威胁的产品与服务

■ 浪潮安全

浪潮自主研发的SSR产品能够保证企业Web应用安全可靠运行,避免被非法的中断和更改。而浪潮Web卫士产品是保护用户网站免受各种Web攻击而设计的一款Web安全产品;SSR和Web卫士配合使用,能够保证企业用户的Web安全。

■ 启明星辰

天清入侵防御系统可以提供全面的Web防御支持。该系统报警准确率高,避免了仅采用单纯的特征匹配方法的大量漏报和误报。不会因为将关键字定义得过于严格而出现误报,也不会因为仅能定义有限多个特征而使得变种攻击可以轻易绕过。系统将检测和防御功能都固化在硬件产品中,用户仅需要简单部署产品就可以全面防御SQL注入、XSS攻击等Web攻击行为。

■ 趋势科技

TMES安全专家服务将企业的被动防御转化为快速响应。主动出击的主动式安全防御,可以快速帮助企业客户有效管理安全事件并减少业务损失。TMES通过日常巡检,对用户的防毒体系进行全面检查,尽早发现潜在的问题,并根据当前的状态和存在的问题,给出调整的意见。另外,通过集成的TMSN服务商紧急上门服务,可帮助企业以最快的速度应对Web威胁。

■ 深信服

深信服AC系列上网行为管理设备具备识别率高、确保用户远离Web风险的能力。该系列上网行为管理产品除了识别普通的明文数据外,还可识别加密的流量和应用,并通过基于统计学的网络行为智能检测技术(NBID),对用户最新面临的应用进行管理,进而提高用户的工作效率,避免机密信息的泄漏。



本新闻共2页,当前在第2页 1 2
<< 企业防火墙构建的误区和实施策略 新形式下的网络防毒建议汇总 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号