海之美文新闻资讯
Web安全
随着Web2.0、社交网路、微博等等一系列新型的网际网路产品的诞生,基于Web环境的网际网路套用越来越广泛,企业信息化的过程中各种套用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站作业系统的漏洞和Web服务程式的SQL注入漏洞等得到Web伺服器的控制许可权,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
基本介绍
- 中文名:Web安全
- 定义:随着Web2.0、社交网路
- 现状原因:目前很多业务都依赖于网际网路
- 攻击种类:SQL注入
定义
随着Web2.0、社交网路、微博等等一系列新型的网际网路产品的诞生,基于Web环境的网际网路套用越来越广泛,企业信息化的过程中各种套用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站作业系统的漏洞和Web服务程式的SQL注入漏洞等得到Web伺服器的控制许可权,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注套用层的安全问题,对Web套用安全的关注度也逐渐升温。
现状原因
目前很多业务都依赖于网际网路,例如说网上银行、网路购物、网游等,很多恶意攻击者出于不良的目的对Web 伺服器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web伺服器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
一方面,由于TCP/IP的设计是没有考虑安全问题的,这使得在网路上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户许可权来运行任意程式,甚至安装和运行恶意代码,窃取机密数据。而套用层面的软体在开发过程中也没有过多考虑到安全的问题,这使得程式本身存在很多漏洞,诸如缓冲区溢出、SQL注入等等流行的套用层攻击,这些均属于在软体研发过程中疏忽了对安全的考虑所致。
另一方面,用户对某些隐秘的东西带有强烈的好奇心,一些利用木马或病毒程式进行攻击的攻击者,往往就利用了用户的这种好奇心理,将木马或病毒程式捆绑在一些艳丽的图片、音视频及免费软体等档案中,然后把这些档案置于某些网站当中,再引诱用户去单击或下载运行。或者通过电子邮件附属档案和QQ、MSN等即时聊天软体,将这些捆绑了木马或病毒的档案传送给用户,利用用户的好奇心理引诱用户打开或运行这些档案。
攻击种类
1、SQL注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字元串,最终达到欺骗伺服器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字元暴出的,这类表单特别容易受到SQL注入式攻击。
2、跨站脚本攻击(也称为XSS):指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软体、甚至在阅读电子邮件时,通常会点击其中的连结。攻击者通过在连结中插入恶意代码,就能够盗取用户信息。
3、网页挂马:把一个木马程式上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页里运行。
防火墙
Web套用安全问题本质上源于软体质量问题。但Web套用相较传统的软体,具有其独特性。Web套用往往是某个机构所独有的套用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的複杂互动场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。
Web套用安全,理想情况下应该在软体开发生命周期遵循安全编码原则,并在各阶段採取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的Web套用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web套用,由于其定製化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。
这种现状,专业的Web安全防护工具是一种合理的选择。WEB套用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web套用提供实时的防护。
常见的WEB安全产品有梭子鱼WEB套用防火墙等。
技术一览
由于黑客的职业化程度越来越高,针对Web套用的攻击手段和技术日趋高明、隐蔽,致使大多Web套用处在高风险环境下开展。网站遭受攻击将直接冲破企业套用的安全底线,损害企业的社会形象,导致客户流失。梭子鱼WEB套用防火墙能够为企业提供强大的套用层安全防护,同时通过梭子鱼直观、实时的管理界面对Web套用进行统一的安全管理。
全面Web站点防护
统网路防火墙的低层处理机制以及与IPS对于HTTP、HTTPS和FTP流量的简单操作相比,WEB套用防火墙则对HTTP流量进行代理,并全面扫描7层数据,确保攻击在到达Web伺服器之前就将其阻断。许多Web套用由于断断续续的代码加固及安全维护,致使这些Web套用通常存在严重的安全漏洞及隐患。 防火墙能够阻断所有常见的Web攻击。作为一个反向代理,在阻断攻击的同时,能够对外发的HTTP回响进行全面的监控,确保诸如信用卡卡号、社保卡卡号等敏感信息的泄露。结合动态学习功能,套用防火墙能够学习Web伺服器的内在结构并生成策略,确保网站的高安全性。