Web应用安全成为安全防御的关键一环

层出不穷的web安全事件

如今,Web环境的互联网应用越来越广泛,如Web2.0、社交网络、微博等新型互联网产品相继诞生,企业信息化的过程中各种应用也都架设在Web 平台上,Web业务迅速发展的同时让web安全威胁也日渐凸显,黑客利用网站操作系统的漏洞得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,植入恶意代码,侵害网站访问者。

来自国内的报告显示,2010年4月16日、17日,面向美国市场的阿里巴巴全球速卖通受到不明身份黑客的持续恶意攻击,黑客针对速卖通网站在国内和美国的服务器采取了多种手段的攻击。同年5月10日至5月16日一周内,中国境内就有81个政府网站被篡改; 截止当年5月24日,包括我国的2所一流大学与10多所重点大学在内的众多高校网站被挂木马;

与之相应的,国外的Web安全事件也是频频爆出:日本最大的BBS网站2ch被攻击,因服务器瘫痪从而受到重大损失的美国IT公司表明与联邦调查局(FBI)达成协议,将对黑客攻击采取法律手段。本次攻击来自于韩国黑客的可能性很大,2ch以外的服务器使用者也被殃及,其中包括与美国政府有关网站。损失高达250万美元;来自欧洲的报告称,2009年5 月 26 日,法国移动运营商Orange France 提供照片管理的网站频道被曝存在SQL注入漏洞,黑客利用此漏洞获取到245,000 条用户记录(包括E-mail、姓名及明文方式的密码)。

针对Web应用的攻击手段和技术日趋高明、隐蔽,致使大多Web应用处在高风险的环境中。Web应用安全问题不断升温,受到越来越多的网络用户关注。

针对web的攻击攻击缘何趋多?

在用户的场景中,B/S结构已经逐步替代C/S结构成为客户首选的应用场景,简单、方便、快捷、无缝介入等,种种便利使得客户越来越喜欢B/S结构的场景,也使得原有私有的、非标准的C/S结构逐步被替代,大量统一的、开源的B/S结构使得攻击者有了一个集中可供研究渗透的基础。于是黑客将攻击转向几乎无所不在的 80 开放端口(Web通信最常用的端口)。这两点原因导致美国大约有 75 % 的企业在 2003 年因 Web攻击而遭受经济损失。

导致 Web 应用进一步面临威胁的原因还有 Web 服务器与应用底层架构的变化以及使用非安全开放源代码组件现象的增加。Web 服务器与 Web 应用已经从最初提供简单的静态内容演变到提供丰富的动态内容。现在,Web 服务器与应用除了可以创建动态页面和启动应用程序外,还可以同数据库进行通信以生成对用户有用的内容。大多数 Web 服务器平台都将应用程序与服务器捆绑在一起,即使最简单的网站也会和Web应用进行交互,这为攻击提供了机会。很多攻击行为利用了当前Web体系架构存在的安全漏洞。这些攻击手段包括篡改主要Web接口、导致服务器上的嵌入式 Web 应用执行预期之外的功能、安装恶意应用程序以及欺骗后台数据库使其向攻击者发送敏感信息等。

与网络层安全相似,Web应用的安全强度也取决于整个体系中最脆弱的那一环。要构建安全的Web应用平台,开发人员必须在 Web应用的每个层面精心设计安全性。运行 Web 应用的服务器也必须不断更新。遗憾的是,许多企业在设计 Web 应用时,开发人员并未全面考虑安全性。更糟糕的是,有的用户只为 Web 服务器中可从外界访问的那部分设计了安全性,而忽略了内部访问Web应用的安全性。攻击 Web应用最常见也是最见效的手法就是利用漏洞,寻找可以获得对服务器平台(包括Microsof t SQL Server、IIS、Apache Web服务器)的根访问权的安全漏洞。其中,SQL 植入属于最危险的攻击形式之一。在发动 SQL 植入攻击时,攻击者将意料之外的 SQL 命令植入到 Web 应用表格域中,这可以让攻击者在后端数据库服务器上执行命令,并且可能获得管理员权限。缓冲区溢出攻击是一种利用超出应用程序所能处理的数据量淹没应用程序的攻击,这种攻击可以使攻击者能够在目标系统上执行命令。常见的攻击手段还有跨网站脚本攻击,这种攻击常用在网页模仿攻击中。跨网站脚本攻击有多种形式,包括诱骗用户连接到貌似著名网站上来收集用户信息,或直接接管用户的Web会话。

Fortinet的Web加固安全方案

提到Web安全不得不提到OWASP。OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。OWASP被视为Web应用安全领域的权威参考。2009年发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。美国联邦贸易委员(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则。

OWASP提出的top 10攻击,分别是注入攻击、跨站脚本攻击(XSS)、越权及会话管理、不安全直接对象引入、跨站冒名请求(CSRF)、不当的安全配置、不安全的密码存储、限制URL访问失败、薄弱的传输层保护、未验证的网址重导向,Fortinet针对OWASP提出的TOP10攻击均有对应的解决机制。

除了OWASP发布的Web攻击特性,Fortiweb还包含内置的Web签名库及模板策略引擎,通过Fortiguard云安全服务体系不间断的采集世界各地的Web安全事件,将安全事件出现的攻击特征及趋势还原分布到Fortiweb安全体系中,保证使用Fortiweb的客户Web场景可以有效的抵御新型的Web攻击行为。

Fortiweb在提供行业领先的Web 应用防火墙(WAF)技术之外, FortiWeb 还超越了传统的Web安全设备,可提供XML 安全实现,在少数XML应用场景下也可做到完整应用交互防护。

作为安全解决方案,DDOS和DOS攻击是经常遇到的问题。Fortiweb提供各种基于网络层级应用层的防护,尤为需要提出的是,传统DDOS防护都是基于阈值进行控制,在配置准确度和客户体验度上都不是很令人满意。Fortiweb提出的挑战式Web防护,在不干预服务器端应用的前提下,增加的挑战行为,超出阈值的类DDOS攻击如果无法满足Fortiweb提出的挑战将会被清理,满足挑战的请求行为会被正确转发,把DDOS应用层防护提升到一个新的境界。

Fortiweb作为Fortinet安全产品线的一员,继承了Fortinet硬件架构的特性,使用基于硬件的应用加速及服务器负载均衡等功能,为Web 安全的防护提供了性能及低消耗的保障,在大量复杂配置及海量并发大的情况下,依然保持令人满意的应用转发。

Fortiweb作为Web安全的加固方案,遵循业界对于Web交互过程中出现的攻击行为防护准则,并且考虑到Web服务作为Web攻击的目的地,加强本身的自由的健壮性是必须的,同时也提供了专家级别的Web应用扫描评估引擎,特地在事前对全部Web系统进行完整扫描,并提供合理的修复加固建议。

Fortiweb作为Web安全加固设备,还对Web服务优化提出的相当多的意见,内置的自学习模型,可以有效地分析全站的访问行为,生成访问 baseline。当然,记录的攻击汇总及攻击细节可以辅助网站维护者定制Web加固计划。Fortiweb提供的WIS(web访问趋势分析)可以智能地描绘访问者区域及兴趣内容分布的趋势,通过区域图直观地看到区域热点分布和内容热点点击,更为有效地辅助管理人员建立用户特性研究分析。

综上可知,Fortiweb的安全体系、网络层级应用层的防护及内置的自我学习模型等,能够有效防护诸如数据窃取、DDoS、网页篡改等各种高危害性的网站攻击,全面保障Web站点防护,满足网络用户对于Web安全的需求。