動態(tài)Ｗｅｂ易惹“毒”上身

那　罡

過去,網(wǎng)站的內(nèi)容大多是靜態(tài)的。網(wǎng)站管理員對合法網(wǎng)站上的內(nèi)容進(jìn)行管理,能夠分辨出可信站點(diǎn)和不可信站點(diǎn)。但如今,Web內(nèi)容逐漸趨于動態(tài)化,最終用戶持續(xù)不斷地更新現(xiàn)有內(nèi)容,共享應(yīng)用程序,并通過多種渠道進(jìn)行即時通信。

即使采用最佳的策略制定方法,某些不良內(nèi)容或惡意軟件也會隨時彈出(甚至一些知名網(wǎng)站也會經(jīng)常中招),使公司的重要信息和網(wǎng)絡(luò)暴露于極為危險的環(huán)境之下。

脆弱的Web應(yīng)用

Gartner的調(diào)查顯示,信息安全攻擊有75%都是發(fā)生在Web應(yīng)用層而非網(wǎng)絡(luò)層面上。同時,數(shù)據(jù)也顯示,2/3的Web站點(diǎn)都相當(dāng)脆弱,易受攻擊?？梢哉f,絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上,沒有從真正意義上保證Web業(yè)務(wù)本身的安全,才給了黑客可乘之機(jī)。世界知名的Web安全研究組織OWASP提供的報告稱,目前對Web業(yè)務(wù)系統(tǒng)威脅最嚴(yán)重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。

注入漏洞攻擊特別是SQL注入漏洞,主要是利用目標(biāo)網(wǎng)站程序未對用戶輸入的字符進(jìn)行特殊字符過濾或合法性校驗(yàn),可直接執(zhí)行數(shù)據(jù)庫語句,導(dǎo)致網(wǎng)站存在安全風(fēng)險。

Web程序員在編寫Web系統(tǒng)時對Web的安全性考慮不夠,對用戶輸入的數(shù)據(jù)沒有進(jìn)行有限的驗(yàn)證及過濾,從而會引發(fā)SQL注入漏洞。如果我們的新聞系統(tǒng)或者OA辦公系統(tǒng)出現(xiàn)SQL注入漏洞,那么攻擊者通過構(gòu)造的特殊SQL語句就可以查看、插入、刪除數(shù)據(jù)并可以執(zhí)行主機(jī)的系統(tǒng)命令等,具有很大的危害。

跨站腳本漏洞攻擊指目標(biāo)網(wǎng)站對用戶提交的變量代碼未進(jìn)行有效的過濾或轉(zhuǎn)換,允許攻擊者插入惡意Web代碼(通常是一些經(jīng)過構(gòu)造的JavaScript語句)、劫持用戶會話、篡改網(wǎng)頁信息甚至引入蠕蟲病毒等。

從以往發(fā)生的安全事件來看,Web攻擊可導(dǎo)致的后果極為嚴(yán)重。攻擊者通過上述手段將一個合法正常網(wǎng)站攻陷,并利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁中嵌入惡意代碼,然后將惡意程序下載到存在客戶端漏洞的主機(jī)上,從而實(shí)現(xiàn)攻擊目的。如:盜取各類用戶賬號,包括機(jī)器登錄賬號、用戶網(wǎng)銀賬號、各類管理員賬號,控制企業(yè)數(shù)據(jù),包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù),盜竊企業(yè)重要的具有商業(yè)價值的資料,控制受害者機(jī)器向其他網(wǎng)站發(fā)起攻擊等。

三招防范Web風(fēng)險

鑒于上述對Web常見攻擊的分析,對Web及客戶端的保護(hù)已經(jīng)刻不容緩。聯(lián)想網(wǎng)御的安全專家給出三點(diǎn)建議:

第一,采取源代碼審計與部署入侵防護(hù)系統(tǒng)相結(jié)合的方式解決Web服務(wù)器端安全問題。源代碼審計是經(jīng)過專業(yè)安全人員對Web應(yīng)用程序源代碼進(jìn)行安全性檢查,對程序的輸入輸出函數(shù)進(jìn)行安全測試,最大程度保障Web程序的自身代碼安全,并通過部署入侵防護(hù)系統(tǒng),針對跨站腳本、SQL注入、參數(shù)篡改等Web攻擊方式進(jìn)行的主動防護(hù)。

第二,防范遠(yuǎn)程惡意代碼執(zhí)行漏洞解決Web瀏覽客戶端安全。遠(yuǎn)程惡意代碼執(zhí)行漏洞的原理是:通過構(gòu)造精心設(shè)計的格式錯誤數(shù)據(jù),由攻擊者觸發(fā)系統(tǒng)漏洞,并在客戶端軟件中更改代碼執(zhí)行路徑,來執(zhí)行由攻擊者隨格式錯誤數(shù)據(jù)附帶惡意代碼或程序的利用過程。如果客戶端瀏覽器中存在未修補(bǔ)的惡意代碼執(zhí)行漏洞或0day漏洞,當(dāng)用戶訪問受惡意代碼感染的站點(diǎn)時,該站點(diǎn)會自動在登錄用戶的瀏覽器中運(yùn)行攻擊者的惡意代碼,并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序,如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統(tǒng)后臺漏洞執(zhí)行,所有這一切根本無需任何用戶交互操作。

所以用戶應(yīng)盡量使用已采用常規(guī)堆棧保護(hù)措施版本的Web瀏覽器,來防止基于堆棧和基于堆的緩沖區(qū)溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經(jīng)提供基于數(shù)據(jù)執(zhí)行保護(hù)(DEP)或不執(zhí)行(NX)的內(nèi)存保護(hù)措施,IE8平臺在Internet控制面板選項(xiàng)開啟“啟用內(nèi)存保護(hù)幫助減少聯(lián)機(jī)攻擊”的選項(xiàng)就可以有效防止遠(yuǎn)程代碼攻擊。另外建議用戶部署統(tǒng)一的內(nèi)網(wǎng)管理系統(tǒng),統(tǒng)一對關(guān)鍵應(yīng)用程序和系統(tǒng)補(bǔ)丁進(jìn)行時時監(jiān)控和統(tǒng)一升級,保證客戶端和內(nèi)網(wǎng)安全。

第三,建立統(tǒng)一病毒防護(hù)體系解決木馬問題。建議用戶安裝終端防病毒、防火墻軟件并保持時時更新,開啟入侵防護(hù)系統(tǒng)病毒木馬防護(hù)策略,建立統(tǒng)一病毒防護(hù)體系。如在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)防毒墻,對關(guān)鍵服務(wù)器和客戶端進(jìn)行重點(diǎn)防護(hù),并對其網(wǎng)絡(luò)連接進(jìn)行入侵檢測監(jiān)控,保證安全風(fēng)險在一個可控的范圍內(nèi)。