什么是 Web安全?Web应用漏洞的防御实现
什么是 Web安全?
Web安全是计算机术语。随着Web2.0、社交网络等一系列新型的互联网产品诞生问世,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的窥探,接踵而至的就是Web安全威胁的凸显。
黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
Web安全的现状及原因
目前,很多业务都依赖于互联网,无论是网上银行、网上购物、还是网络 游戏 等,恶意攻击者们出于各种不良目的,对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是如此,Web业务平台最容易遭受攻击。
而针对Web服务器的攻击也是五花八门,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
一方面,由于TCP/IP的设计是没有考虑安全问题的,网络上传输的数据是没有任何安全防护。攻击者们可利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。
而应用层面的软件在开发过程中也没有过多考虑到安全的问题,这使得程序本身存在很多漏洞,诸如缓冲区溢出、SQL注入等等流行的应用层攻击,这些都属于在软件研发过程中疏忽了对安全的考虑所致。
另一方面,个人用户由于好奇心,被攻击者利用木马或病毒程序进行攻击,攻击者将木马或病毒程序捆绑在一些诱人的图片、音视频或免费软件等文件中,然后将这些文件置于某些网站当中,再引诱用户去单击或下载运行,或通过电子邮件附件和QQ、MSN等即时聊天软件,将这些捆绑了木马或病毒的文件发送给用户,让用户打开或运行这些文件。
Web安全的三个细分
Web安全主要分为:1、保护服务器及其数据的安全。2、保护服务器和用户之间传递的信息的安全。3、保护Web应用客户端及其环境安全这三个方面。
Web应用防火墙
Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件,具有其独特性。Web应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;
需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为Web开发比较简单,缺乏经验的开发者也可以胜任。
Web应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。
然而,多数网站的实际情况是:大量早期开发的Web应用,由于 历史 原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。
这种现状,专业的Web安全防护工具是一种合理的选择。WEB应用防火墙(以下简称WAF)正是这类专业工具,提供了一种安全运维控制手段:基于对HTTP/HTTPS流量的双向分析,为Web应用提供实时的防护。
Web应用漏洞的防御实现
对于常见的Web应用漏洞,应该从3个方面入手进行防御:
1、对 Web应用开发者而言
大部分Web应用常见漏洞都是在Web应用开发中,由于开发者没有对用户输入的参数进行检测或者检测不严格造成的。所以,Web应用开发者应该树立很强的安全意识,开发中编写安全代码;
对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制,只接受一定长度范围内、采用适当格式及编码的字符,阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码,可以消除绝大部分的Web应用安全问题。
2、对Web网站管理员而言
作为负责网站日常维护管理工作Web管理员,应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁,确保攻击者无法通过软件漏洞对网站进行攻击。
除了软件本身的漏洞外,Web服务器、数据库等不正确的配置也可能导致Web应用安全问题。Web网站管理员应该对网站各种软件配置进行仔细检测,降低安全问题的出现可能。
此外,Web管理员还应该定期审计Web服务器日志,检测是否存在异常访问,及早发现潜在的安全问题。
3、使用网络防攻击设备
前两种都是预防方式,相对来说很理想化。在现实中,Web应用系统的漏洞仍旧不可避免:部分Web网站已经存在大量的安全漏洞,而Web开发者和网站管理员并没有意识到或发现这些安全漏洞。
由于Web应用是采用HTTP协议,普通的防火墙设备无法对Web类攻击进行防御,因此需要使用入侵防御设备来实现安全防护。