【51CTO.com綜合報道】在Web信息系統高速發展的今天，Web應用服務已經成為當前互聯網最為流行的業務。大量的在線應用業務都依托于Web服務進行的同時，Web信息系統也面臨著各種各樣的安全問題。根據國家計算機網絡應急技術處理協調中心（簡稱CNCERT/CC）2011年8月8日-8月14日的統計報告，在此期間被篡改網站數量為575個，較上周環比大幅增加約29.2%。網站被篡改數量最多的仍是.com和.com.cn域名類網站，其中.gov.cn域名類網站有88個（占境內約15%）。

Web的開放性豐富了我們的信息資源、拓展了我們的工作方式，也讓更多的核心業務日漸暴露在各種危險中。面對越來頻繁的Web安全威脅，信息安全行業領軍企業網御星云通過對Web應用多種攻擊方式的深入研究，以及對傳統解決方案的透徹分析，推出了網御星云Web應用安全“套餐”，全方位保障互聯網安全。

圖：Web應用的多種攻擊方式

一、Web應用的多種攻擊方式

 Ø攻擊Web平臺

Web平臺面臨的安全問題是方方面面的，主要可概括為以下四個方面：

1）操作系統、后臺數據庫的安全問題：這里指操作系統和后臺數據庫的漏洞，配置不當，如弱口令等等，導致黑客、病毒可以利用這些缺陷對網站進行攻擊。

2）Web發布系統的漏洞：Web業務常用的發布系統，如IIS、Apache等，這些系統存在的安全漏洞，給入侵者可乘之機。

3）Web應用程序的漏洞：主要指Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的問題，使得黑客能夠利用這些漏洞發起對網站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4）自身網絡的安全狀況：網站服務器所處的網絡安全狀況也影響著網站的安全，比如網絡中存在的DoS攻擊等，也會影響到網站的正常運營。

 Ø攻擊Web認證

帳號口令攻擊方式：主要是通過猜解、探索有用的組合，從而獲取目標站點的部分或全部的控制權。有手工猜解帳號口令和工具暴力破解兩種方式。

Cookies攻擊方式：通過改變cookies中的數據，攻擊者就可以訪問用戶的帳戶；也可以通過竊取用戶的cookie訪問用戶的帳戶。

 Ø攻擊Web數據存儲

這種攻擊主要是通過web與數據庫的交互漏洞，來獲取數據庫的訪問、操作、控制權限的。通常可以達到：(1)水平權限提升：得到同級別用戶的信息。(2)垂直權限提升：得到高級別用戶的信息。(3)任意文件存取：取得web站點目錄以外的未被授權的文件或數據。

 ØWeb溢出攻擊

緩沖區溢出是惡意的用戶向服務器發送大量數據以使系統癱瘓的典型攻擊手段。。該系統包括存儲這些數據的預置緩沖區。如果所收到的數據量大于緩沖區，則部分數據就會溢出到堆棧中。如果這些數據是代碼，系統隨后就會執行溢出到堆棧上的任何代碼。Web應用緩沖區溢出攻擊的典型例子也涉及到HTML文件。如果HTML文件上的一個字段中的數據足夠的大，它就能創造一個緩沖器溢出條件。

Ø 攻擊Web應用程序

Web服務器提供大量的接口來支持內容管理、服務管理、配置等，這就造成大量的交互接口，每個接口都存在被攻擊的可能。如：telnet、ssh、ftp等連接管理私有管理端口。

安全隱患主要體現在：(1)telnet、ssh、ftp等連接管理；(2)私有管理端口；(3)緩沖區溢出，frontpage vsrad、webdav等；(4)基于web的管理產品：cisco網絡設備、foundry網絡交換設備等。

Ø Web客戶端攻擊

Web客戶端攻擊主要是通過瀏覽器、E-mail等攻擊載體實現攻擊的，可以分為如下三種方式：(1)動態內容攻擊：主要是通過構建瀏覽器可以解釋的小規模可執行程序或腳本代碼，將其下載到本地執行，產生攻擊行為。(2)跨站腳本攻擊：該攻擊主要是不恰當的服務端輸入檢查，從而允許客戶端瀏覽器解釋腳本命令。(3)Cookies劫持：通過獲取別人的cookies資料來獲取真正web訪問者的web身份，從而收集相關敏感信息。

Ø 拒絕服務攻擊

分布式拒絕服務（DDoS）攻擊對獲取任何聯機應用程序和透過公共因特網提供的服務構成嚴重的威脅。這些攻擊主要針對web站點、DNS服務、電子商務應用程序、VoIP 服務、聯機游戲和金融服務而發動，其阻止客戶訪問這些應用程序，給運行這些應用程序的企業和公司造成嚴重的經濟損失。

二、傳統的Web防護解決方案

Ø 防火墻解決方案

在傳統的安全產品中，防火墻主要工作在四層以下，主要是基于包檢測技術，不能實現對HTTP協議的精細控制。比如對應用層的SQL注入、XSS攻擊這種基于應用層構建的攻擊，防火墻束手無策，甚至是基于特征匹配技術的檢測產品，也由于這類攻擊特征不唯一性，不能精確阻斷攻擊。

Ø 防病毒產品解決方案

防病毒產品不僅對Web應用程序中的漏洞難以識別，而且對網頁中存在的惡意代碼（網頁木馬）更是束手無策。

 ØIPS解決方案

IPS僅是對HTTP數據包有效負載的檢測分析，并不能將所有的數據包還原組裝成數據流或具體的內容進行基于關鍵字或具體內容的檢測分析與特征提取，并且IPS主要是靜態的特征匹配，針對Web應用交互中動態頁面中的相關內容沒有固定特征，因此IPS很難防范此類攻擊，并且IPS也不保持會話信息，很多與會話有關的攻擊，比如Cookie篡改、會話劫持，IPS都不能較好的進行防護。總之，Web應用攻擊之所以與其他攻擊不同，是因為它們很難被發現，而且可能來自任何在線用戶，甚至是經過驗證的用戶。

Ø單一Web安全防護產品解決方案

單一的Web安全防護工具不能對Web應用進行全方位的保護，因為來自Web的攻擊是多方面的，他們可利用系統及應用的漏洞攻擊，破壞Web認證及會話，甚至可直接對數據存儲進行攻擊。如Web防火墻在沒有漏洞掃描、滲透測試的情況下，制定的防護策略就顯得捉襟見肘，也不具備數據庫備份及審計功能，針對Web應用保護更不能提前預警。所以，傳統的安全解決方案和單一的防護工具不能真正保障Web應用安全。

三、網御星云互聯網Web應用整體防護套餐

網御星云互聯網Web應用防護解決方案分為基本防護、增強防護、專業防護3種套餐，可根據事前評估、滲透、對抗演練，事中采用產品進行加固、安全巡檢，事后審計進行攻擊變異分析來時時調整安全策略，整體來保障Web應用安全。

1.基本級防護

基本級防護套餐：針對Web應用威脅進行風險綜合評估分析，根據掃描及評估的結果有選擇的部署WAF、IDS、網頁防篡改安全產品，同時進行實時的網站掛馬的監控。

防護工具包括：1、Web威脅掃描2、WAF、IDS、網頁防篡改3、網站掛馬監控。

2.增強級防護

增強及防護套餐：具備基本防護套餐功能，同時針對數據安全進行防護，并對相關日志進行審計。

防護工具包括：1、Web威脅掃描2、WAF、IDS、網頁防篡改3、網站掛馬監控4、數據安全（網閘）5、數據庫審計6、統一安全管理。

3.專業級防護

專業級防護套餐：可進行事先的掃描、源代碼評估及滲透測試，并制定安全加固方案，部署WAF、IDS、網頁防篡改產品防護Web應用安全，同時針對Web的數據安全、應用安全、異常流量等方面進行全面保護與管理，并具備實時的網站掛馬監控、審計及全網設備的統一管理。

防護工具包括：1、Web威脅掃描；2、源代碼評估及滲透測試；3、安全加固；4、WAF、IDS、網頁防篡改；5、數據安全（網閘）；6、應用安全（APM）；7、網站掛馬監控；8、Guard；9、審計；10、統一安全管理。

圖：網御互聯網Web應用整體防護

針對Web應用安全威脅，我們需要整體防御解決方案。傳統的安全產品及單一的防護工具不能全面的防護安全威脅，應該從事先的掃描、源代碼評估及滲透測試中制定安全加固方案，根據需要進行WAF、IDS、網頁防篡改、網閘（數據安全）、APM（應用監控）、Guard（異常流量管理）等產品的防御部署，結合實時的網站掛馬監控、審計及全網設備統一管理來整體提高Web應用防護威脅的能力。網御推薦的套餐根據防護級別分為基本級、增強級、專業級，實際用戶可直接套用，并且還可根據自己的安全威脅情況進行重新組合。不管采用哪種防范策略，整體的防護解決方案會使Web應用威脅防御能力成倍提高。

網御星云公司在信息安全領域擁有眾多核心技術，先后申請發明專利近40項，軟件著作權近30項。主營業務涵蓋網絡邊界安全防護、應用與數據安全防護、全網安全風險管理等方面。主要產品包括防火墻、UTM、IPSec VPN、防病毒網關、IPS、SSL VPN安全接入網關、web應用安全防護系統、安全數據交換、IDS、異常流量管理、流量優化網關、安全審計、安全管理共計13大類500余款產品，其中包括網絡安全旗艦產品金剛萬兆安全網關和應用安全旗艦產品SSL VPN，是國內信息安全產品線最為豐富的企業。