Web 已成為備受矚目的攻擊媒介,而 Web 安全對(duì)于確保企業(yè)的業(yè)務(wù)安全至關(guān)重要。
如今黑客行為是一個(gè)公認(rèn)的行業(yè),而犯罪企業(yè)比以往任何時(shí)候都更加復(fù)雜且聯(lián)系更加緊密。攻擊一直在不斷變化,其破壞力正變得越來(lái)越大,而且更加難以檢測(cè)。
一、當(dāng)今一些最危險(xiǎn)的基于 Web 的威脅包括:
1.“水坑”攻擊,可利用惡意軟件感染受信任的網(wǎng)站來(lái)危害最終用戶。
2.魚(yú)叉式網(wǎng)絡(luò)釣魚(yú),不法分子誘騙一個(gè)特定的用戶,并引誘 他們點(diǎn)擊有害鏈接。
3.下載的惡意程序攻擊,可轉(zhuǎn)發(fā)帶有鬼鬼祟祟自刪除程序的惡意軟件。
二、一個(gè)全面的 web安全解決方案,其中必須包含這五項(xiàng)必備要素
1.在攻擊前、中、后提供全程保護(hù)
在今天的威脅的情況下,安全邊界已經(jīng)擴(kuò)展到云中,數(shù)據(jù)已經(jīng)成為主要的攻擊目標(biāo),網(wǎng)絡(luò)勢(shì)必會(huì)受到威脅。因此,組織必須使用可被用來(lái)在可能的解決方案,以各種各樣的攻擊源的威脅的任何地方運(yùn)行的解決方案:網(wǎng)絡(luò)、終端設(shè)備、移動(dòng)設(shè)備、和虛擬環(huán)境。
2.靈活的部署選項(xiàng)
為了真正有效,值得信賴的安全解決方案必須與現(xiàn)有基礎(chǔ)架構(gòu)集成,并減少了對(duì)“一鍵切換到”基礎(chǔ)設(shè)施和技術(shù)。它也有必要適應(yīng)公司的發(fā)展和變化,并擴(kuò)大,從而提供保護(hù)的匹配級(jí)別。
3.保護(hù)敏感數(shù)據(jù),并防止其脫離組織的控制
研究表明,該組織可能無(wú)法阻止所有的惡意軟件進(jìn)入其網(wǎng)絡(luò)。然而,現(xiàn)代的內(nèi)容安全解決方案有助于降低關(guān)鍵數(shù)據(jù)意外事故的概率,或故意在網(wǎng)絡(luò)之外。公司需要能夠掃描所有入站和出站網(wǎng)絡(luò)流量的新的和現(xiàn)有的惡意軟件,并能夠使用基于信譽(yù)和行為動(dòng)態(tài)分析來(lái)分析每個(gè)網(wǎng)站內(nèi)容的訪問(wèn)。
4.通過(guò)可靠的控制來(lái)降低風(fēng)險(xiǎn)
今天的組織需要以先進(jìn)的動(dòng)態(tài)Web內(nèi)容和應(yīng)用為所有用戶,無(wú)論用戶所在。
在今天的Web 2.0的世界里,以防止該網(wǎng)站是既不實(shí)際也不現(xiàn)實(shí) - 但它可以阻止功能。提供應(yīng)用可視性和可控的內(nèi)容安全解決方案可以幫助管理員創(chuàng)建和實(shí)現(xiàn)包含嵌入式應(yīng)用站點(diǎn)內(nèi)的詳細(xì)戰(zhàn)略,并不會(huì)影響到員工的工作效率或增加IT資源的負(fù)擔(dān)。
復(fù)雜的內(nèi)容安全解決方案,不僅識(shí)別該應(yīng)用程序,但也確定微應(yīng)用及其分類,管理員可以容易地允許或拒絕訪問(wèn)應(yīng)用程序的相關(guān)部分。
5.快速識(shí)別零日攻擊并進(jìn)行補(bǔ)救
威脅比以往任何時(shí)候都更加動(dòng)態(tài)和高級(jí)了。惡意軟件變得越來(lái)越復(fù)雜,難以捉摸。和有針對(duì)性的攻擊,他們執(zhí)行任務(wù)的日益猖獗,固執(zhí)地藏身之地。
要確定就需要大量的數(shù)據(jù)分析,零日攻擊,可以檢查用戶和流量的數(shù)據(jù)隨著時(shí)間的推移和識(shí)別可疑行為。
如果威脅防御的第一道防線被識(shí)別,該組織需要有追溯,從而扭轉(zhuǎn)時(shí)間并消除惡意軟件在所有受感染的設(shè)備的能力。
三、應(yīng)用web安全網(wǎng)頁(yè)防篡改軟件
網(wǎng)頁(yè)篡改是指不法攻擊者在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)通過(guò)網(wǎng)絡(luò)中間人攻擊、惡意代碼注入等方式,對(duì)服務(wù)器上的網(wǎng)站程序或者文件進(jìn)行了非法修改,從而改變?cè)季W(wǎng)頁(yè)的內(nèi)容的一種攻擊。此外,他還可以劫持客戶端的HTTP或者HTTPS網(wǎng)絡(luò)請(qǐng)求,并將受攻擊客戶端用戶重定向到篡改網(wǎng)頁(yè)上去。
網(wǎng)頁(yè)篡改可以分為兩大類:一是客戶端攻擊,即請(qǐng)求違規(guī)鏈接或執(zhí)行惡意JAVAscript腳本;二是服務(wù)端攻擊,也就是說(shuō),黑客可以通過(guò)在網(wǎng)站服務(wù)器上執(zhí)行惡意代碼,來(lái)獲取服務(wù)器上的網(wǎng)頁(yè)文件,并進(jìn)行篡改。
客戶端攻擊:當(dāng)一個(gè)不良用戶實(shí)施網(wǎng)頁(yè)篡改時(shí),通常會(huì)要求客戶端訪問(wèn)者在瀏覽的網(wǎng)頁(yè)上打開(kāi)特定的鏈接。此外,他還可以利用計(jì)算機(jī)病毒或惡意軟件,注入惡意的漏洞腳本,從而篡改客戶端的網(wǎng)頁(yè)內(nèi)容。
服務(wù)端攻擊:服務(wù)端攻擊通常使黑客在服務(wù)器端執(zhí)行惡意指令,修改網(wǎng)站文件,更改網(wǎng)站功能或插入新的網(wǎng)頁(yè)內(nèi)容。服務(wù)端攻擊還可以用來(lái)獲取服務(wù)器上敏感信息,包括服務(wù)器密碼、數(shù)據(jù)庫(kù)信息、賬戶憑證和機(jī)密文件等。
針對(duì)網(wǎng)頁(yè)篡改的防御:
1、應(yīng)用安全測(cè)試。因?yàn)榫W(wǎng)頁(yè)篡改多是由惡意代碼帶來(lái)的,而惡意代碼的進(jìn)入最常用的方式就是通過(guò)漏洞的攻擊,所以應(yīng)該在應(yīng)用開(kāi)發(fā)完成后,用專業(yè)的安全測(cè)試技術(shù)來(lái)檢測(cè)應(yīng)用是否含有任何漏洞。
2、專業(yè)建站。在使用網(wǎng)站時(shí),應(yīng)使用專業(yè)的建站工具,如用JSP、ASP等服務(wù)器端腳本語(yǔ)言建站時(shí),要使用框架(如struts、lucene等),同時(shí)應(yīng)鎖定框架的安全隱患。
3、使用可信的網(wǎng)關(guān)。可信的網(wǎng)關(guān)如firewall等,可以在數(shù)據(jù)進(jìn)入服務(wù)器前,篩選其中的非法數(shù)據(jù),阻止來(lái)自不安全源的數(shù)據(jù)攻擊。
4、充分保護(hù)日志。這是因?yàn)榫W(wǎng)頁(yè)篡改的診斷和分析最重要的步驟之一就是通過(guò)網(wǎng)站日志分析,所以必須加強(qiáng)網(wǎng)站日志的安全,充分保護(hù)日志把控系統(tǒng),避免網(wǎng)頁(yè)篡改所造成的損失。
四、市場(chǎng)上網(wǎng)頁(yè)防篡改產(chǎn)品的技術(shù)分析
防篡改產(chǎn)品 最早期的技術(shù)為外掛輪詢技術(shù),即通過(guò)一個(gè)程序不斷逐個(gè)去檢查文件是否有變化。會(huì)大量持續(xù)占用系統(tǒng)資源。技術(shù)已經(jīng)被淘汰,不建議中型以上網(wǎng)站使用。
事件觸發(fā)技術(shù)作為防篡改的一種技術(shù)方式,是對(duì)文件狀態(tài)的一種監(jiān)控技術(shù)。相對(duì)來(lái)說(shuō)事件觸發(fā)技術(shù)在監(jiān)控進(jìn)程存在的情況下能阻止篡改行為。
核心內(nèi)嵌技術(shù)作為防篡改的另一種技術(shù)方式是對(duì)于文件出口的檢測(cè)。對(duì)一些小眾化的web應(yīng)用中間件可能存在兼容問(wèn)題。
內(nèi)核驅(qū)動(dòng)技術(shù) 作為目前防篡改的新興技術(shù) 其技術(shù)核心就是模擬驅(qū)動(dòng)程序監(jiān)測(cè)文件系統(tǒng)的變化 把文件操作事件獨(dú)立出來(lái)進(jìn)行限制和阻斷。針對(duì)的目標(biāo)為文件入口,優(yōu)點(diǎn)是獨(dú)立于系統(tǒng)之外,更難以繞過(guò)。
目前通過(guò)國(guó)家GB/T 29766 產(chǎn)品還在使用的技術(shù)大部分為事件觸發(fā) II、III、核心內(nèi)嵌和內(nèi)核驅(qū)動(dòng) 技術(shù) 部分基礎(chǔ)級(jí)產(chǎn)品有使用外掛輪詢技術(shù)的。
