上海天存信息技术有限公司 首页 产品中心 服务中心 技术中心 关于天存  
产品中心
iWall应用防火墙
应用安全
产品概况
产品功能
产品特点
产品型号
市场销售

■ 应用安全

来自Web的攻击

危险的Web系统

现代的信息系统,无论是建立对外的信息发布平台,还是建立内部的业务应用系统,都离不开Web网站和Web应用。Web方式不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台,可以预计在相当长的一段时间内,Web方式是网络应用的最主要方式之一。

但是,随着网络技术的普及和发展,Web应用越来越多,使用对象越来越广泛,系统功能越来越复杂,而与此同时,针对Web网站和应用的攻击越来越多。仅从公开的媒体报导我们就能知道,以下针对Web网站和应用的安全事件全世界每天都在发生着:

  • 非法上传网页;
  • 篡改网页;
  • 篡改数据库;
  • 非法执行命令;
  • 窃取脚本源程序;
  • 窃取系统信息;
  • 窃取用户信息;
  • 绕过身份认证;
  • 跨站提交虚假信息;
  • 网站资源盗链;
  • 拒绝服务攻击。

这些攻击行为极大地影响了信息系统的正常运行,如果是恶意攻击还会导致数据泄密、服务停止和公众信息的混乱,后果极为严重。

Web应用层攻击

传统的网络攻击是扫描攻击对象的网络地址和端口,针对某些未屏蔽和未加固的端口的缺陷进行攻击。随着近年来大家对信息管理的重视,以及防火墙和入侵检测系统等安全产品的大量运用,这种方式渐渐失去了攻击的效果。

但是,对于Web网站和应用来说,有一个地址永远是开放的:网站或应用地址;有一个端口也永远是开放的:http端口。而大量的攻击者正是利用了这个地址和这个端口。据Gartner调查显示,现在的网络攻击有75%都是针对Web应用层发起的。

另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的端口都必须处于开放状态。”

目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。

Web漏洞

Web应用层漏洞只有小部分可以通过系统管理员给Web服务器打补丁来防范,而其余大部分都是Web应用程序本身编写不当而带来的漏洞。

下面是部分常见的Web应用层漏洞或攻击方法:

  • SQL数据库注入漏洞;
  • 脚本源代码泄露漏洞;
  • 非法执行命令
  • 非法执行脚本;
  • 上传假冒文件;
  • 跨站脚本漏洞;
  • 不安全的本地存储;
  • 网站资源盗链。

在实际情形中,不可能让所有程序员在编写所有Web应用程序时都注意防范这些漏洞,况且部分漏洞是应用程序无法防范的。而对于一个网站而言,仅仅一个应用系统的一个代码编写者造成了一个漏洞就可能导致整个网站甚至整个信息系统的不安全,因此,Web网站和应用系统的安全必须要有专门的安全产品来保障。

网络安全设备

防火墙

网络防火墙提供网络层访问控制和攻击保护服务。它们统一部署在网络边界和企业内部重要资源(例如 Web应用)的前端。网络防火墙是整个Web应用安全体系结构的一个组件,它可提供必要的保护以防御网络层黑客攻击(网络扫描、telnet 等)。网络防火墙还可形成一道屏障,以阻止蠕虫通过一些不需要的端口和协议从企业桌面网络传播到Web应用。

但是,网络防火墙规则集必须允许重要协议(如HTTP/HTTPS)不受限制地访问Web应用,即完全向外部网络开放HTTP/HTTPS应用端口。如果攻击代码被嵌入到Web通信中,则从协议角度来看这些通信是完全合法的,而此时网络防火墙对此类攻击没有任何的保护作用。例如,红色代码和尼姆达等Web应用蠕虫可以通过符合协议的Web通信轻松地穿透网络防火墙。与此相似,SQL注入和跨站点脚本这两种有针对性的Web应用攻击也是借助符合协议的Web通信来实现的,它们都可以完全不被发现地穿过网络防火墙。

基于网络防火墙的工作原理,只要攻击是通过普遍许可的应用程序协议进行的,则网络防火墙就不起任何作用了。

入侵检测系统

目前最成熟的入侵检测技术就是攻击特征检测。入侵检测系统首先建立一个包含目前大多已知攻击特征的数据库,然后检测网络数据中的每一个报文,判断是否含有数据库中的任何一个攻击特征,如果有,则认为发生的响应是攻击,否则认为是合法的数据。

入侵检测系统作为防火墙的有利补充,加强了网络的安全防御能力。入侵检测技术同样工作在网络层上,对应用协议的理解和作用存在相当的局限性,对于复杂的http会话和协议更是不能完整处理。另外就是其技术实现的矛盾,如果需要防御更多的攻击,那么就需要很多的规则,但是随着规则的增多,系统出现的虚假报告(对于入侵防御系统来说,会产生中断正常连接的问题)率会上升,同时,系统的效率会降低。

应用安全防护系统

由前面的描述可以看出,传统安全设备仅仅工作在网络层上,并不能精确理解应用层数据,更无法结合Web系统对请求进行深入分析,因而无法防止黑客针对Web应用漏洞进行的攻击。
在大量而广泛的Web网站和Web应用中,需要采用专门的Web安全防护系统来保护Web应用层面的安全,上海天存信息技术有限公司研制和生产的iWall应用防火墙就是这样一款Web应用防护产品。

 © 上海天存信息技术有限公司,2002-2007  法律条款    联系我们