介绍

Web信息系统各种安全问题潜伏在Web系统中,Web系统的时时刻刻遭受各种攻击的安全威胁。现在大多数的企业已经意识到Web信息系统的安全威胁,采取了众多安全措施,花费大量的人力物力在网络及服务器的安全上,为什么信息系统还是得不到真正的安全呢?


WAF防护


1、网站安全防护的主要功能:漏洞攻击防护:网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。

虚拟补丁:网站安全防护可提供0Day,NDay漏洞防护。当发现有未公开的0Day漏洞,或者刚公开但未修复的NDay漏洞被利用时,WAF可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁,抵挡黑客的攻击,防护网站安全。

2、网站安全防护系统特点:实时防护:网站安全防护可以实时阻断黑客通过web漏洞试图入侵服务器、危害用户等恶意行为;可以实时屏蔽恶意扫描程序爬虫,为您的系统节省带宽和资源。

3、网站安全防护的用途:提供安全保护:网站安全防护(WAF) 专门保护网站免受黑客攻击,能有效阻挡黑客拖库、恶意扫描等行为;同时在0 day漏洞爆发时,可以快速响应,拦截针对此类漏洞的攻击请求。

防护漏洞攻击:网站安全防护(WAF)目前可拦截常见的web漏洞攻击,例如SQL注入,XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。

4、网站安全防护的工作原理:网站安全防护(WAF)基于对http请求的分析,如果检测到请求是攻击行为,则会对请求进行阻断,不会让请求到业务的机器上去,提高业务的安全性,为web应用提供实时的防护。


企业的Web安全现状:

现在据调查统计75%网络攻击行为都来自于Web应用层面而非网络层面,同时调查表明国内有近大于50%的站点存在各种Web层面的安全问题。现在很多的企业给自己的网络应用了入侵检测系统、网络防火墙、VPN、网络防病毒系统等,为什么还得不到真正的安全呢?我们应用了诸多的安全设备,但是我们的Web服务还是要外开放的,也就是说80、443端口还是要开放的。80及443即是Http及Http服务的端口,只要你的Web服务开放,那么与Web服务通讯的信息,有些是正常的访问,有些是带有攻击行为的访问,Web系统无法判断那些访问是恶意的访问,所有你的Web系统就会出现诸多Web层面的安全问题。

现在企业的Web信息系统大多为新闻、留言版、邮件、Blog、论坛、OA及其它应用系统,试想一下这些多的Web信息系统没有安全漏洞的吗?目前关于Web信息系统出现的漏洞最多最严重的漏洞就是SQL Injection、XSS跨站安全漏洞。

SQL Injection漏洞

SQL Injection,中文名称为“SQL 注入”是一种数据库攻击手段,也是Web应用程序漏洞存在的一种表现形式,它的实际意义就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。

Web程序员在编写Web系统时对Web的安全性考虑不够,对用户输入的数据没有进行有限的验证及过滤,从而会引发SQL注入漏洞。如果我们的新闻系统或者OA办公系统出现SQL注入漏洞,那么攻击者通过构造的特殊SQL语句就可以查看、插入、删除数据的的数据及可以执行主机的系统命令等具有很大的危害。

SQL注入攻击具有如下特点:

(1)web  sql 注入种类繁多:

按数据库分类就有:

Access、MsSql、Oracle、Informix 、DB2、Sybase 、PostgreSQL 、SQLite 数据库注入,几乎包含了所有的主流数据库。

按程序语言分类就有:

ASP、ASPX、JSP、PHP、CGI、PL注入,也几乎包含了所有Web编程语言。

按程序提交数据方式分类就有:

GET注入、POST注入、Cookies注入等。

这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。

(2)攻击过程简单,目前互联网上流行众多的SQL注入攻击工具,攻击者借助这些工具可很快对目标Web系统实施攻击和破坏。

(3)危害大,由于Web编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少,大多数Web业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功,可以对控制整个Web业务系统,对数据做任意的修改数据、甚至删除整个数据库,给企事业单位带来毁灭性的灾难。

(4)SQL攻击语句多样性

就SQL注入攻击语句大小写混淆、部分攻击语句url编码性、部分攻击语句16进制编码等编码格式、就空格字符就可以用“+”“、“/**/”、“%09”、“[TAB]空格”字符来代替空格。

XSS 跨站漏洞

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

XSS 漏洞的特点:

(1)XSS跨站漏洞种类多样性:

XSS攻击语句可插入到、URL地址参数后面、输入框内、img标签及DIV标签等HTML函数的属性里、Flash的getURL()动作等地方都会触发XSS漏洞。

(2)XSS跨站漏洞代码多样性:

为了躲避转义HTML特殊字符函数及过滤函数的过滤,XSS跨站的代码使用“/”来代替安字符“””、使用Tab键代替空格、部分语句转找成16进制、添加特殊字符、改变大小写及使用空格等来绕过过滤函数。

如果在您的新闻系统发现安全漏洞,如果该漏洞是一个SQL 注入漏洞,那么该漏洞就会得到您的网站管理员密码、可以在主机系统上执行shell命令、对数据库添加、删除数据。如果在您的新闻或邮件系统中发现安全漏洞,如果该漏洞是一个XSS跨站漏洞,那么可以构造一些特殊代码,只要你访问的页面包含了构造的特殊代码,您的主机可能就会执行木马程序、执行盗取Cookies代码、突然转到一个银行及其它金融类的网站、泄露您的网银及其它账号与密码等。

现在Web业务系统的安全防护意见不统一,最早我们以为使用了防火墙关闭了危险端口、安装了杀毒软件我们的信息系统将会很安全。现在随着企业对信息安全重示及关主度的提高,开始为自己的信息安全部署入侵预防系统(IPS: Intrusion Prevension System)来提高信息系统的安全性,由于技术等各方面因素制约,IPS并不能100%正确分析入侵行为,从而可能会阻断有用信息,导致业务系统的客户获取信息不全,因此不适用于对数据完整性有较高要求的场合。因IPS存在的一定的误报性,所以一些企业会把IPS的高危险策略的动作由阻断改为忽略。IPS的检测技术流程是攻击者向我们服务器提交恶意的代码时,我们的IPS会做它做出一个动作是阻断还是放行,只有攻击者在向我们服务器进行攻击时我们才IPS才会做出动作,所以我们不能真正了解目前我们的Web信息系统的安全状态,我们信息系统的安全一直处在被动的状态。我们的信息系统同样得不到真正的安全,那怎么来保护我们信息系统的安全呢?

主动出击防护您的信息系统

联想网御安全服务部成立多年来,一直关注于国内信息安全的发展趋势,目前,应用安全已经成为信息安全中的重点。应用系统是客户的业务、生产系统的基本组成,应用系统安全才是客户目前都迫切解决的安全。针对目前客户所面临信息安全的状况,联想网御把以往的安全服务项目做了一个针对性的调整,推出了“Web应用安全服务” 。

“Web应用安全服务”是针对客户的Web应用系统首先由专业渗透测试工程师对Web应用系统进行渗透测试;具有安全编程的工程师对Web源代码进行安全审计;对客户的网络环境进行安全评估;最后把渗透测试、源代码审计、网络评估的安全加固,做出一个全面有针对性的安全加固方案。全面对主机系统、Web应用服务器、网络设备进行安全加固,保证客户的Web应用安全,使客户安全放心使用信息系统。
评价
响应 96%
96% Complete
完成度 99%
99% Complete
好评 90%
90% Complete