应用安全必备 Web安全防御分析及产品推荐

  【天极网网络频道】为什么你的Web不安全？

  在本世纪初互联网热潮时期，有一个词曾非常流行，那就是“眼球经济”，网站建好了，人们的目光自然会被吸引过来，这就是互联网的眼球经济。而在八年后的今天，看起来这句话需要加上一句注脚：骇客们的眼球也全被吸引过来了。

  一个系统，当然也包括Web系统在内，其面临的风险是由三个方面决定的：威胁、弱点和价值。

  对Web系统来说，由于一般的网页编码人员没有经过专业的安全培训，很难做到在所有页面中都正确的过滤了违规字符、正确的确保了访问权限，这就造成了Web系统存在各种各样的弱点，比如说SQL注入的漏洞和XSS漏洞。

  Web系统作为一种对外提供服务的业务系统，注定需要面对每天无数次的用户访问，利用系统弱点的威胁无时不在。

  除开这些原因之外，当前Web系统容易遭受攻击，还有一个非常重要的原因：价值。正如太史公在《史记•货殖列传》中所说的“天下熙熙，皆为利来;天下攘攘，皆为利往”，网站承载的价值，是很多骇客们对攻击网站乐此不疲的根源，除了直接从网站获利外，前些日子在江西落网的一名骇客还有新招：攻击卫生厅网站、人事考试网站、建设厅网站获得管理员权限，然后通过贩卖假证来获利。

  而且我们还发现，即使我们可以在代码层面经过严格的检验，杜绝一切可能的代码缺陷，在应用层面上，可以对所有访问者都进行严格的控制，避免任何威胁的可能，也无法降低系统的资产价值到零，完全避免风险的产生。相反的，随着应用系统Web化进程的推进，Web系统将承载越来越多的价值，而Web业务防御也将越来越被人们所重视。

  Web威胁和防御的发展

  回过头来，我们回顾一下Web威胁的发展历程，一并也回忆一下相应的解决方案。

  早期的Web业务，一般仅承担信息发布的作用，常见的攻击行为就是篡改网站页面，所以其防护措施也相对简单。网页防篡改系统就是这个时期的Web防御代表产品。其工作原理是：将所有发布的信息都备份，并开启watchdog监视网页文件，一旦被修改就和备份数据进行对比，如果不同则恢复。这种方案无视攻击类型，部署也相对简单，但应用范围相对狭小，仅能适用于静态页面。

  随着动态页面技术的广泛应用，Web业务进入了一个新的阶段，基于静态文件防护的网页防篡改系统的应用范围缩小了，虽然攻击者最常见的攻击手段还是替换网页，但已经很难单纯用网页防篡改系统来进行保护了，这个阶段最常见的Web防御措施就是防火墙+入侵检测产品，并设置两者的联动：入侵检测产品发现针对Web系统的攻击行为，通知防火墙进行阻断。这种方案不受Web系统的架构影响，但用户必须购买可以相互配合使用的防火墙和入侵检测产品。

  到了Web2.0的时代，Web系统的交互性不断加强，出现了像SQL注入、XSS这种可实现“瞬间”攻击的方法，在这种情况下，防火墙+入侵检测联动的解决方案不起作用了，网页防篡改系统也由于Web系统的数据库处在一直不断更新的状态下而无法发挥作用。Web业务安全防御需要有一种能“实时”切断攻击的应用级解决方案。

  Web安全产品

  针对“实时”切断攻击的应用级解决方案需求，安全界提出了这样的解决思路：

  基于自动学习功能的application firewall。这种方案和网页防篡改系统有一点共通点：不关心某一个具体的攻击行为，从行为框架上防御攻击行为。application firewall通常需要一到两周的数据学习期，在这个期间需要给application firewall提供“干净”的数据流量，application firewall将记录并分析这些“干净”的数据，建立一个正常数据模型。在产品的正式工作期间，所有不在正常数据模型内的访问都将被视作异常而予以阻断，并不判断其到底属于什么攻击行为。