当前,互联网上的黑客攻击越来越多地集中在应用层的各种开放服务上,特别是企业和机构纷纷将应用迁移到Web服务平台,随之而 来的是针对Web服务器的入侵攻击,如利用SQL注入攻击完成诸如更换Web网站主页,盗取管理员密码,破坏整个网站数据等恶意行为 尤为突出。面对Web威胁,网站安全该如何做?你的网站需要什么样的web应用安全解决方案,才能固若金汤?
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!
本期门诊特邀绿盟科技的两位专家来与大家一起交流WEB应用安全问题和做安全解决方案的过程中需要注意的事项。
姓 名:赵 旭
擅长领域:网络安全、通信系统
绿盟科技产品管理中心产品市场经理。2005年毕业于瑞典皇家理工学院,获硕士学位,专业为信息通信系统安全。现在绿盟科技主要负责WAF产品。
姓 名:秦 波
: http://doctor.51cto.com/develop-174.html
擅长领域:信息管理、安全服务
绿盟科技产品管理中心产品市场经理。毕业于北京大学信息管理系,在安全服务领域有多年的项目管理和实施经验。擅长Web攻防领域,在如何保障不同行业的基于Web的业务持续性和风险分析方面有深入研究,是Web安全领域的国标、军标和行业标准的主要编写者。
查看本期门诊精彩实录
参与最新技术门诊:http://doctor.51cto.com/
下面精选本期网友提问与专家解答,以供网友学习参考。
Q:企业在构建自己的web网站时,应从哪些方面来考虑其安全性呢?是否需要部署基于硬件的web安全网关呢?
A:这个问题相对比较大,建议从安全风险分析的角度来考虑问题。除了考虑已经比较成熟的网络层、系统层面以及WEB通用组件(如IIS、Apache等Web server软件)的安全控制,Web应用层面的安全问题需要重点考虑。Web应用层面的问题,建议从Web应用的生命周期进行考虑,在各个阶段都采取相应的安全控制。问题在生命周期中越早解决越好,因为到了后期,解决问题的成本会高很多。当然了,上面说的这个生命周期的安全控制相对比较理想、对人员投入及相应技能都有较高要求。实际情况中,网站更多面临的问题是如何度量Web应用代码的安全质量,网站上线后如何采取相应的防护措施、可以有效降低风险。针对第一个问题,建议可以采用Web应用黑盒测试工具,针对第二个问题,可以考虑部署专有的Web安全网关(业界更习惯称为Web应用防火墙,即WAF)。因为代码缺陷是先天存在的,即使后来修复也会具有一定的滞后性,而且不能保证100%地发现所有存在的漏洞那个缺陷。WAF通过自身固化的防护机制,可以识别各类Web安全威胁和攻击行为并予以阻断。
Q:我是一家企业的网络管理员。单位的网站空间都是托管个制作方的,上次被入侵,修改了首页FLASH页面的介绍,本来公司是做服装的,可被入侵之后,百度搜索出来的内容竟然是私服魔域等介绍。我想问下一般我们企业,在选择网站制作的源码,数据库那些语言和数据库乃至服务器更加的安全?托管给别人空间的,我们该怎么去维护防护发生入侵这方面的问题?
A:中小型企业网站的维护,由于没有专人来负责安全问题,一般的维护在于更新内容,这种网站一般都是虚拟机形式托管,对系统层没有控制权限,仅仅是自己所负责的应用程序。而且网站定位于发布信息的平台,机密性要求不高,但如果被攻击后很容易被利用挂马、XSS等,给终端用户造成伤害。建议这种类型的网站从源码的选择上不要去抄袭和引用不成熟的代码,尽量用简单的机制来满足功能,从而减少维护量和安全攻击。
Q:你的网站需要什么样的WEB应用安全解决方案?
1、外部攻击;如何应对,贵公司产品有这样的解决方案吗?
2、数据安全;服务器数据尤其是网站代码和数据库数据非常重要。如何保护不丢失,才确保web应用安全正常运作?
3、提高可用性;当大量的多人访问的时候,服务器会响应很慢,绿盟有无解决方案?
4、请教专家。托管和自建服务器从成本和安全上考虑帮我做个对比,谢谢!
A:1、我们有一款WAF设备,提供双向的Web安全防护,可以应对外部的攻击,同时还提供服务器侧的内容安全,有兴趣的网友可以再深入了解一下。
2、数据安全涵盖范围较广,以数据丢失来看,这是一个攻击结果。需要从攻击路径角度考虑,采取相应的控制措施。比如以Web方式通过SQL注入之类的攻击获取敏感数据,那么可以考虑WAF这类防护产品。
3、提高可用性这块,我们的WAF产品也有相应的考虑,主要基于Web cache技术,减少延时,优化最终用户访问体验。
4、这个问题还是需要结合企业自身的具体情况进行判断。
Q:你好,我有几个问题
1.网站经常被暴有各种各样的漏洞,像SQL注入、跨站等,对这些漏洞能通过防火墙进行控制吗。
2.大家都在说WEB应用防火墙,这东西能帮我们网管解决哪些问题。
3.网站不仅需要面对病毒、漏洞等攻击,有时候也要面对拒绝服务攻击,比如很多人有意或无意的不停访问我的网站导致服务器资源或网络资源被消耗殆尽而无法向其他人提供服务,有办法通过WEB应用防火墙来对此进行控制吗,控制方式是什么。谢谢
A:1、SQL注入、XSS这类漏洞是应用层面的漏洞,而FW是工作在网络层面的设备,因此FW无法对此进行控制。
2、WAF设备主要帮助解决几个方面的问题:解决WEB安全层面特有的问题(应对来自客户端的各类威胁以及网站自身的内容安全),提升网站的可用性,了解网站的安全状态及业务运维状态。
3、我们的WAF提供TCP/HTTP Flood防护功能,之所以有这个功能,也是考虑了目前国内网站面临的高风险问题。这块功能复用了黑洞的核心算法。黑洞的抗拒绝服务攻击能力,相信很多朋友都非常了解,这里我也不再多说了。
Q:专家您好!我有几个问题一直很疑惑啊。望能百忙之中抽出时间解答。
1. 如何有效的防范DDOS攻击,或者说如何能降低DDOS攻击的危害。
2。对于跨站攻击,虽然对用户提交的数据过滤掉了一些,但是绕过跨站攻击的夜很多。前段时间的discuz!7.2的跨站漏洞,百度的跨站漏洞等。如何有效的防范呢?谢谢了。
A:1.DDos有针对网络层和应用层,WAF能有效防护。
2. Discuz的签名代码中 可写入恶意代码,这与攻击字符串的变形可绕开现有机制的检查有关,有效防护在于能对不同变形的字符串准确识别,目前绿盟Waf内置了检查各种变形字符串的模块。
Q:现在云安全是个很热门的话题,请问公司的web网站能否结合云安全的技术进行防护呢?绿盟科技是否有结合云安全技术的产品呢?
A:绿盟科技通过“云”来实现信息安全主要分为三个层面。
1. 自主研发和运营的云计算平台,通过其对海量信息进行分析处理发现威胁。
2. 自有产品通过对云安全的集成,快速检测和防御互联网上最新的安全威胁。
3. 通过开放和实时的云安全服务,与第三方合作伙伴一同改善用户的安全体验。绿盟有专门的Saas产品,能解决挂马、钓鱼、网站监控等。
Q:请问专家web应用防火墙和普通的防火墙具体有什么区别?
A:简单的说,这两者在部署上类似,但功能定位差异很大,防火墙主要解决网络层的安全,而WAF是对网络、操作系统、Web平台、应用层都要防护,重点在于应用层,并具备完整协议栈,能完全理解HTTP协议并校验协议是否符合RFC规范,对检查和防护Web攻击行为,并对Web应用的交付优化,包括cach、加速等,这些都是普通防火墙不具备的。更多详细信息请参考官方网站:http://www.nsfocus.com/1_solution/1_2_8.html
Q:请教专家,有没有什么好的网站漏洞扫描工具推荐还有就是,我知道,世界上是没有绝对安全的网站的,只要是在网络上的产物,或多或少都是存在潜在的安全问题,所以,我不会问如何去给网站做防御工作,我想问的是:在一个有着商业用途方面的网站,该如何从对商家影响最小的情况来进行对被黑过的网站进行恢复(可能有个破坏的严重程度问题,不过您可以举例或者从某一方面来说也行,比如中等破坏程度)
A:1、网站漏洞扫描工具,可以采用绿盟远程安全评估系统,其提供Web应用扫描模块。2、 我赞成你的上半句,的确没有百分百安全,但并不意味着不需要做好防御工作。以网站被黑为例,我们需要发现问题的本质(比如网站代码的质量问题、网站的安全配置问题等等),从而根本解决此类问题,而不应局限于解决问题的表象,比如仅仅是做被动的恢复。从降低风险的角度,我们需要考虑风险计算公式中的各种影响因素(攻击者因素、漏洞因素、技术影响性)。关于这方面的论述,具体可以参考绿盟秦波在2009第七届网络技术大会上《如何降低网站风险》的主题演讲。链接:http://news.ccidnet.com/art/1321/20091210/1957699_1.html。
你的问题很好。被攻击的影响有两个:声誉、金钱。这个程度取决于攻击者对目标的攻击方法,比如删除文件、挂马、窃取资料等。从恢复角度看可采取恢复被篡改文件、删除恶意文件、加固和修复有漏洞的网站程序,同时数据库需要定期备份和校验。所谓的中等破坏程度不是准确定义,请举一个特例更好回答,谢谢你的问题。
查看更多精彩门诊:http://doctor.51cto.com/