黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对Web应用安全的关注度也逐渐升温。
Web安全威胁日趋严重的原因
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
一方面,由于TCP/IP的设计是没有考虑安全问题的,这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题,这使得程序本身存在很多漏洞,诸如缓冲区溢出、SQL注入等等流行的应用层攻击,这些均属于在软件研发过程中疏忽了对安全的考虑所致。
另一方面,用户对某些隐秘的东西带有强烈的好奇心,一些利用木马或病毒程序进行攻击的攻击者,往往就利用了用户的这种好奇心理,将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中,然后把这些文件置于某些网站当中,再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件,将这些捆绑了木马或病毒的文件发送给用户,利用用户的好奇心理引诱用户打开或运行这些文件。
黑客们另一种常用的方式,即把木马或病毒编写成一个脚本,然后嵌入到网页、电子邮件及QQ等聊天软件的消息当中,或作一个超级连接指向这个脚本,只要用户打开包含有嵌入这些木马或病毒的网页、电子邮件和聊天信息窗口,或单击指向这些木马及病毒脚本的超级连接,这些木马或病毒程序就这样轻松地进入了用户的PC当中。
网络钓鱼攻击的方式也是多种多样,其中之一便是伪造一个十分相似的网站界面,引诱用户在这个假冒的网上银行网站进行登录操作,有些用户轻易相信引诱信息,再加上粗心大意,其后果就不堪设想了。
现今企业当中,移动办公的趋势越来越明显,大部分的企业员工会把计算机带回家中工作,或者在公共场所接入互联网,他们成为当前Web威胁首先侵入的目标。而企业员工对互联网依赖性的加剧,也使得公司网络比以往更加容易受到将员工做为跳板的恶意程序的攻击。恶意程序的主要入侵途径已经转变为HTTP方式,而且病毒产生速度快、变种多,令本来就脆弱的企业网络雪上加霜。
面对来势汹汹的应用威胁,绝大多数企业并没有真正意识到其中的危机。一方面,恶意网站以600%的年增长速度在迅速增加;另一方面,77%带有恶意代码的网站是被植入恶意攻击代码的合法网站。这些威胁正往定向、复合式攻击发展,其中一种攻击会包括多种威胁,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客等,造成拒绝服务、服务劫持、信息泄露或篡改等危害。另外,复合攻击也加大了收集所有“样本”的难度,造成的损害也是多方面的,潜伏期难以预测,甚至可以远程可控地发作。
我们又该如何应对Web威胁
随着多形态攻击的数量越来越多,传统防护手段的安全效果也越来越差,总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中。更为严峻的是,传统的仅针对终端设备的防病毒解决方案并不能应对当前变化多端的Web威胁。
作为个人用户来说,应该本身对网络安全防范的加深和正确认识,不断提高自身的计算机及网络应用技术水平加固计算机的安全,以及努力克服自己的好奇心,消除贪图小便宜的心理,规范自己的网络操作行为,来缓解决Web应用安全问题日趋严重的趋势。
对于企业用户,针对Web应用的安全产品,可以分为网络、Web服务器自身以及程序安全三方面。在网络方面,可以考虑将防火墙、IDS/IPS、安全网关、防病毒墙等产品部署在Web服务器前面,这样可以防御大部分的攻击。此外,可以通过部署更安全的Web服务器、Web服务器自身的保护系统,比如网页防篡改保护系统(防篡改保护和恢复软件)、恶意主动防御系统、访问控制系统、审计系统等产品,做到自动扫描和监控,从而保护系统和文件。目前已经出现了程序安全的研究方向,我们也希望能够早日看到相关产品。
最后我们要做到“两手抓、两手都要硬”,用一句形象的比喻来说明:防火墙/入侵检测系统如同金钟罩铁布衫等外功,防止明枪;而更重要的是需要修炼太极等内功,弥补自身的漏洞,躲避暗箭,内外兼修的效果将使您的企业纵横江湖。
Web安全威胁的内容还有很多,希望大家还要多多掌握。
【编辑推荐】