基于WEB应用的安全解决方案---V2.0

中国信息安全领导企业March15,2020北京天融信公司基于WEB应用的安全解决方案提纲WEB应用安全现状常见WEB应用威胁WEB应用安全解决方案Web应用已经成为一种普适平台广泛应用于政务、办公、购物、教学、通讯、媒体等等针对Web应用的攻击愈演愈烈据Gartner统计75%的攻击针对应用层！SONY用户信息泄露事件！•约一亿用户账户信息被盗取；•包含敏感的信用卡资料；•给信用卡发卡机构（如Visa、万事达等）造成逾3亿美元的损失；•索尼因此总损失约240亿美元！注入攻击7月26日，法国政府网站遭到黑客的攻击，黑客的目标直指法国总统萨科齐。网站上方被挂出一个名为“赶他出去”的小游戏，只要网友点击，一个以萨科齐为原形的卡通人物便会从爱丽舍宫往大门口走。官方称“黑客利用了一个老旧的软件系统，暂时改变了这个人气颇高的网页的载入路径。”在去年，法国总统萨科齐社交网站“facebook”上的账户也曾遭黑客入侵，黑客假借萨科齐账户宣布，萨科齐将放弃参加下届总统选举。系统漏洞俯卧撑、打酱油、武林三大绝学“广西近期将发生9级以上重大地震,请市民尽早做好准备”。造成社会恐慌。网站篡改百度瘫痪事件不亚于911事件域名劫持提纲WEB应用安全现状常见WEB应用威胁WEB应用安全解决方案OWASP开放式Web应用程序安全项目2010年网站10大安全漏洞注入式攻击\注入类漏洞跨站点脚本(简称XSS)无效的认证及会话管理功能对不安全对象的直接引用伪造的跨站点请求(简称CSRF)安全设置错误加密存储方面的不安全因素不限制访问者的URL传输层面的保护力度不足未经验证的重新指向及转发OWASPWebX.0中涉及了很多名词和术语，比如Tags、Blogs、Ajax、Flex、MalWare、Wiki、RSS、SocialNetworking、Podcast、Mushup等等。1.社会网络（SocialNetworking）：也叫做虚拟社区，是一群有着共同兴趣的人组成的大众网络。这些兴趣可以是任何类型，比如说健康状况类似、拥有同一款汽车、都购买了SONY产品，等等。如Facebook()，就是一个著名的社会网络服务网站。2.Wiki：一种网站，允许用户方便的添加、删除或者编辑网站上的内容，有时甚至无需注册。这种便捷的交互操作使其立刻成为共享群体智慧的有效工具。业界有很多著名的Wiki网站，如维基百科()。3.Mushup：中文是混搭的意思，也有翻译为聚集。指整合网络上多个资料来源或功能，以创造新服务的网络应用程序。Google开放了其GoogleMaps的API，因此诞生了很多以此为Mushup的应用，如Twittervision(beta.twittervision.com)，就是将GoogleMap和Twitter功能混搭，制造出在全球地图上，不同区域的人们互发消息的有趣应用。Ajax全称为“AsynchronousJavaScriptandXML”（异步JavaScript和XML），是一种创建交互式网页应用的网页开发技术。Ajax技术特性：1、动态特征2、异步通讯特征3、非同源调用特征虽然Ajax技术极大地推动了Web2.0（如Mushup应用）的发展，但是由于上述讨论的Ajax特征（动态、异步、突破同源限制），给应用安全带来了隐患。XSS（跨站脚本攻击）：通过引诱用户执行恶意的JavaScript脚本（如引诱用户点击包含恶意脚本的链接），来达到窃取用户信息或者实现其它恶意行为的目的。CSRF（跨站请求伪造）：通过引诱用户点击链接，或是将请求嵌入到ImageTag等HTML标记中，强迫用户发送。——钓鱼攻击DoS（拒绝服务攻击）：用户浏览器如果可以执行第三方JavaScript，就会带来DoS攻击的可能性其它：Mushup应用中注入恶意代码，从而触发多种攻击行为，包括XSS、CSRF、DoS。在Web2.0时代后，越来越多的开发者使用Flex技术开发Flash应用，由此引入的安全隐患也越来越多、越来越复杂。通常，对于Flash的访问，可以通过嵌入到HTML页面中：Flash使用ActionScript脚本语言，该语言支持全局变量。通常我们使用如下三种方式在Flash中指定全局变量：由于Flash支持全局变量，因此带来了很多安全隐患。只要攻击者控制了全局变量，那么他就可以实施多种攻击行为。Cross-SiteFlashing（跨站Flash攻击）和XSS原理相似，不过XSF是通过向网站注入恶意的Flash程序来实施攻击。由于Web2.0时代的应用复杂性（如Mushup应用），注入的恶意Flash不但可以攻击同源内的应用，还可能在非同源的各个组件中传播。请看XSF的一个例子：首先，某网站Flash中可能有事先定义好的全局变量_root.movieURI，并且给该变量赋予正常Flash文件调用，然后通过loadMovieNum()方法加载Flash文件movie.swf。对于攻击者，当他了解到此全局变量后，将恶意Flash文件maliciousFile.swf付给该变量，浏览器就通过loadMovie()方法装载了文件。Cross-SiteScriptingthroughFlash（通过Flash进行跨站脚本攻击）该方法使用易受感染的Flash文件进行典型的XSS攻击。和XSF很相似，攻击的发生同样来源于对全局变量的引用，如将全局变量作为装入函数（如getURL()）的参数。定义全局变量攻击者使用恶意脚本，可能执行如下操作：1、将用户的Cookie值发送给攻击者；2、将用户的共享Flash对象发送给攻击者；3、将可通过DOM（如URL、表单字段等）访问的信息发送给攻击者。这样，攻击者可以通过调用Flash文件中的参数来装入恶意脚本，如图：现在，恶意软件受到了前所未有的关注。在基础防范层面上，可以通过从客户端和服务器端着手。客户端保护包括：①合理的判断，不要接受不明来源的软件下载和安装，不要忽视浏览器警告和安全报警；②采用反病毒或反恶意软件工具；③保持操作系统、浏览器和其它软件的定期更新；④使用Web网关保护；服务器端保护包括：①通过入侵防御系统（IPS）进行运行时过滤；②使用服务器端的反病毒软件；提纲WEB应用安全现状常见WEB应用威胁WEB应用安全解决方案对网络、通信协议、操作系统、数据库等通用内容的防护，传统的安全设备，如防火墙、安全网关、IDS/IPS、审计产品、终端防护产品等，作为网站整体安全策略中不可缺少的重要模块，其防护效果是比较有效的针对WEB特定应用的脆弱性以及产生的安全问题是个性化和不通用的，以上这些传统的技术手段就显得力不从心了，不能有效的防范和检测网站特定的威胁和攻击：跨站脚本信息泄露SQL注入越权操作DDOS攻击多数安全厂商都提出了“软硬兼施，协调防范”的WEB安全防护解决方案，从事前的网站安全扫描、服务器和数据库加固，事中的、WEB应用安全防护、网站安全监测，到事后的应急响应服务，实现“全程”的检测与控制，真正有效保障用户网站安全运行。WEB安全扫描、服务器和数据库安全加固WEB应用安全防护、网站安全监控网络接入边界利用防火墙在网络层进行相应的安全访问控制在WEB服务区边界，利用WEB应用防火墙（WAF）的检测引擎进行协议分析、模式识别、URL过滤技术、统计阀值和流量异常监视等综合技术手段来判断入侵行为在WEB服务器上安装恶意代码主动防御子系统，通过利用信任链机制，对系统中所有装载的可执行文件代码（例如EXE、DLL、COM等）进行控制在WEB服务器上安装网页防篡改子系统，采用对象相关（Object—Specific）保护方式来保护网页不被篡改通过安全管理平台或利用第三方的远程监测服务，进行全局监控与分析，实现集中、统一管理。应急响应与恢复▶事前、事中、事后全方位防护网站挂马的防护是个系统性的工程，必须从全生命周期的角度来有效防范，业界主流的解决方案也正是从事前、事中和事后三个角度，通过软硬件结合、综合管理的方式，对网站进行了全程化的监控与响应，保障网站的安全。▶选择专业的团队和先进的技术国内多家安全厂商都具备专业攻防实验室，且通过与厂商和国家权威机构的合作，不断跟踪、挖掘和分析新出现的各种漏洞信息，并将研究成果直接应用于产品。这样就保障了网站防护系统检测的全面、准确和及时有效，并且WEB应用防火墙基于先进的并行处理技术架构，内置处理器动态负载均衡专利技术，实现了对网络数据流的高性能实时检测和防御。WEB应用防火墙采用基于目标主机的流检测引擎，可即时处理IP分片和TCP流重组，有效阻断各种逃逸检测的攻击手段。▶四大利器加实时监测在具体操作上，网站防护系统通常具备四大利器（恶意代码主动防御子系统、网页防篡改子系统、防火墙子系统、运维与监控）。它解决了网站的SQL注入、DDOS攻击、挂马、跨站攻击等四大威胁，充分为网站提供完善防护。针对当用户网站面临的主要安全威胁和合规需求，一般安全厂商都可提供监测服务，或利用其网站安全监控平台，来不断提高网站的安全性，并确保能够及时发现安全事件，不断地降低网站安全风险。天融信感谢您的关注！北京天融信杭州分公司高乐（13735849440）