網(wǎng)站安全問題及其防護措施分析

何小波

摘要：隨著互聯(lián)網(wǎng)應(yīng)用的增多，網(wǎng)絡(luò)安全問題也日益突出?！靶畔⒒潭仍礁撸瑖野踩⑸鐣踩媾R的風(fēng)險就越大。”在2008年3月5日召開的第十一屆全國人民代表大會上，信息安全等級保護制度的落實和實施再次成為兩會代表們建言的核心內(nèi)容。那么如何來保護網(wǎng)站不會遭到攻擊呢?隨著攻擊向應(yīng)用層發(fā)展，網(wǎng)絡(luò)中的WEB應(yīng)用部署面臨的安全問題必須通過一種全新設(shè)計的高性能防護應(yīng)用層攻擊的安全防護設(shè)備——WEB專用應(yīng)用防御系統(tǒng)來解決。它需要通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議發(fā)動的攻擊。

關(guān)鍵詞：防護；SQL注入；攻擊；應(yīng)用層；WEB專用應(yīng)用防御系統(tǒng)

中圖分類號：TP393.08文獻標(biāo)識碼：A文章編號：1672-3198(2009)04-0271-01

隨著互聯(lián)網(wǎng)應(yīng)用的增多，網(wǎng)絡(luò)安全問題也日益突出?！靶畔⒒潭仍礁?，國家安全、社會安全面臨的風(fēng)險就越大。”在3月5日召開的第十一屆全國人民代表大會上，信息安全等級保護制度的落實和實施再次成為兩會代表們建言的核心內(nèi)容。

CNNIC統(tǒng)計顯示的07年上半年TCP協(xié)議流量端口排名，HTTP80端口服務(wù)居第1位，占所有業(yè)務(wù)的23.97％，網(wǎng)頁服務(wù)網(wǎng)站已成為網(wǎng)上交流的最重要的手段。網(wǎng)站安全問題已成為網(wǎng)絡(luò)防護的主要問題。由于Web架構(gòu)在成本與應(yīng)用能力方面的優(yōu)勢，越來越多的企業(yè)和機構(gòu)將應(yīng)用遷移到基于Web的架構(gòu)。Web應(yīng)用已經(jīng)從最初提供簡單的靜態(tài)內(nèi)容演變到提供豐富的動態(tài)內(nèi)容，還可以同數(shù)據(jù)庫進行通信以生成對用戶有用的內(nèi)容，這些都為攻擊提供了機會。

2007年上半年抽樣監(jiān)測發(fā)現(xiàn)我國大陸約有3百多萬個IP地址的主機被植入僵尸程序。2007年上半年，中國大陸被篡改網(wǎng)站的數(shù)量相比往年處于明顯上升趨勢。CNCERT／CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)達到28367個，比去年全年增加了近16％。CNCERT／CC在2007年上半年抽樣監(jiān)測。境內(nèi)外控制者利用木馬控制端對主機進行控制的事件中。木馬控制端IP地址總數(shù)為209949個，被控制端IP地址總數(shù)為1863753個。

怎樣來構(gòu)建一個安全的Web應(yīng)用平臺呢?Web設(shè)計人員首先必須在Web應(yīng)用的每個層面精心設(shè)計安全性。但是，許多企業(yè)在設(shè)計Web應(yīng)用時，Web設(shè)計人員并未全面考慮安全性。從實際的案例中，我們發(fā)現(xiàn)。大部分被攻擊的網(wǎng)站也都有防火墻防護。但由于黑客多采用SQL代碼注入等協(xié)議層的攻擊，以及采用大規(guī)模僵尸網(wǎng)絡(luò)DDOS攻擊，對于這類攻擊，防火墻則顯得無能為力。

其根本的原因是，傳統(tǒng)的防火墻設(shè)備對于應(yīng)用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網(wǎng)絡(luò)層，通過對網(wǎng)絡(luò)層的數(shù)據(jù)過濾(基于TCP／IP報文頭部的ACL)實現(xiàn)訪問控制的功能I通過狀態(tài)包過濾防火墻可以保證內(nèi)部網(wǎng)絡(luò)不會被外部網(wǎng)絡(luò)非法接入，而應(yīng)用層攻擊的特征在網(wǎng)絡(luò)層次上是無法檢測出來的。

目前常見的Web攻擊主要分為三類；一是利用web服務(wù)器的漏洞進行攻擊，如CGI緩沖區(qū)溢出、目錄遍歷漏洞等攻擊；二是利用網(wǎng)頁自身的安全漏洞進行攻擊，如SQL注入、跨站腳本攻擊、Cookie假冒、認(rèn)證逃避、非法輸入、強制訪問、隱藏變量篡改等；三是利用僵尸網(wǎng)絡(luò)的分布式DOS攻擊，造成網(wǎng)站拒絕服務(wù)。利用網(wǎng)上隨處可見的攻擊軟件，攻擊者甚至不需要對網(wǎng)絡(luò)協(xié)議的深厚理解基礎(chǔ)，即可完成諸如更換Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別。對于和后臺數(shù)據(jù)庫產(chǎn)生交互的網(wǎng)頁，如果沒有對用戶輸入數(shù)據(jù)的合法性進行全面的判斷，用戶可以在可以提交正常數(shù)據(jù)的URL或者表單輸入框中提交一段精心構(gòu)造的數(shù)據(jù)庫查詢代碼，使后臺應(yīng)用執(zhí)行攻擊著的SQL代碼，攻擊者根據(jù)程序返回的結(jié)果，獲得某些他想得知的敏感數(shù)據(jù)，如管理員密碼，保密商業(yè)資料等。

隨著網(wǎng)絡(luò)攻擊向應(yīng)用層發(fā)展，網(wǎng)絡(luò)中的WEB應(yīng)用部署面臨的安全問題現(xiàn)在可以通過一種全新設(shè)計的高性能防護應(yīng)用層攻擊的安全防護設(shè)備——WEB專用應(yīng)用防御系統(tǒng)來解決。它需要通過執(zhí)行應(yīng)用會話內(nèi)部的請求來處理應(yīng)用層，專門保護Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議發(fā)動的攻擊。Web應(yīng)用層防御系統(tǒng)可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊，設(shè)法得到命令串或邏輯語句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機為主要目標(biāo)的目標(biāo)攻擊。

下面簡單的介紹一下WEB專用應(yīng)用防御系統(tǒng)的幾個主要功能：

1惡意代碼主動防御

利用信任鏈機制，對系統(tǒng)中所有裝載的可執(zhí)行文件代碼(例如,EXE、DLL、COM等)進行控制，所有可執(zhí)行文件代碼在加載運行之間都需要先經(jīng)過檢驗，只有通過驗證的代碼才可以加載，這種方式可以有效阻止惡意代碼的運行。

2網(wǎng)頁文件過濾驅(qū)動保護

利用操作系統(tǒng)漏洞，應(yīng)用緩沖區(qū)溢出等方法可以獲得管理員權(quán)限。從而可以任意修改網(wǎng)頁文件。以達到攻擊的目的。針對這種攻擊方式，采用對象相關(guān)(Object-Specific)保護方式來保護靜態(tài)網(wǎng)頁不被篡改。即網(wǎng)站管理員可以自行選擇需要保護的網(wǎng)頁文件設(shè)定為受控對象，對于每一個受保護的對象，管理員為其設(shè)定一個對象相關(guān)授權(quán)碼。對象相關(guān)保護方式是一種不基于系統(tǒng)用戶身份的訪問控制技術(shù)，對于所有受保護的對象，網(wǎng)站防護系統(tǒng)在操作系統(tǒng)內(nèi)核對其加以保護，在不知道對象相關(guān)授權(quán)碼的情況下，即使是系統(tǒng)管理員，系統(tǒng)也禁止其對于受保護對象(比如主頁)的任何特定操作，比如修改內(nèi)容、刪除、重命名等。通過對象相關(guān)保護方式。即使攻擊者拿到系統(tǒng)管理員的權(quán)限，由于不知道受控對象的授權(quán)碼，因而也無法對其進行修改。從而可以有效阻止溢出類攻擊對系統(tǒng)靜態(tài)網(wǎng)頁的篡改。

3防SQL注入功能

隨著B／s模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但是由于這個行業(yè)的入門門檻不高，程序員的水平及經(jīng)驗也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL注入。網(wǎng)站防護系統(tǒng)可以通過高效的URL過濾技術(shù)，把sQL注入的關(guān)鍵字過濾掉。從而有效的避免網(wǎng)站服務(wù)器受到SQL注入攻擊。

4雙機熱備功能

網(wǎng)站防護系統(tǒng)支持雙機熱備功能，從而提高系統(tǒng)的穩(wěn)定性和可靠性。兩臺網(wǎng)站防護系統(tǒng)分為主機和從機，在主機工作的同時，從機處于實時監(jiān)控主機的工作狀態(tài)，這時所有對內(nèi)部網(wǎng)絡(luò)的保護工作由主機完成。

5抗網(wǎng)絡(luò)攻擊能力

作為一種網(wǎng)絡(luò)安全防護設(shè)備，網(wǎng)站防護系統(tǒng)在網(wǎng)絡(luò)中自然成為眾多攻擊者的首要目標(biāo)，所以抗攻擊能力也是網(wǎng)站防護系統(tǒng)的必備功能。該系統(tǒng)采取多種安全措施，可以防范Internet環(huán)境中的攻擊，如：抗網(wǎng)絡(luò)安全性分析DDOS攻擊等。