WEB应用的威胁与防护.docxVIP

WEB应用的威胁与防护摘 要：Web应用安全是关系Web应用能否正常提供服务的重要保证，同时也是信息安全等级保护中的重要的组成部分，本文分析了常见Web应用漏洞的形成原理，说明了相应的评估方法，并着重通过实例说明了对Web应用攻击的防护步骤。关键词：Web应用威胁 系统等级保护 跨站脚本 SQL注入 Web应用防护引言随着互联网全面提速、用户规模快速增长以及国内企业对信息化、网络化办公的重视，国内企业的网络化和信息化水平显著提高，极大的促进了传统产业转型升级。与此同时，随着企业部署到网络上的业务系统越来越多，WEB应用成为了当前业务系统使用最为广泛的形式。根据 Gartner 的调查，绝大多数信息安全攻击都是发生在 Web 应用层面上。同时，根据统计数据，超过60%的WEB网站都相当脆弱，容易遭受攻击。根据有关统计，平均每100行Web代码中就会存在1个漏洞，而修补一个漏洞通常都需要1小时以上的时间。根据CNCERT的最新统计数据，2013年CNCERT共接到网络安全事件报告7854件。2013年，我国境内被篡改网站数量为 24034 个，较 2012 年增长 46.7%，其中政府网站被篡改数量为 2430 个，较 2012 年增长 34.9%； 我国境内被植入后门的网站数量为 76160 个，较 2012 年增长 45.6%，其中政府网站 2425 个，较 2012 年下降 19.6%。在被篡改和植入后门的政府网站中，超过 90%是省市级以下的地方政府网站，超过75%的篡改方式是在网站首页植入广告黑链。CNCERT统计显示，2013 年，境内 6.1 万个网站被境外通过植入后门实施控制，较 2012 年大幅增长 62.1%；针对境内网站的钓鱼站点有 90.2%位于境外；境内 1090 万余台主机被境外控制服务器控制， 主要分布在美国、韩国和中国香港，其中美国占 30.2%，控制主机数量占被境外控制主机总数的 41.1%。跨平台钓鱼攻击出现并呈增长趋势，针对我国银行等境内网站的钓鱼页面数量和涉及的 IP 地址数量分别较 2012 年增长 35.4%和 64.6%，全年接收的钓鱼事件投诉和处置数量高达 10578 起和 10211 起，分别增长 11.8%和 55.3%。2013 年，国家信息安全漏洞共享平台 （CNVD） 向基础电信企业通报漏洞风险事件 518起，较 2012 年增长超过一倍。按漏洞风险类型分类，其中通用软硬件、信息泄露、权限绕过、 SQL 注入、弱口令等类型较多，分别占比 42.1%、15.3%、12.7%、12.0%和 11.2%。这些漏洞风险事件涉及的信息系统达 449 个，其中基础电信企业省（子）公司所属信息系统占 54.6%，集团公司所属信息系统占 37.2%。从以上数据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。据可以看出，提高业务网站的安全防护，是保障业务正常进行的必然前提。我们国家在较早的时候也意识到了Web应用在现今各类信息系统中的不可或缺的地位，也非常重视Web应用的安全防护。公安部在制定我国的信息安全等级保护的时候，就在相关标准和细则中加入了Web应用防护的评估，使得Web应用安全评估成为了整个信息系统安全评估工作中重要一环。Web应用安全威胁Web应用系统一般是由操作系统、web中间件和web应用程序共同组成的。因此，WEB应用系统的系统安全也是由操作系统安全、中间件安全和程序安全共同组成的。一般来说，绝大部分的Web应用威胁都是由于以下这几种情况导致的：服务器向外提供了不应该提供的服务，从而导致数据的泄露。服务器把本应该私有的数据和配置放到了可以被公开访问的区域，从而导致敏感信息泄露。服务器信任了来自不可信任源头的数据，从而导致受到攻击。许多服务器管理员很少对服务器进行安全评估和安全检查，例如通过使用端口扫描程序进行操作系统风险分析、通过密码分析工具进行操作系统密码强度分析等。一旦我们进行了相关的扫描和分析，我们就会在操作系统上关闭许多不必要的服务，因为这些服务无需在正式提供Web服务的机器上运行。许多Web应用程序容易受到通过操作系统、中间件和应用系统发起的攻击。通常这些攻击会直接绕过防火墙的安全策略，例如： 80或 443端口必须对外开放，以便让用户能够直接访问到应用程序。同时，这也为攻击者攻击web应用提供路径和方便。许多程序员不知道如何开发安全的应用程序，或者没有主动去考虑怎么开发安全的应用程序，这就导致了许多应用程序在开发时存在的安全缺陷一旦被利用就很有可能出现灾难性后果。Web应用隐患主要存在：非法输入、失效的访问控制、失效的账户和线程管理、跨站脚本、缓冲区溢出、注入、异常错误处理、不安全的存储、不安全的配置管理等问题。利用这些隐患，Web应用攻击主要包