第8章 Web安全.docVIP

第八章 Web 安全 8.1 Web安全概述 说到因特网和基于Web的应用程序，在这个领域中存在着许多特殊的问题。首先，在传统的计算机环境中，故意破坏行为很少会造成威胁。而且一旦这些应用程序在因特网上广泛普及，人们面临的欺诈风险更高。我们使用因特网的原因是向最广泛的用户提供产品和服务。我们将这些服务安置在DMZ中，以使得那些访问这些服务器的用户无法直接访问其他内部服务器。在使用基于Web的应用程序时，其中一个令人头痛的问题是：为了让他们发挥作用，必须允许用户通过因特网访问他们，因此必须打开防火墙上与Web有关的端口（80和443）。于是，现在任何可以通过这些端口的攻击都有机可乘。 对因特网提供商而言，应用程序本身也带有某种神秘色彩。如果你希望通过因特网出售你的商品，通常你要显示它的图片，并允许买者通过电子邮件或即时聊天工具提出问题。通常，你还需要某种类似购物车的程序来收取客户的购买货款，别且还得处理运输和支付渠道的问题。所有这些都得由一个只是想卖商品的人来处理。如果你是一个面包师，你可能并不是一个Web管理员，因此想在因特网上销售面包，必须向站点上传适当的应用程序。而这个应用程序可以利用PHP或者JAVA自己开发，从而可以自动化你的业务，但同时，如果你并没有掌握开发方法、开发流程、QA和变更控制，以及确定风险和安全漏洞等知识，这其中也包含着巨大的挑战和风险。 8.2 Web潜在的安全漏洞 开发自己的Web应用程序的另一种办法是使用一款线程的应用程序。网络上十多商业和免费应用程序几乎能满足每一种电子商务的需求。这些应用程序由许多实体以各种语言编写，那么现在我们面临的问题是，这些应用程序能满足安全的需求吗？在提供应有功能的同时会有安全漏洞吗？我们在了解了这些问题之后，尝试列出Web服务器所面临的最重大的弱点和威胁。 信息收集 信息收集（Information Collection）是攻击者实施攻击的第一步。攻击者可以利用收集到的信息推断出可用于攻击的系统。而攻击者收集到的大多数信息都来自公共可信任访问的资源。大型搜索引擎使得攻击者更容易收集到信息，因为它们汇集了大量信息；攻击者甚至不需要连接到目标公司的Web服务器，就可以从搜索引擎的缓存中返回结果。 多数被泄露的信息其实都是开发者和Web服务器管理员在工作时不小心泄露出去的。开发者写入的源代码、用于解释管理员保存在Web服务器上的程序或备份文件的注释并不是明显的安全问题，但是，如果他们被未授权用户看到，就可能包含数据库的物理路径、版本号等信息，他们可能是攻击者获得系统未授权访问的基础。 管理接口 大家都喜欢在咖啡厅或者家里工作，Web管理员和Web开发者尤其喜爱这种理念。虽然一些系统要求在本地终端上进行管理，但多数情况下，系统都有一个远程管理接口，甚至可通过网络进行管理。虽然对Web管理而言，这种管理方式可能非常方便，但它也为未授权用户访问系统提供了一个进入点。 自从我们讨论Web安全以来，使用一个基于Web的管理接口并不是安全的方法。如果我们已经确定安全漏洞并且接受风险，管理接口也应至少和Web应用程序同其他服务提供同一级别的安全。 许多商业软件和Web应用程序服务器默认安装了某种类型的管理控制台。而这种控制台可能会被用于信息收集。因此，如果不需要管理接口，应禁用这个接口。在开发定制应用程序时，管理接口就更不为人知，我们应该在安全策略中考虑这个因素。 认证与访问控制 访问控制我们在前面的章节中已经详细讨论过了，我们这里介绍其在Web安全中的重要性。如果你已经通过因特网登录银行、购物、注册或在家工作，我相信你通过了一个基于Web的应用程序进行登录。从客户和提供商双方的角度看，认证与访问控制都是一个明显的问题。客户想要访问控制提供给他们实体的安全性和隐蔽性，但是他们又期待这个过程非常简单。从服务提供商的角度看，他们希望在性能、合规性和成本许可的范围内，为客户提供尽可能可靠的安全。因此，大多数Web应用程序仍然需要使用传统的用户名和密码来实现访问控制。 在Web站点使用密码对用户名认证，可能与你最初使用因特网提供服务基于相同的原因：简易性（Accessibility）。如果访问你的站点的用户都属于合法用户，这种方法就没有问题。但是如果任何企图未授权访问你的站点的人都可以匿名尝试一下，那么就很有可能授权的用户和密码被试出来，被用于非法用途。 认为保存有敏感信息的系统是攻击者的目标，这种说法并不牵强。通过搜索引擎或简单的使用常见的用户名挖掘授权用户的用户名密码并尝试登陆这些站点非常普遍的。如果你需要在一个Web站点注册并下载“免费”的文件或文档，你会使用什么用户名呢？你会使用和其他站点一样的用户名吗？甚至和银行卡使用相同的密码？狡猾的攻击者可能会通过一些看似友好的站点比如网页游戏、抽奖活