一次弄懂网页应用系统5种资安防护措施-togsscomtw.PDFVIP

GSS 資安電子報 第 0117 期 / 發刊日期：2015 年 6 月 PT( 滲透測試) 一次弄懂網頁應用系統 WAF( 網站應用程式防火牆) (Web Application) DAST( 動態/ 黑箱測試) 5 種資安防護措施 SAST( 靜態/ 白箱源碼檢測) IAST( 互動式安全測試) 來源 ：Checkmarx 提供 翻譯整理 ：叡揚資訊 資訊安全事業處 透過特定網站散播惡意軟體給特定的使用者( 也稱做水坑攻擊(Watering hole attacks) 、政治激進份子如匿名者 (Anonymous) 的駭客攻擊、以及針對CMS 系統的大型攻擊等等事件層出不窮，使得網頁應用系統的安全性成為近幾年 來的熱門話題。 正當這些網頁攻擊專注在應用層的時候，多數組織持續地把他們的安全防護資源投入在網路層，例如：IDS 和防火牆。 雖然網路層的解決方法能夠過濾出不合法的連線、甚至可以防禦常見的DDOS 攻擊，但是這些解決方法仍然使得應用 層暴露在來自於被稱為合法Session 的攻擊之中。舉例來說，SQL 隱碼攻擊(SQL Injection attack) 能夠操作後端資料 庫去取出機敏資料，而查詢(Query) 本身則似乎是來自於合法的來源；跨站指令碼攻擊(Cross-Site Scripting attack 或 XSS attack) 允許攻擊者執行竊取Session 或是偽裝成未知的使用者進行的交易，這種行為對IPS 來說是合法的行為， 並不會視為攻擊。讓我們將某個組織的伺服器比喻為一個公開的俱樂部，警衛可能會拒閒雜人等於門外(i.e., 網路層防 護) ，但是重點應該放在那些可以進入派對( 通過第一層防護) 、而且可能做出失態舉動的人身上。相同地，應用層的防 護旨在保護網頁伺服器。 一個完善的資訊安全策略必須包含網頁應用層(Web application layer) 的防護，所幸現存的技術之中仍有一些的目的是 為了保護這個層級，而且這些方法不只是為了靜態網站所設計，他們也考慮到了現今動態網頁應用系統的生態。 本文所要介紹的是各種網頁應用系統的安全工具，而標示出重要的選擇依據來幫助各位選擇適合自己環境的應用系統安 全技術。 五種網頁應用系統安全措施 網頁應用系統防護措施包含了 五種主要的方案： 1. 滲透測試(Penetration Testing, PT) 2. 網頁應用系統防火牆(Web Application Firewall, WAF) 3. 動態應用系統安全測試(Dynamic Application Security Testing, DAST) 4. 靜態應用系統安全測試(Static Application Security Testing, SAST) 5. 互動式應用系統安全測試(Interactive Application Security Testing, IAST) 其實還有其他正在成長中的方案，但是他們的成熟度還不足以讓大型企業採用，因此我們把重點放在這五種廣為人知的 安全措施上。 台北總公司：10461 台北市中山區德惠街 9 號 5 樓 TEL ︰(02) 2586-7890 FAX ：(02) 2586-8787 高雄辦公室︰80453 高雄市明華路 317 號 6 樓 TEL ︰(07) 586-6195 海外據點：上海 營業範圍：兩岸三地及日本 .tw 1 GSS 資安電子報 第 0117 期 / 發刊日期：2015 年 6 月 1. 滲透測試(Penetration testing, PT) 滲透測試是一種用以評估組織安全情況的程序，它透過模擬駭客行為來操作組織的系統及程序。滲透測試包含了橫跨所 有層級的手動及自動程序。 對於網頁應用系統，滲透測試員藉由遠端竊取