浅谈网站安全防护
王火剑
近年来,境内外敌对势力多次对我国重要门户网站发起攻击,有些网站内部数据被黑客获取并借此实施敲诈;有些被上传有害信息;有些网站数据被篡改或删除;有些被上传木马,所有这些都严重影响了各单位的对外形象和正常工作。本人结合工作实际,对网站的安全防护提出一些个人理解,希望能起到抛砖引玉的作用。
自上世纪九十年代以来,随着企事业单位数字化网络化的推进和互联网的广泛流行,“网络安全”这个名词开始深入人心。应该承认,在互联网刚刚普及之时是个“漏洞百出”的年代,从微软操作系统漏洞到IIS、ftp、sql server的溢出攻击,端口过滤、网络入侵检测和防病毒都一度成为网络安全的代名词,也就是我们俗称的网络安全“老三样”。而随着网络防火墙、入侵检测以及防毒墙的广泛部署和应用,人们不禁产生一个疑问:安全事件似乎仍然层出不穷,新的主流威胁到底在哪里? 2007年初,全美RSA安全大会得出“Web应用安全代替网络安全成为全球最大安全威胁”结论的时候,国内许多信息安全人士还对这个结论将信将疑。与此同时,我们利用应用深度风险检测平台累计对浙江省数百家重点网站进行了整体安全评估或预评估的结果显示,其中有70%网站存在严重的安全问题,且行业分布非常广泛(如图1所示),并且漏洞类型分布也从侧面验证了Web应用安全的重要性(如图2所示)。
据美国权威Web安全非赢利组织OWASP在2007年上半年发布的十大WEB应用脆弱性排名显示,“跨站脚本攻击、注入式攻击、不安全的远程文件包含”已经成为影响WEB应用安全的首要问题。据国家计算机网络应急技术处理协调中心的统计数据显示,2007年上半年中国的互联网安全状况仍不容乐观,各种网络安全事件与2006年同期相比都有明显增加、被植入木马的主机数量大幅攀升,WEB应用安全形势不容乐观。下面将从黑客行为、应用风险、攻击手段和安全防范等方面谈一下WEB应用安全。
一、新黑客产业链
具体表现为:锁定目标网站,如政府门户网站、商业网站等;利用Web应用的弱点(SQL注入、跨站脚本等)入侵和控制Web服务器;篡改网页植入恶意代码;普通个人在访问网站时候被自动植入木马;在控制个人用户计算机(俗称“肉鸡”)后,攻击者更多的是通过用户身份窃取(如:利用间谍软件和木马程序等)手段,偷取用户游戏账号、银行账号、密码等,从而窃取用户的私有财产(如图3所示)。
从以上行为可以看出,黑客的行为不再像以往篡改网页用于炫耀,而更多的是通过更隐蔽、更恶劣的手段,来达到直接的经济目的。经济利益驱动是新黑客产业链的一个重要特征。2007年,浙江省某部门网站主页被恶意挂马,后经查,发现木马所指向的网站为一商业网站。黑客就是利用木马技术迫使网民访问该部门网站主页时打开该商业网站,从而提高商业网站的广告点击率,赚取更高的广告费用。
二、Web应用风险的本质
有人也许会问,既然现在操作系统和系统软件(如IIS,Apache)的最新系统和补丁相对都比较安全,为什么还会有这么多网站和应用安全恶意攻击和挂马事件发生呢?答案也许有点出人意外,那就是:最大的安全威胁不是操作系统本身,也不是IIS和Apache本身,而是防火墙和入侵检测设备所不能触及的网站应用程序本身。
由于互联网的迅猛发展,很多动态网站程序应运而生。与全球操作系统只出自2-3家主要厂商所不同,千千万万的Web应用系统出自千千万万个不同的公司和厂商,使得跟踪、维护和检测这些应用程序带来极大的挑战和麻烦。许多重要系统都变成“Internet化”,如网上银行、网上购物、网上报税、网上营业厅等。
这类程序虽然名目繁多,但是有几个共同特点:一是都为B/S架构,大部分Web部分属于J2EE、ASP.NET、PHP范畴(虽然传统CGI还占了很小一部分)。二是如果为动态网页程序,后台数据库大部分使用Oracle、SQL Server、Mysql、Sybase、DB2等。三是很多系统有用户名口令的简单验证部分,另外不少系统还有论坛或上传类程序存在。
三、Web攻击的主要手段
1.SQL注入攻击
Web安全纷繁复杂,危害最严重的当属SQL注入。SQL Injection(中文名称为“SQL注入”)表面上看是一种数据库攻击手段,是WEB应用程序漏洞存在的一种表现形式。它的实际意义就是利用某些数据库的外部接口把用户数据插入到实际的数据库操作语言当中,从而达到入侵数据库乃至操作系统的目的。很多黑客通过SQL注入交互和命令,利用数据库实现将木马植入网站。
SQL Injection的主要形式是:直接将代码插入与SQL命令串联并执行的用户输入变量中,间接的将恶意代码注入要在表中存储或作为元数据存储的字符串,在存储的字符串随后串连到一个动态SQL命令中时,执行该恶意代码。基本的攻击是提前终止文本字符串,然后追加一个新的命令。由于插入的命令可能在执行前追加其他字符串,因此攻击者将用注释标记“--”来中止注入的字符串。执行时,此后的指令将被忽略。另外一种常见攻击方式是攻击者通过在应用程序预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。这类应用程序一般是Web Application,它允许用户输入查询条件,并将查询条件嵌入SQL 语句中,提交到数据库中执行。通过构造畸形SQL语句攻击者能够获取额外的信息数据,达到恶意窃取敏感信息的目的。
就风险而言,SQL Injection攻击也是位居前列。和缓冲区溢出漏洞相比,其优势在于能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的访问权限。在某些环境下,SQL Injection漏洞的风险要高过其他所有的漏洞。
SQL Injection攻击利用的是SQL语法,使得这种攻击具有广泛性。这种攻击的特点鲜明:一是隐蔽性强。利用Web漏洞发起对WEB应用的攻击纷繁复杂,包括SQL注入、跨站脚本攻击等,其共同特点是隐蔽性强,不易发觉,因为一方面普通网络防火墙是对HTTP/HTTPS全开放的,另一方面对Web应用攻击的变化非常多,传统的基于特征检测的IDS对此类攻击几乎没有作用。二是攻击时间短。可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制,以至于极难做出人为反应。三是危害性大。目前几乎所有银行、证券、电信、政府以及电子商务企业都提供在线交易、查询和交互服务。用户的机密信息包括账户、个人私密信息(如身份证)、交易信息等,都是通过Web存储于后台数据库中。因此,在线服务器一旦瘫痪,或虽在正常运行,但后台数据已被篡改或者窃取,都将造成企业或个人巨大的损失。据权威部门统计,目前身份失窃(identity theft)已成为全球最严重的问题之一。四是往往造成非常严重的有形和无形损失。目前,包括政府以及很多大型企业尤其是在国内外上市的企业,一旦发生这类安全事件,必将造成人心惶惶,造成经济和声誉上的巨大损失。即使是对不上市的企业,其影响和损失也是不可估量的。
2.XSS跨站漏洞以及钓鱼式攻击
XSS(中文名称为跨站脚本)是一种很常见的脚本漏洞。因为跨站脚本攻击不能直接对系统进行攻击,所以往往被人们忽视。
由于WEB应用程序没有对用户的输入进行严格的过滤和转换,导致在返回页面中可能嵌入恶意代码。远程攻击者可以利用这些漏洞在用户浏览器会话中执行任意HTML和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现,因此这种攻击能在一定程度上隐藏身份。
由于跨站脚本不能直接对系统进行攻击,所以它总是伴随社会工程学来实现攻击。这种攻击的主要表现形式是钓鱼式攻击。钓鱼式攻击方式有很多,比如获取Cookie、伪造页面、屏蔽页面特定信息、与其它漏洞结合攻击操作系统等。钓鱼式攻击是一种针对人脑的攻击方式,它的传播手段有EMAIL、IM、聊天室、恶意连接、游戏中的聊天系统等,凡是能实现用户之间互动操作的系统都存在钓鱼式攻击的风险。
在电子商务蓬勃发展的今天,针对个人财务信息的钓鱼攻击事件数量成直线上升,其中一个主要攻击途径就是跨站脚本执行漏洞。据统计,国内外存在跨站脚本漏洞的网站多达60%,其中包括许多大型知名网站。
四、Web应用系统安全防范建议
根据本人信息网络安全管理的实践经验,就如何做好Web应用系统的安全防范,提出以下几点建议:
1.加强网站系统和网络安全
重点抓好以下六个方面:及时安装系统补丁;定期查杀病毒、木马程序;定期更换高强度的系统口令、密码;关闭不必要的网络端口;关闭长期不维护的网站;禁止内部网络非法外联。
2.定期对网站进行安全评估
一是采用黑盒测试,模拟黑客行为,定期对Web应用进行安全评估,可以有效地发现外部威胁,增强Web应用程序的安全性。二是采用白盒测试、代码审计,结合黑盒测试的结果可以缓解Web应用的安全风险。三是及时有效的发现SQL注入、跨站脚本、单表逃逸、网页木马、XPatb注入、代码注入、命令注入等基于Web应用的安全风险。
3.建立Web深度防御系统,对Web应用进行实时防御、监控和管理
采用网站深度防御系统对Web应用进行实施监控,在第一时间发现来自内部或外部的安全风险,对Web应用程序进行深度防御,把安全风险降至最低。其中包括监控SQL注入、跨站脚本、单表逃逸、XPatb注入、代码注入、命令注入等恶意攻击的发生时间、来源以及针对Web应用程序名称监控webshell、远程命令操作等恶意代码的发生时间、来源等。 (作者单位:省公安厅网络警察总队)
参考文献
[1] 许治坤、王伟、郭添森、杨冀龙著《网络渗透技术》,电子工业出版社,2005年4月出版
[2] 张国祥:《基于Apache的Web安全技术的应用》,武汉理工大学学报,2004,(3)
[3] 蔡林:项目建设中的持续安全风险管理(CSRM),《网络安全技术与应用》,2005,(11)
[4] 单欧:SSL在web安全中的应用,《信息安全》,2004,(6)
[5] 陈明奇、崔翔:“僵尸网络”的威胁及应对策略,《信息网络安全》, 2005,(5)
