绝大多数人在谈到网络安全时,首先会想到“防火墙”。防火墙得到了广泛的部署,企业一般采用防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足Web应用防护的需求。防火墙的不足主要体现在:
1、传统的防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。设计之初,它就无需理解Web应用程序语言如HTML及XML,也无需理解HTTP会话。因此,它也不可能对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。恶意的攻击流量将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
2、有一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对Web应用攻击的研究深度不够,只能提供非常有限的Web应用防护,难以应对当前最大的安全威胁,如SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题,更是无能为力。
IPS和防火墙的防护功能仅能一定程度缓解针对Web应用的攻击。彻底消除安全隐患,还需要借助Web应用漏洞扫描工具,用以来诊断Web应用程序脆弱性。而传统IPS设备更多从防护着手,不具备事前预防的能力。从安全角度考虑,需要针对目前泛滥的SQL注入、跨站脚本攻击、应用层DDoS等Web应用攻击,提供有效检测、防护,降低攻击的影响,从而确保业务系统的连续性和可用性。
Gartner的研究显示目前大约70%的安全漏洞源自网络应用层。趋势科技资深产品技术顾问徐学龙分析,安全漏洞可能是TCP/IP协议设计之初未考虑安全因素、系统自身存在的Bug、Web应用漏洞,也可能是各类配置错误导致。这些安全漏洞为攻击者所利用,用以实施DDoS、缓冲区溢出、恶意远程文件执行、目录遍历攻击以及当前最为泛滥的SQL注入、跨站脚本(XSS)攻击。
图一:如果按照现在的增长速度,到2015年将会有2.33亿恶意程序,每小时会有26598个新病毒需要处理
图二:典型的Web攻击模式
用户目前经常遭遇的Web应用安全隐患
1:用户商业机密外泄
2:非授权访问
3:公司网站成为黑客利用的工具
4:SQL注入
5:存在超级用户权限隐患
6:Web管理平台地址暴露
7:忽视网站底层技术隐患
8:XSS跨站执行
9:没有任何安全隐患
10:其他
