【IT168 技术】随着互联网的逐渐普及，应用层安全问题正逐渐的显露出来。越来越多的政府等重要网站或WEB办公系统被渗透，在通过浏览器方式实现展现与交互的同时，用户的业务系统所受到的威胁也随之而来，并且随着业务系统的复杂化及互联网环境的变化，所受威胁也在飞速增长。而网络管理人员却对此无能为力，因为传统的WEB应用防火墙和入侵检测系统等安全产品并不能发现并阻止来自于应用层的入侵攻击。网站应用的安全性事先必须进行有效测试和评估，这样才能避免在日益增长的应用层攻击事件中遭受损失。

　　江湖危机：WEB安全受到的挑战

　　最权威的RSA大会研究显示，Web应用安全已超过所有以前网络层安全，逐渐成为最严重、最广泛、危害性最大的安全问题。

　　WEB安全的挑战主要来自以下几个方面：

• XSS跨站攻击
• SQL 注入
• 网络钓鱼
• 恶意代码
• 伪造ARP报文
• RootKit隐身技术
• 等等

　　黑客出击：攻击由网络层转向应用层

　　随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。

　　然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击(如：针对WEB应用的SQL注入攻击、跨站脚本攻击等)发生时，传统的网络WEB应用防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。

　　据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识;应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装WEB应用防火墙是远远不够的。

　　安恒信息高手点析：面向应用层新型攻击特点简析

• 　　隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。
• 　　攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。
• 　　危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息(如身份证)，交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取， 都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃(identity theft)已成为全球最严重的问题之一。
• 　　造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业，一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以致于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。

　　江湖告急：现有的网络层防护产品面对应用层攻击束手无策

　　传统的WEB应用防火墙或IDS产品存在以下不足：

　　WEB应用防火墙：通过端口限制实现访问控制，但对于WEB应用而言，其HTTP/HTTPS端口是开放的。因此，WEB应用防火墙无法检测到WEB应用攻击的发生，更谈不上阻止攻击。

　　IDS：依靠特征库检测已知攻击，而对于WEB应用攻击，变形非常多(比如：SQL注入、跨站脚本、恶意文件包含等)，IDS无法穷尽所有的特征，当然，更加不可能预知未来的变形。