Web应用程序在互联网随处可见,这也使Web应用程序很容易成为黑客的“猎物”,黑客可以利用工具模仿用户行为以便在没有引起任何怀疑的情况下扫描网站的漏洞。
根据最新的IBM ISS X-Force 2009年上半年趋势与风险报告显示,“影响服务器最普遍的漏洞类型,毫无疑问是与Web应用程序相关的漏洞”。Web应用程序中存在很多漏洞,并且发现这些漏洞以及利用这些漏洞发动攻击是很容易的,因为大多数Web应用程序都是面向所有用户的,这也是黑客集中力量发动Web应用程序攻击的原因。如果说过去的大多数黑客只是试图攻击饮料公司网站并且替换其网站logo的少年,那么可以说,现在的黑客就是专门以攻击Web应用程序获取利益的高手。
近期发生的Heartland Payment系统泄漏事故(泄漏了数百万信用卡和借记卡交易信息)就是利用web应用程序漏洞发动攻击的。根据华盛顿邮报报道,大多数最近发生的数据泄漏事故都是由团伙犯罪分子组织的,包括位于东欧的犯罪组织等,这些犯罪分子已经攻击了很多银行、支付处理商、预付卡供应商和零售商的网站和数据库。
另外,必须要注意的是,攻击者有时候发动与Web相关的攻击是为了获取目标企业专用网络的访问权限。根据Verizon Business报道,“当攻击者需要获取访问权限时,SQL注入攻击是他们的最佳选择,”近日发生的Heatland泄漏事故就是使用SQL注入攻击来获取到Heartland数据中心的访问权限的。可以利用任何web应用程序的漏洞的攻击者就可以利用SQL注入攻击,并在其服务器上安装恶意软件。这种软件可以让攻击者获取企业整个专用网络的访问权限。因此,企业必须确保所有web应用程序的安全以防止攻击者攻击数据中心。
尽管如此,web应用程序漏洞仍然是攻击者最喜爱的攻击方式,根据IBM ISS X-Force 2008趋势和风险报告,去年发现的web应用程序漏洞中,74%的漏洞都没有供应商提供的修复补丁。
保护你的数据—代码真的安全吗?
PCI(支付卡行业)安全委员会建议,企业必须确保所有的web应用程序开发者根据预先定义的安全规则来编写代码,并且建议在web应用程序开发周期间就应该尽可能的评估应用程序中的漏洞。这种安全规则对于想要保护web应用程序的企业来说是个很好的方法,而对于需要遵守PCI合规的企业则必须制定这种安全规则。想要创建更好的安全网站的最佳做法就是,对编写安全的代码并且定期对那些代码进行安全扫描。没有任何安全漏洞并且进行了安全编码的web应用程序完全不可能遭遇泄漏事故。
但是要想编写完全安全的代码不是简单的事情。软件工程师都喜欢技术挑战,他们会运用新的编程方法来掌控各种各样的性能优化。但是从安全的角度来看,大多数web工程师都考虑得比较少,他们认为只需要编写符合安全规则的代码就足够了,安全并不是他们的本职工作,他们只需要遵守安全专家定义的规则。
使用高级的安全扫描工具也许可以迅速发现大多数漏洞,但是在将整个网络安全寄托在web工程师身上之前,必须意识到,只有发展良好的企业文化才能够长久地保障企业文化。如果在数据中心使用第三方web应用程序,必须确保那些应用程序的开发人员不仅需要理解网络安全威胁,同事还需要确保在他们的代码中执行了与安全相关的方法。
从另一方面来看,网络黑客其实是寻找正确突破口攻入系统的专家。如果web开发者没有“关闭”所有网络漏洞,web攻击者就可能找出这个漏洞。现在的黑客是非常老练的并且在搜寻web漏洞时有条不紊,这些黑客通常都会使用自动化工具来全面的扫描网站的漏洞。IBM报告显示,攻击者甚至使用僵尸网络来找出网站的漏洞。
保护你的数据 –向web安全专家寻求帮助
PCI安全委员会对于保护网站的第二个建议就是,安装web应用程序防火墙(WAF)。安装在web应用程序前面的WAF防火墙可以监测所有的web应用程序流量,并且能够检测和阻止web攻击。
通过安装WAF,web安全专家可以保护web应用程序的安全。最新的WAF产品是基于其开发者和安全专家长期以来的web安全经验开发出来的。尽管web攻击者掌握了攻击web应用程序的方法,WAF供应商也已经掌握了防止这些攻击者发动攻击的方法。并且,WAF能够很好的检测并且阻止最常见的web攻击(包括SQL注入攻击和跨站脚本攻击等)。
假设一个公司在web应用程序签名运行ADC(应用程序交付控制器),那么ADC同样也可以担当WAF的角色,只需要启用ADC内的WAF功能就能够保护web应用程序免受攻击。
最佳数据保护解决方案
但是事实上,为新的WAF解决方案申请预算通常要比为现有资源运行安全测试以及编写安全代码申请预算要难得多。并且,WAF并不是很容易配置,在大多数情况下,需要了解被保护的web应用程序才能够确保全面的保护。
如果企业认为自身是安全的,那么最好的方法就是遵循PCI委员会的建议“最佳多层次防御应该包括两种方式的适当部署(安全代码和安装WAF)”。但是PCI也承认说,从部署两种解决方案的成本和操作复杂性来看,是很难实现的,如果预算允许的话,就可以从安装WAF开始保护web应用程序,因为web攻击是当前面临的真正威胁,在未来这种威胁趋势必将增长。创建正确的安全原则和代码规则是需要不断持续进行的工作。
