Web安全

Web安全

網絡服務
什麼是Web安全?随着Web2.0、社交網絡、微博等等一系列新型的互聯網産品的誕生,基于Web環境的互聯網應用越來越廣泛,企業信息化的過程中各種應用都架設在Web平台上,Web業務的迅速發展也引起黑客們的強烈關注,接踵而至的就是Web安全威脅的凸顯,黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁内容,重則竊取重要内部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。這也使得越來越多的用戶關注應用層的安全問題,對Web應用安全的關注度也逐漸升溫。
    中文名:Web安全 外文名: 别名: 定義:随着Web2.0、社交網絡 現狀原因:目前很多業務都依賴于互聯網 攻擊種類:SQL注入

安全威脅日趨嚴重的原因

随着互聯網技術的不斷發展,越來越多的企業和組織通過門戶網站、在線服務平台等向公衆提供服務,Web應用的重要程度不言而喻由于Web應用具有訪問對象開放、技術架構複雜、涉及場景多樣等特點,使其長期成為攻擊的第一目标。根據奇安信最新的調查報告顯示,信息安全攻擊中超過75%都發生在Web應用層而非網絡層上,可能造成的危害結果包括服務器淪陷、數據信息洩露、服務應用中斷、網站内容篡改等,每年都給數以萬計的用戶造成了巨大的損失。

目前很多業務都依賴于互聯網,例如說網上銀行、網絡購物、網遊等,很多惡意攻擊者出于不良的目的對Web 服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是因為這樣,Web業務平台最容易遭受攻擊。同時,對Web服務器的攻擊也可以說是形形色色、種類繁多,常見的有挂馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。

一方面,由于TCP/IP的設計是沒有考慮安全問題的,這使得在網絡上傳輸的數據是沒有任何安全防護的。攻擊者可以利用系統漏洞造成系統進程緩沖區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶權限來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。而應用層面的軟件在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩沖區溢出、SQL注入等等流行的應用層攻擊,這些均屬于在軟件研發過程中疏忽了對安全的考慮所緻。

另一方面,用戶對某些隐秘的東西帶有強烈的好奇心,一些利用木馬或病毒程序進行攻擊的攻擊者,往往就利用了用戶的這種好奇心理,将木馬或病毒程序捆綁在一些豔麗的圖片、音視頻及免費軟件等文件中,然後把這些文件置于某些網站當中,再引誘用戶去單擊或下載運行。或者通過電子郵件附件和QQ、MSN等即時聊天軟件,将這些捆綁了木馬或病毒的文件發送給用戶,利用用戶的好奇心理引誘用戶打開或運行這些文件。

常見的攻擊種類

1、SQL注入:即通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令,比如先前的很多影視網站洩露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特别容易受到SQL注入式攻擊。

2、跨站腳本攻擊(也稱為XSS):指利用網站漏洞從用戶那裡惡意盜取信息。用戶在浏覽網站、使用即時通訊軟件、甚至在閱讀電子郵件時,通常會點擊其中的鍊接。攻擊者通過在鍊接中插入惡意代碼,就能夠盜取用戶信息。

3、網頁挂馬:把一個木馬程序上傳到一個網站裡面然後用木馬生成器生一個網馬,再上到空間裡面,再加代碼使得木馬在打開網頁裡運行。

WEB應用防火牆

Web應用安全問題本質上源于軟件質量問題。但Web應用相較傳統的軟件,具有其獨特性。Web應用往往是某個機構所獨有的應用,對其存在的漏洞,已知的通用漏洞簽名缺乏有效性;需要頻繁地變更以滿足業務目标,從而使得很難維持有序的開發周期;需要全面考慮客戶端與服務端的複雜交互場景,而往往很多開發者沒有很好地理解業務流程;人們通常認為Web開發比較簡單,缺乏經驗的開發者也可以勝任。

Web應用安全,理想情況下應該在軟件開發生命周期遵循安全編碼原則,并在各階段采取相應的安全措施。然而,多數網站的實際情況是:大量早期開發的Web應用,由于曆史原因,都存在不同程度的安全問題。對于這些已上線、正提供生産的Web應用,由于其定制化特點決定了沒有通用補丁可用,而整改代碼因代價過大變得較難施行或者需要較長的整改周期。

這種現狀,專業的Web安全防護工具是一種合理的選擇。WEB應用防火牆(以下簡稱WAF)正是這類專業工具,提供了一種安全運維控制手段:基于對HTTP/HTTPS流量的雙向分析,為Web應用提供實時的防護。

常見的WEB安全産品有梭子魚WEB應用防火牆等。

梭子魚WEB應用防火牆技術一覽

由于黑客的職業化程度越來越高,針對Web應用的攻擊手段和技術日趨高明、隐蔽,緻使大多Web應用處在高風險環境下開展。網站遭受攻擊将直接沖破企業應用的安全底線,損害企業的社會形象,導緻客戶流失。梭子魚WEB應用防火牆能夠為企業提供強大的應用層安全防護,同時通過梭子魚直觀、實時的管理界面對Web應用進行統一的安全管理。

梭子魚WEB應用防火牆能夠有效防護諸如數據竊取、DDoS、網頁篡改等各種高危害性的網站攻擊。

1、全面的Web站點防護

統網絡防火牆的低層處理機制以及與IPS對于HTTP、HTTPS和FTP流量的簡單操作相比,梭子魚WEB應用防火牆則對HTTP流量進行代理,并全面掃描7層數據,确保攻擊在到達Web服務器之前就将其阻斷。許多Web應用由于斷斷續續的代碼加固及安全維護,緻使這些Web應用通常存在嚴重的安全漏洞及隐患。 火牆能夠阻斷所有常見的Web攻擊。作為一個反向代理,在阻斷攻擊的同時,能夠對外發的HTTP響應進行全面的監控,确保諸如信用卡卡号、社保卡卡号等敏感信息的洩露。結合動态學習功能,梭子魚應用防火牆能夠學習Web服務器的内在結構并生成策略,确保網站的高安全性。

2、領先的流量管理及加速技術

将網站安全的管理降到最低,梭子魚WEB應用防火牆使用動态更新機制,實時更新最新的安全策略庫和攻擊規則庫。同時還提供強大的SSL卸載、SSL加速以及負載均衡功能。這些流量優化功能能夠大大提高整個網站的性能和效率。

相關詞條

相關搜索

其它詞條