-
Web安全
鎖定
- 中文名
- Web安全
- 定 義
- 保證Web環境安全,為新型互聯網產品提供安全平台
- 現狀原因
- 目前很多業務都依賴於互聯網
- 攻擊種類
- SQL注入
Web安全定義
隨着Web2.0、社交網絡、微博等等一系列新型的互聯網產品的誕生,基於Web環境的互聯網應用越來越廣泛,企業信息化的過程中各種應用都架設在Web平台上,Web業務的迅速發展也引起黑客們的強烈關注,接踵而至的就是Web安全威脅的凸顯,黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。這也使得越來越多的用户關注應用層的安全問題,對Web應用安全的關注度也逐漸升温。
Web安全現狀原因
很多業務都依賴於互聯網,例如説網上銀行、網絡購物、網遊等,很多惡意攻擊者出於不良的目的對Web 服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬户信息謀取利益。正是因為這樣,Web業務平台最容易遭受攻擊。同時,對Web服務器的攻擊也可以説是形形色色、種類繁多,常見的有掛馬、SQL注入、緩衝區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。
一方面,由於TCP/IP的設計是沒有考慮安全問題的,這使得在網絡上傳輸的數據是沒有任何安全防護的。攻擊者可以利用系統漏洞造成系統進程緩衝區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用户權限來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。而應用層面的軟件在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩衝區溢出、SQL注入等等流行的應用層攻擊,這些均屬於在軟件研發過程中疏忽了對安全的考慮所致。
另一方面,用户對某些隱秘的東西帶有強烈的好奇心,一些利用木馬或病毒程序進行攻擊的攻擊者,往往就利用了用户的這種好奇心理,將木馬或病毒程序捆綁在一些豔麗的圖片、音視頻及免費軟件等文件中,然後把這些文件置於某些網站當中,再引誘用户去單擊或下載運行。或者通過電子郵件附件和QQ、MSN等即時聊天軟件,將這些捆綁了木馬或病毒的文件發送給用户,利用用户的好奇心理引誘用户打開或運行這些文件。
Web安全攻擊種類
1、SQL注入:即通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令,比如先前的很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的,這類表單特別容易受到SQL注入式攻擊。
2、跨站腳本攻擊(也稱為XSS):指利用網站漏洞從用户那裏惡意盜取信息。用户在瀏覽網站、使用即時通訊軟件、甚至在閲讀電子郵件時,通常會點擊其中的鏈接。攻擊者通過在鏈接中插入惡意代碼,就能夠盜取用户信息。
Web安全防火牆
Web應用安全問題本質上源於軟件質量問題。但Web應用相較傳統的軟件,具有其獨特性。Web應用往往是某個機構所獨有的應用,對其存在的漏洞,已知的通用漏洞簽名缺乏有效性;需要頻繁地變更以滿足業務目標,從而使得很難維持有序的開發週期;需要全面考慮客户端與服務端的複雜交互場景,而往往很多開發者沒有很好地理解業務流程;人們通常認為Web開發比較簡單,缺乏經驗的開發者也可以勝任。
Web應用安全,理想情況下應該在軟件開發生命週期遵循安全編碼原則,並在各階段採取相應的安全措施。然而,多數網站的實際情況是:大量早期開發的Web應用,由於歷史原因,都存在不同程度的安全問題。對於這些已上線、正提供生產的Web應用,由於其定製化特點決定了沒有通用補丁可用,而整改代碼因代價過大變得較難施行或者需要較長的整改週期。
這種現狀,專業的Web安全防護工具是一種合理的選擇。WEB應用防火牆(以下簡稱WAF)正是這類專業工具,提供了一種安全運維控制手段:基於對HTTP/HTTPS流量的雙向分析,為Web應用提供實時的防護。
常見的WEB安全產品有梭子魚WEB應用防火牆等。
Web安全技術一覽
由於黑客的職業化程度越來越高,針對Web應用的攻擊手段和技術日趨高明、隱蔽,致使大多Web應用處在高風險環境下開展。網站遭受攻擊將直接衝破企業應用的安全底線,損害企業的社會形象,導致客户流失。梭子魚WEB應用防火牆能夠為企業提供強大的應用層安全防護,同時通過梭子魚直觀、實時的管理界面對Web應用進行統一的安全管理。
全面Web站點防護