【.com 综合报道】近日,Gartner公布的一份调查显示,有75%的恶意攻击行为是针对Web应用的,仅有很少一部分是针对网络层的。调查数据显示,近2/3的Web站点相当脆弱,容易受到不同程度的恶意攻击。这意味着,Web网站的安全防御应该成为企业信息化建设所关注的焦点,然而,事实上绝大多数企业将大量的投资花费在网络和服务器的安全上,并没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。
根据世界知名的Web安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是注入漏洞和跨站脚本漏洞。
注入漏洞攻击。特别是SQL注入漏洞,主要是利用目标网站程序未对用户输入的字符进行特殊字符过滤或合法性校验,可直接执行数据库语句,导致网站存在安全风险通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截注入攻击。
跨站脚本漏洞攻击,是指目标网站对用户提交的变量代码未进行有效的过滤或转换,允许攻击者插入恶意Web代码(通常是一些经过构造的javascript语句),劫持用户会话、篡改网页信息甚至引入蠕虫病毒等通过验证用户输入使用的是消极或积极的安全策略,有效检测并拦截跨站点脚本( XSS )攻击。
从以往发生的安全事件来看,Web攻击可导致的后果极为严重,通过上述手段将一个合法正常网站攻陷,利用获取到的相应权限在网页中嵌入恶意代码,将恶意程序下载到存在客户端漏洞的主机上,从而实现攻击目的。如:盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号。控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料。非法转账。网站挂马。控制受害者机器向其他网站发起攻击……
鉴于上述对Web常见攻击的分析,对Web及客户端的保护已经刻不容缓,为此,来自联想网御的安全专家通过安全频道,给广大企业信息化管理者提出了以下几点建议:
首先,解决Web服务器端安全问题。具体的解决办法可采取源代码审计与部署入侵防护系统相结合的方式,源代码审计是经过专业安全人员,对Web应用程序源代码进行安全性检查,对程序的输入输出函数进行安全测试,最大程度保障Web程序的自身代码安全;并通过部署入侵防护系统,针对跨站脚本、SQL注入、cookies注入、参数篡改等Web攻击方式进行主动防护。
其次,解决Web浏览客户端安全。主要是防范远程恶意代码执行漏洞,其原理是通过构造精心设计的格式错误数据,由攻击者触发系统漏洞,并在客户端软件中更改代码执行路径,来执行由攻击者随格式错误数据附带恶意代码或程序的利用过程。如果客户端浏览器中存在未修补的恶意代码执行漏洞或0day漏洞,当访问受恶意代码感染的站点时,该站点会自动在登录用户的浏览器中运行攻击者的恶意代码,并利用Web浏览器漏洞安装恶意病毒、木马程序,如密码窃取恶意软件等。这些恶意行为是利用了浏览器本身的系统后台漏洞执行,所有这一切根本无需任何用户交互操作。所以应尽量使用已采用常规堆栈保护措施版本的Web浏览器,来防止基于堆栈和基于堆的缓冲区溢出攻击。目前最新版本的Microsoft IE浏览器已经提供基于数据执行保护( DEP )或不执行( NX)的内存保护措施,Internet Explorer 8平台在Internet控制面板选项开启“启用内存保护帮助减少联机攻击”的选项就可以有效防止远程代码攻击;另外建议部署统一的内网管理系统,统一对关键应用程序和系统补丁进行时时监控和统一升级,保证客户端和内网安全。
再次,是解决对木马、病毒的防治。建议安装终端防病毒、防火墙软件并保持时时更新,开启入侵防护系统病毒木马防护策略,建立统一病毒防护体系,如在网络边界部署网络防毒墙,对关键服务器和客户端进行重点防护,并对其网络连接进行入侵检测监控,保证安全风险在一个可控的范围内。
实际上,针对当前Web安全形势,包括联想网御在内的一大批国内知名厂商提出了一系列的安全解决方案。这些方案从多个角度对企业IT应用现状进全方位地评估和分析,充分了解系统面临的风险状况,通过安全评估、安全修复和部署相应产品相结合的方式,才能最大程度保护Web系统应用的安全。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/135639.html<
