如何應對WEB攻擊的防護盲點(1)

WEB攻擊的數量逐年上升，占了大部分攻擊事件比例。WEB安全已經推到了前沿浪尖，無論是政府還是企業都迫切解決這個棘手的問題，Gartner統計：目前75%攻擊轉移到應用層。原有的傳統防御設備已經不能滿足企業對網絡攻擊的防御。WEB應用技術在積極發展的同時需要強有力的安全保障，所以WAF是應形勢需求誕生的產品，它走上應用安全的舞臺，是一個必然的趨勢。

Web漏洞歸類

眾所周知，WEB服務系統實際不是一個單一的軟件，它由OS+Database+WEB服務軟件（比如：IIS、Apache）+腳本程序（比如：Jscript、PHP代碼文件）構成，所以要考慮它最基本的依賴，那就是OS和Database、WEB服務軟件自身的安全，這個可以通過安全加固服務來實現，而最核心的應用程序代碼是不能用同樣的手段來解決，這也是WEB安全問題的主要來源。

WEB 應用安全漏洞與操作系統或者網絡設備的漏洞是不同的，這是因為編寫代碼者是不同的，產生的代碼也是不同的，所以國外有成立正門的WEB安全組織來歸類一些漏洞，讓開發人員、安全廠家、第三方專家等能用一種一致的語言來討論WEB安全問題。比較有名的是OWASP的TOP10漏洞，還有Web Application Security Consortium (WASC)歸類的Thread Classification，如下表：

從安全角度看，WEB從設計到開發必須遵循：

1.安全設計

2.安全編碼

3.安全測試（代碼審計和掃描、滲透）

4.安全運維

其中最根本的在于安全設計和安全編碼，也就是上線前必須保證WEB產品的自身強壯性。目前大部分的WEB應用程序是用戶自己或請人編寫，其他的或網站里部分組件，比如論壇、郵件系統、留言板等會用到商業版，代碼是不相同的，而且程序員的水平參差不齊，更重要的是他們都遵循了軟件的安全開發標準嗎？

記住，這是我們為什么需要WAF的第一個理由！

攻擊從未停止

讓我們先看下圖，是攻擊網站的基本步驟和方法。

如上所示，互聯網每天都充斥著數千萬的攻擊流量，而WAF可以自動識別和屏蔽大部分主流的攻擊工具特征，使得它們在攻擊的前奏就失效，綠盟科技WAF采用的是透明代理模式，使得客戶端和服務器的雙向流量都必須經過WAF清洗，而又無需另外配置，保持原有的網絡結構，每個報文需要接受WAF對其的“搜身檢查”，合格之后再進行轉發。

可能有人會說Firewall和IPS不是這樣的設備嗎？它們為什么不能防御呢？詳細的對比參數我就不列舉了，大家知道OSI 7層模型，防火墻通常工作在OSI的第三層，也就是針對網絡層，包括包過濾型和狀態包檢測型防火墻，即使是應用層防火墻也無法阻擋大多數WEB攻擊行為，這是它自身技術定位決定的局限性。攻擊者只需在瀏覽器上操縱URL就可攻擊目標網站。當然，作為互補型的IDS（入侵檢測系統）、IPS（入侵防護系統）產品是能防護應用層的攻擊行為，但是市面上絕大多數的產品都只能防護一部分WEB攻擊，甚至有些產品也是直接在IDS類產品上做修改而形成的WAF，基本只依靠規則來實現，嚴重滯后于繁雜多樣的WEB攻擊手段。當然，我在這里要重申一下，WAF可以和傳統的FS+IPS作為一個有益的補充，但絕不是去代替他們。

所以，WAF的自身代理架構使得分析和阻擋攻擊具有天然的優勢，這是我們為什么需要WAF的第二個理由！

WAF的防護原理

好，我們再回到防護盲點的產生這個焦點話題，那就是無論如何安全設計和編碼，或者經過最嚴謹代碼審計、滲透測試之后都難免會有漏洞，因為理論上1000行代碼就有1個Bug，檢查只能讓這些減少而已，無法真正做到沒有安全漏洞的產品，這也就是為什么軟件廠商會不斷地推出一個個補丁來彌補，而這些Bug只要能被攻擊者發現和利用那么就會帶來威脅。

也就是說代碼缺陷是先天存在的，即使后來修復也會具有一定的滯后性，而且不能保證100%地發現所有存在的漏洞那個缺陷。為了給大家更好地理解WAF防護的天然優勢我們從兩個例子來進行分析，從技術實現角度看WAF，SQL注入采用了規則集靜態防護，CSRF采用了算法的動態防護。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]