Web应用安全现状分析及防护建议.docx

??

?

??

Web应用安全现状分析及防护建议

?

?

?

?

?

??

?

?

?

俞优，顾健，李毅

（安部第三研究所，上海200031）

摘要：伴随着网络技术的蓬勃发展和广泛，网络犯罪呈现出高发态势。目前网络Web应用安全是整个网络系统中极为重要的一部分，本文分析了Web应用的安全现状及目前常见的攻击，并给出了安全防护建议。

关键词：Web应用；漏洞；SQL注入；安全防护

TP393.08：A

0引言

随着网络技术及其应用的快速发展，Web作为网络应用的主要载体，Web应用逐渐成为主流，广泛应用于各种业务系统中。但是人们往往忽略Web程序本身的安全性，这些存在漏洞的Web应用程序容易被攻击者利用造成用户的重要数据被泄漏、篡改或破坏。而传统操作系统日益成熟化，利用系统漏洞越来越困难，攻击者的目标也逐渐转向于应用漏洞，于是各种各样的Web应用安全性成为了焦点。而保证Web应用系统安全的首要条件是充分了解安全漏洞，只有充分了解攻击者所采用的攻击方法以及Web应用系统中存在的可供攻击者利用的各种漏洞，我们才能针对这些漏洞采取行之有效的防御方法，因此对其安全漏洞的研究也愈加强烈。研究Web应用安全漏洞的特征，希望能够清楚一个Weh应用系统安全问题是如何发生的，来源是什么，从哪个角度降低风险？这样对于指导Wel)应用系统的安全测试和安全防御工作，对于提高Web应用的安全性，减少安全事件发生具有重要的意义。

本文分析了Web应用的安全现状及目前常见的攻击，并给出了安全防护建议。

1安全现状

Netcraft报告显示网站数量迅速增长，见图l

而根据Cartner的数据分析，2/3的Weh应用或多或少都存在安全问题，其中很大一部分是相当严重的问题，因此Weh应用安全已超过所有以前网络层安全，逐渐[来自Www.lw5U.com]成为最严重，最广泛，危害性最大的安全问题，严重影响了人们对Web应用的信心。

虽然用户在网络和服务器的安全上花费了大量的投资，配备了防火墙、IDS和漏洞扫描工具等一系列安全设备，但是没有从真正意义上保证Web应用本身的安全，这些手段远远不能保障Web应用的安全。常见的Web攻击（如SQL注入）利用程序漏洞通过lE常的连接进行攻击，在防火墙或IDS等网络层安全设备看来是正常的访问连接，没有任何特征能够说明此种访问连接存在恶意攻击，因此访问一旦被允许，后续的安全问题就不是防火墙能应对了。因此，这是防火墙、IDS无法预防、解决、和应对的，简单的SQL注入语句就能使部署这些安全设备的Web应用被轻松攻陷。

从图2我们可以就看出当前的安全防护现状，仅10010的投资花费用于防护应用安全漏洞，而其面对的却是75%的信息安全攻击，这是造成Web应用被频频攻陷的一个重要因素。

2常见的Web应用攻击

2.10WASP公布的十大安全隐患

常见的Web应用攻击多达几百种，而OWASP组织（开放式web应用程序安全项目）会定期公布“十大安全隐患列表”，反应目前的最常见、最危险的攻击现状。OWASP2010年4月正式发布的“Top102010”如表l：

本次OWASP公布的新版rop10，Injertion上升为10大攻击之首，跨站脚本也依然靠前，未验证输入值仍然是最大风险。虽然许多用户已意识到Web应用安全性问题，但我们还是发现许多Weh程序的弱点都与未验证使用者的输入值有关。此外，从应用程序使用、配置方面的安全隐患和常见性来看，加入了SecurityMisconfiguration，由此可见除了技术面的威胁外，管理安全造成威胁一样不容小觑。

2.2攻击原理

我们通过注入攻击介绍下攻击原理，注入攻击，特别是SQL注入是网站常见的安全缺陷。在Web应用漏洞中，SQL注入漏洞的风险要高过其他所有的漏洞。其优势在于能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。多数攻击都类似于SQL注入攻击，根据应用程序本身的漏洞，对系统进行破坏工作，例如：获取系统权限、获取机密信息、模拟合法用户等等。

SQL注入利用的工具是SQL的语法，针对的是应用程序开发者编程中的漏洞，通过构建特殊的输入，这些输入往往是SQL语法中的一些组合，这些输入将作为参数传人Web应用程序，通过执行SQL语句而执行人侵者想要的操作H。该类攻击具备广泛性，由于其利用的是SQL语法，使得攻击普遍存在；攻击代码的多样性，由于各种数据库软件及应用程序有其自身的特点，实际的攻击代码可能不尽相同。

下面是一个简单的SQL注入实例：

假设的登录查询

SELECt*FROMusersWHERelogin=1adminacute;ANDpassword=’123‘假设的ASP代码varsql=”SELECt