保護好您的Web應用——IBM中國Rational進階技術顧問李劍波與您分享IBM内部Web應用安全管理經驗

Web應用安全需要重視

    計算機技術發展到今天，新的技術不斷産生，帶來了很多好的産品，給社會創造了大量的價值，提高了生活品質。與此同時，技術發展的雙刃劍，也給我們帶來了很多問題，其中就包括在計算機安全領域中的各種問題。而在安全領域，Web應用的安全問題，在近幾年又成為了一個熱點，這主要展現在下面幾個方面：

（1）Web應用是針對應用層的安全問題，是重中之重！

    與傳統的安全問題不同，Web應用攻擊直接針對應用邏輯進行攻擊，不像傳統攻擊那樣曲折，将造成更大影響。比如針對網絡銀行系統的攻擊一旦得逞，造成的危害要比系統當機嚴重得多。

（2）Web應用的普及自然促進了Web應用安全問題的發生：

    目前Web應用的數量不斷增加，其增長數度也十分迅猛，Web方式應用已經成為各個企業應用建構的首選。在此大背景下，以Web應用為攻擊目标的攻擊也更為頻繁，Web應用安全顯得越為重要。

（3）傳統的應用安全黑客向Web應用安全轉移：

    傳統的黑客技術比如端口掃描/越界攻擊等方式，已經為世人所熟知，一般的應用建構都會優先考慮此類傳統攻擊的安全防禦。由此，一些黑客将攻擊技術研究的重點已經轉到了Web應用方面，而避開傳統的防護方式（比如防火牆/IDS/IPS等），進而加劇了Web應用安全的危險。

（4）Web應用技術的發展帶來了新的安全問題：

    為了使Web應用能夠滿足傳統應用使用者的使用方式和習慣，大量的新的Web開發技術不斷湧現。在帶來良好的使用者體驗和開發效率的同時，也不斷的引入了新的安全問題，這更增加了Web應用安全的風險。

（5）傳統Web應用漏洞的普及：

    Web應用由于其本身的無狀态特性，攻擊方式相對門檻較低，同時，随着近幾年網際網路的不斷發展，傳統Web應用攻擊方式也越來越普及。一個有着惡意目的的使用者不用花費太大的精力，就可以快速掌握一些Web應用供給方法，進行攻擊，而一旦得逞将直接造成重大順失。

    基于以上幾點，Web應用安全對于企業應用安全已經成為了具有重要地位的内容，需要加以重視。

傳統應用安全防範的漏洞

圖1  常用的Web應用架構

    圖1是一個常用的Web的應用架構。首先會在最終使用者的用戶端部署一些相應的防病毒軟體，防止個人的木馬或病毒造成的問題。同時，我們現在也已經意識到在通信層會用SSL進行通信的加密。下一步，一般應用廠商會準備一些防火牆。通過防火牆能夠幫助我們防止大部分的DOS或者系統級的攻擊；在這個層次以後還會引入IDS和IPS的應用系統，進行基于模式的攻擊檢測。最後還會準備一層内部防火牆，防護應用系統的内部伺服器。

    但是無論如何，我們的應用邏輯是要暴露出來的，總是有一些方法通路到應用邏輯本身，這時候你的應用可能就會存在問題。我們做一個應用的時候，就像畫一個圓一樣，這個應用功能的需求可能隻需要一個合适的小圓，但是應用做出來了以後，應用實際上線的功能可能是一個更大的大圓。這樣在你的功能之外，就是這個大圓和小圓之間，就是一些應用邏輯之外的邏輯，這些就有可能是攻擊的邏輯，帶來安全的問題。而這些内容是傳統的應用安全難于防禦的。

Web 2.0應用安全的問題

    Web2.0是現在非常流行的一個方式，它将傳統被動的資訊檢索的單向工作方式，演進成了基于互動式的雙向溝通工作方式，給使用者帶來非常好的使用者體驗。但是與此同時也帶來了很多的問題。除了傳統的攻擊方式。由于Web2.0技術本身的特點，也帶來了一些新的攻擊方式，比如RSS毒藥、非安全Mashup、.劫持等。特别是針對采用了AJAX技術的應用，在很多應用設計中，隻是把應用的URL作為一個簡單的rest的資料源，沒有做很強的安全驗證。這樣的話，隻要具備一般權限的使用者擷取到授權，就可以通路所有的資料，輕易的實作了危害極大的攻擊，這應該是需要經常注意的一個問題。

圖2  MySpace蠕蟲——Samy

    下面給大家介紹一個非常有名的MySpace攻擊，它也是基于Web 2.0技術的。這個事情發生在2005年10月。起因是MySpace上的使用者SAMY這個人，他在個人網站上加入了一段惡意的JS代碼。MySpace網站是允許互動的Web 2.0技術網站，每個授權使用者都可以往裡添加相應的内容。當有一些MYSPACE上的其他使用者浏覽他到的網站後，MYSPACE就問他是不是要把這個人加為好友，如果點選了确認，這段JS就被加入到了新使用者的網站中。這樣，這段JS很快就以幾何級數擴充，進而在這個網站上快速泛濫。18個小時之内，它影響了超過一百萬人，最頂峰的時候每秒超過500人感染，嚴重影響了MySpace的工作。

    這個例子也告訴我們，Web 2.0的技術也帶來了新的挑戰，我們應該更加對Web應用安全加以重視。

IBM Web應用安全防範經驗

    IBM公司作為最大的IT企業，在這個問題上也面臨着以上的種種風險，下面我将簡單介紹一下IBM公司的Web應用安全政策。

圖3  IBM應用安全場景的部署

點選此處檢視全文>>

本文主要内容整理自IBM中國Rational進階技術顧問李劍波先生在2008中國軟體安全峰會上的演講，歡迎下載下傳會議資料。

浏覽更多精彩文章>>

歡迎訂閱軟體安全電子期刊>>