天天看点

保护好您的Web应用——IBM中国Rational高级技术顾问李剑波与您分享IBM内部Web应用安全管理经验

Web应用安全需要重视

    计算机技术发展到今天,新的技术不断产生,带来了很多好的产品,给社会创造了大量的价值,提高了生活品质。与此同时,技术发展的双刃剑,也给我们带来了很多问题,其中就包括在计算机安全领域中的各种问题。而在安全领域,Web应用的安全问题,在近几年又成为了一个热点,这主要体现在下面几个方面:

(1)Web应用是针对应用层的安全问题,是重中之重!

    与传统的安全问题不同,Web应用攻击直接针对应用逻辑进行攻击,不像传统攻击那样曲折,将造成更大影响。比如针对网络银行系统的攻击一旦得逞,造成的危害要比系统宕机严重得多。

(2)Web应用的普及自然促进了Web应用安全问题的发生:

    当前Web应用的数量不断增加,其增长数度也十分迅猛,Web方式应用已经成为各个企业应用构建的首选。在此大背景下,以Web应用为攻击目标的攻击也更为频繁,Web应用安全显得越为重要。

(3)传统的应用安全黑客向Web应用安全转移:

    传统的黑客技术比如端口扫描/越界攻击等方式,已经为世人所熟知,一般的应用构建都会优先考虑此类传统攻击的安全防御。由此,一些黑客将攻击技术研究的重点已经转到了Web应用方面,而避开传统的防护方式(比如防火墙/IDS/IPS等),从而加剧了Web应用安全的危险。

(4)Web应用技术的发展带来了新的安全问题:

    为了使Web应用能够满足传统应用用户的使用方式和习惯,大量的新的Web开发技术不断涌现。在带来良好的用户体验和开发效率的同时,也不断的引入了新的安全问题,这更增加了Web应用安全的风险。

(5)传统Web应用漏洞的普及:

    Web应用由于其本身的无状态特性,攻击方式相对门槛较低,同时,随着近几年互联网的不断发展,传统Web应用攻击方式也越来越普及。一个有着恶意目的的用户不用花费太大的精力,就可以快速掌握一些Web应用供给方法,进行攻击,而一旦得逞将直接造成重大顺失。

    基于以上几点,Web应用安全对于企业应用安全已经成为了具有重要地位的内容,需要加以重视。

传统应用安全防范的漏洞

保护好您的Web应用——IBM中国Rational高级技术顾问李剑波与您分享IBM内部Web应用安全管理经验

图1  常用的Web应用架构

    图1是一个常用的Web的应用架构。首先会在最终用户的客户端部署一些相应的防病毒软件,防止个人的木马或病毒造成的问题。同时,我们现在也已经意识到在通信层会用SSL进行通信的加密。下一步,一般应用厂商会准备一些防火墙。通过防火墙能够帮助我们防止大部分的DOS或者系统级的攻击;在这个层次以后还会引入IDS和IPS的应用系统,进行基于模式的攻击检测。最后还会准备一层内部防火墙,防护应用系统的内部服务器。

    但是无论如何,我们的应用逻辑是要暴露出来的,总是有一些方法访问到应用逻辑本身,这时候你的应用可能就会存在问题。我们做一个应用的时候,就像画一个圆一样,这个应用功能的需求可能只需要一个合适的小圆,但是应用做出来了以后,应用实际上线的功能可能是一个更大的大圆。这样在你的功能之外,就是这个大圆和小圆之间,就是一些应用逻辑之外的逻辑,这些就有可能是攻击的逻辑,带来安全的问题。而这些内容是传统的应用安全难于防御的。

Web 2.0应用安全的问题

    Web2.0是现在非常流行的一个方式,它将传统被动的信息检索的单向工作方式,演进成了基于交互式的双向沟通工作方式,给用户带来非常好的用户体验。但是与此同时也带来了很多的问题。除了传统的攻击方式。由于Web2.0技术本身的特点,也带来了一些新的攻击方式,比如RSS毒药、非安全Mashup、.劫持等。特别是针对采用了AJAX技术的应用,在很多应用设计中,只是把应用的URL作为一个简单的rest的数据源,没有做很强的安全验证。这样的话,只要具备一般权限的用户获取到授权,就可以访问所有的数据,轻易的实现了危害极大的攻击,这应该是需要经常注意的一个问题。

保护好您的Web应用——IBM中国Rational高级技术顾问李剑波与您分享IBM内部Web应用安全管理经验

图2  MySpace蠕虫——Samy

    下面给大家介绍一个非常有名的MySpace攻击,它也是基于Web 2.0技术的。这个事情发生在2005年10月。起因是MySpace上的用户SAMY这个人,他在个人网站上加入了一段恶意的JS代码。MySpace网站是允许交互的Web 2.0技术网站,每个授权用户都可以往里添加相应的内容。当有一些MYSPACE上的其他用户浏览他到的网站后,MYSPACE就问他是不是要把这个人加为好友,如果点击了确认,这段JS就被加入到了新用户的网站中。这样,这段JS很快就以几何级数扩充,从而在这个网站上快速泛滥。18个小时之内,它影响了超过一百万人,最顶峰的时候每秒超过500人感染,严重影响了MySpace的工作。

    这个例子也告诉我们,Web 2.0的技术也带来了新的挑战,我们应该更加对Web应用安全加以重视。

IBM Web应用安全防范经验

    IBM公司作为最大的IT企业,在这个问题上也面临着以上的种种风险,下面我将简单介绍一下IBM公司的Web应用安全策略。

保护好您的Web应用——IBM中国Rational高级技术顾问李剑波与您分享IBM内部Web应用安全管理经验

图3  IBM应用安全场景的部署

点击此处查看全文>>

本文主要内容整理自IBM中国Rational高级技术顾问李剑波先生在2008中国软件安全峰会上的演讲,欢迎下载会议资料。

浏览更多精彩文章>>

欢迎订阅软件安全电子期刊>>

继续阅读