保护好您的Web应用——IBM中国Rational高级技术顾问李剑波与您分享IBM内部Web应用安全管理经验

Web应用安全需要重视

    计算机技术发展到今天，新的技术不断产生，带来了很多好的产品，给社会创造了大量的价值，提高了生活品质。与此同时，技术发展的双刃剑，也给我们带来了很多问题，其中就包括在计算机安全领域中的各种问题。而在安全领域，Web应用的安全问题，在近几年又成为了一个热点，这主要体现在下面几个方面：

（1）Web应用是针对应用层的安全问题，是重中之重！

    与传统的安全问题不同，Web应用攻击直接针对应用逻辑进行攻击，不像传统攻击那样曲折，将造成更大影响。比如针对网络银行系统的攻击一旦得逞，造成的危害要比系统宕机严重得多。

（2）Web应用的普及自然促进了Web应用安全问题的发生：

    当前Web应用的数量不断增加，其增长数度也十分迅猛，Web方式应用已经成为各个企业应用构建的首选。在此大背景下，以Web应用为攻击目标的攻击也更为频繁，Web应用安全显得越为重要。

（3）传统的应用安全黑客向Web应用安全转移：

    传统的黑客技术比如端口扫描/越界攻击等方式，已经为世人所熟知，一般的应用构建都会优先考虑此类传统攻击的安全防御。由此，一些黑客将攻击技术研究的重点已经转到了Web应用方面，而避开传统的防护方式（比如防火墙/IDS/IPS等），从而加剧了Web应用安全的危险。

（4）Web应用技术的发展带来了新的安全问题：

    为了使Web应用能够满足传统应用用户的使用方式和习惯，大量的新的Web开发技术不断涌现。在带来良好的用户体验和开发效率的同时，也不断的引入了新的安全问题，这更增加了Web应用安全的风险。

（5）传统Web应用漏洞的普及：

    Web应用由于其本身的无状态特性，攻击方式相对门槛较低，同时，随着近几年互联网的不断发展，传统Web应用攻击方式也越来越普及。一个有着恶意目的的用户不用花费太大的精力，就可以快速掌握一些Web应用供给方法，进行攻击，而一旦得逞将直接造成重大顺失。

    基于以上几点，Web应用安全对于企业应用安全已经成为了具有重要地位的内容，需要加以重视。

传统应用安全防范的漏洞

图1  常用的Web应用架构

    图1是一个常用的Web的应用架构。首先会在最终用户的客户端部署一些相应的防病毒软件，防止个人的木马或病毒造成的问题。同时，我们现在也已经意识到在通信层会用SSL进行通信的加密。下一步，一般应用厂商会准备一些防火墙。通过防火墙能够帮助我们防止大部分的DOS或者系统级的攻击；在这个层次以后还会引入IDS和IPS的应用系统，进行基于模式的攻击检测。最后还会准备一层内部防火墙，防护应用系统的内部服务器。

    但是无论如何，我们的应用逻辑是要暴露出来的，总是有一些方法访问到应用逻辑本身，这时候你的应用可能就会存在问题。我们做一个应用的时候，就像画一个圆一样，这个应用功能的需求可能只需要一个合适的小圆，但是应用做出来了以后，应用实际上线的功能可能是一个更大的大圆。这样在你的功能之外，就是这个大圆和小圆之间，就是一些应用逻辑之外的逻辑，这些就有可能是攻击的逻辑，带来安全的问题。而这些内容是传统的应用安全难于防御的。

Web 2.0应用安全的问题

    Web2.0是现在非常流行的一个方式，它将传统被动的信息检索的单向工作方式，演进成了基于交互式的双向沟通工作方式，给用户带来非常好的用户体验。但是与此同时也带来了很多的问题。除了传统的攻击方式。由于Web2.0技术本身的特点，也带来了一些新的攻击方式，比如RSS毒药、非安全Mashup、.劫持等。特别是针对采用了AJAX技术的应用，在很多应用设计中，只是把应用的URL作为一个简单的rest的数据源，没有做很强的安全验证。这样的话，只要具备一般权限的用户获取到授权，就可以访问所有的数据，轻易的实现了危害极大的攻击，这应该是需要经常注意的一个问题。

图2  MySpace蠕虫——Samy

    下面给大家介绍一个非常有名的MySpace攻击，它也是基于Web 2.0技术的。这个事情发生在2005年10月。起因是MySpace上的用户SAMY这个人，他在个人网站上加入了一段恶意的JS代码。MySpace网站是允许交互的Web 2.0技术网站，每个授权用户都可以往里添加相应的内容。当有一些MYSPACE上的其他用户浏览他到的网站后，MYSPACE就问他是不是要把这个人加为好友，如果点击了确认，这段JS就被加入到了新用户的网站中。这样，这段JS很快就以几何级数扩充，从而在这个网站上快速泛滥。18个小时之内，它影响了超过一百万人，最顶峰的时候每秒超过500人感染，严重影响了MySpace的工作。

    这个例子也告诉我们，Web 2.0的技术也带来了新的挑战，我们应该更加对Web应用安全加以重视。

IBM Web应用安全防范经验

    IBM公司作为最大的IT企业，在这个问题上也面临着以上的种种风险，下面我将简单介绍一下IBM公司的Web应用安全策略。

图3  IBM应用安全场景的部署

点击此处查看全文>>

本文主要内容整理自IBM中国Rational高级技术顾问李剑波先生在2008中国软件安全峰会上的演讲，欢迎下载会议资料。

浏览更多精彩文章>>

欢迎订阅软件安全电子期刊>>