Web应用安全的全新探索

【51CTO.com 综合报道】随着互联网技术与应用的不断发展，新的互联网业务增长点与商业模式不断产生，并深入到社会经济、政治等各个层面。随之产生的不仅仅是价值，还有众多的安全威胁，承载在新兴应用和技术上的攻击不断涌现。Web应用极为丰富的今天，Web服务器以其强大的计算能力和处理性能及所蕴含的高昂价值，成为被攻击的主要目标。走在信息化与互联网经济前沿的政府、企业、IDC等组织面临着各种针对Web的安全问题。

WEB应用安全危机四伏

网页篡改：根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）2007年上半年的工作报告显示，网站漏洞百出，被篡改的大陆网站数量明显上升，总数达到28367个，比去年全年增加近16%。

拒绝服务攻击：针对Web应用的分布式拒绝服务（Distributed Denial of Service，以下简称：DDoS）攻击问题也相当严重。对中小企业，尤其是以网络为核心业务的企业，攻击者往往采用有组织的DDoS攻击等手段进行勒索，迫使企业接受相应条件，严重影响企业正常业务的开展。

SQL注入、跨站脚本漏洞：信息安全国际权威机构SANS 2007年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，最广为攻击者利用的漏洞为SQL注入及跨站脚本。其中，SQL注入漏洞通常为攻击者利用，用于读取、创建、更新或是删除应用程序中的任意数据，最为糟糕的情况下，攻击者可能获得整个数据库系统的完全控制权；跨站脚本，即XSS（Cross-Site Scripting），允许攻击者在受害者的浏览器中执行脚本，从而劫持用户会话、篡改Web站点、插入恶意内容、实施钓鱼攻击等。

常见的蠕虫、黑客攻击

由这些安全问题，进一步衍生出维护、管理问题：

内部维护人员疲于补救Web应用安全漏洞

需要付出高昂成本以获取第三方服务：应急响应、安全加固、渗透测试

随着攻击者知识的日趋成熟，针对Web应用的攻击工具与手法日趋复杂多样。传统的边界安全设备，如防火墙，局限于自身的检测机制和防护深度，已经不能满足日益发展的Web应用防护的全部需求。

WAF：新兴信息安全技术
Web应用防火墙（Web Application Firewall, 简称：WAF）代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求将予以实时阻断，从而对各类网站站点进行有效防护。

WAF作为一种在国际安全市场上新起的专用设备，在世界范围的安全市场内有明确的功能定义：国际权威测评机构NSS对WAF有着详细的测试方案；国际组织WEB应用安全联盟（Web Application Security Consortium，简称：WASC）发布了WAF产品评估标准，为技术人员进行产品技术选型时提供参考，以选择最为适合自身应用环境的WAF产品。但国外WAF的定义在某些方面缺少对中国国情的特殊性考虑，比如目前国内比较泛滥的DDoS攻击等。

因此，一个完善的、真正能解决国内Web应用安全问题的WAF产品应该具备以下特点：

◆具备针对各类Web应用攻击的检测和防御能力，如蠕虫威胁、黑客攻击、SQL注入、跨站脚本等，满足对检测、防御能力在广度和深度上的要求；

◆针对国内极为猖獗的DDoS攻击进行防护，尤其是针对应用层的DDoS攻击进行细粒度防护，如CC攻击、针对网游的DDoS攻击等；

◆很多Web应用安全问题，究其根本，还是在于Web应用程序开发阶段留下的安全隐患为攻击者所利用。除了对应用流量进行监控以防护Web应用攻击，WAF还应具备Web应用漏洞扫描能力，加强Web应用自身的安全性；

◆具备良好的可靠性，提供硬件BYPASS或HA等可靠性保障措施，确保Web应用核心业务的连续性和高可靠性；

◆考虑到Web应用的复杂性与业务变更的频繁，要求WAF产品具备简便、灵活的配置与管理功能，并能提供细粒度的防护策略配置。