安全資訊

由于極其容易出現漏洞、并引發(fā)安全事故，因此數據隱私的保護是目前絕大多數企業(yè)不可繞過(guò)的運維環(huán)節。不過(guò)，許多中小型企業(yè)往往會(huì )錯誤地認為只有大型企業(yè)才會(huì )成為黑客的目標。而實(shí)際統計數字卻截然不同：有43%的網(wǎng)絡(luò )犯罪恰恰是針對小型企業(yè)的。而且，無(wú)論是系統陳舊且未給漏洞打上安全補丁，還是各種惡意軟件，甚至是一些人為的錯誤，都可以成為系統的受攻擊面。

如果仔細觀(guān)察當前的網(wǎng)絡(luò )威脅態(tài)勢，會(huì )驚訝地發(fā)現，90%的Web應用都可能成為攻擊者的潛在目標。因此，為了讓?xiě)贸绦蚝蛿祿Y產(chǎn)免受威脅，各大在線(xiàn)社區努力制定了各種安全標準和優(yōu)秀實(shí)踐，并以免費的文檔、方法、工具等形式，協(xié)助企業(yè)通過(guò)對照實(shí)施，來(lái)增強其IT環(huán)境的安全態(tài)勢。

僅在2020年上半年間，企業(yè)數據的泄露量已累計高達360億條記錄。86%的網(wǎng)絡(luò )安全泄漏是出于經(jīng)濟目的，而有10%是源于間諜活動(dòng)。從分類(lèi)來(lái)看，有45%的泄漏源于黑客攻擊，17%源于惡意軟件，22%與網(wǎng)絡(luò )釣魚(yú)有關(guān)。許多金融企業(yè)會(huì )讓員工不受限地訪(fǎng)問(wèn)各類(lèi)文檔資源，他們甚至可以訪(fǎng)問(wèn)到本企業(yè)內部大約17%的敏感文件(約1100萬(wàn)個(gè)文件)。

平均而言，只有5%的公司文件夾受到了適當的保護。而且，有超過(guò)77%的企業(yè)并無(wú)事件響應計劃?？梢?jiàn)，針對上述威脅，我們應采取主動(dòng)的Web安全策略，以及嚴格的措施，來(lái)確保敏感的數據信息、Web應用、以及信息系統等資產(chǎn)，免受攻擊與侵害。下面是五種最主要的Web應用安全威脅，以及七種行之有效的防護措施與實(shí)踐。 

五大威脅：

1.注入漏洞

注入漏洞會(huì )讓攻擊者方便將惡意代碼植入到目標應用系統(如，解析器)中。簡(jiǎn)而言之，如果您的Web應用允許用戶(hù)將其輸入的信息插入后端數據庫，或使用shell命令對操作系統進(jìn)行調用，那么您的應用就可能會(huì )受到注入漏洞的影響。

當然，您可以通過(guò)檢查應用的源代碼，或對應用進(jìn)行徹底的滲透測試，來(lái)發(fā)現此類(lèi)漏洞。注入漏洞最常見(jiàn)的類(lèi)型是SQL注入。攻擊者會(huì )在SQL查詢(xún)中，插入惡意代碼，并將其轉發(fā)到后端數據庫服務(wù)器上，實(shí)施遠程盜竊或攻擊。

除常見(jiàn)的SQL注入之外，目前還有LDAP注入、XML注入、XPATH注入、OS命令注入、以及HTML注入。我們通?？梢酝ㄟ^(guò)適當、及時(shí)地檢查與清理用戶(hù)的輸入，來(lái)防范此類(lèi)威脅。

2.身份驗證失敗

身份驗證失敗是由身份驗證和會(huì )話(huà)管理控件的實(shí)施不當而引起的。如果攻擊者能夠成功地識別和利用那些與身份驗證相關(guān)的漏洞，那么他們就能直接訪(fǎng)問(wèn)到各種敏感數據和功能。

為了利用身份驗證漏洞，攻擊者需要通過(guò)采用諸如：憑證填充、會(huì )話(huà)劫持、密碼暴力破解、以及會(huì )話(huà)ID URL重寫(xiě)等方法，來(lái)模擬應用程序的合法用戶(hù)。

我們可以通過(guò)實(shí)施健全的會(huì )話(huà)管理控制、多因素身份驗證、限制和監視失敗的登錄嘗試，來(lái)防范此類(lèi)攻擊。

3.敏感數據泄漏

當Web應用不能充分保護諸如：會(huì )話(huà)ID、密碼、財務(wù)信息、以及客戶(hù)數據等敏感信息時(shí)，數據泄露就會(huì )發(fā)生。

此類(lèi)泄漏的內部原因主要包括：未對敏感數據實(shí)施加密，僅采用了弱加密方式，軟件應用的本身漏洞，以及操作員將數據上傳至錯誤的數據庫等方面。而外部攻擊因素則包括：SQL注入、身份驗證與訪(fǎng)問(wèn)控制的破壞、網(wǎng)絡(luò )釣魚(yú)攻擊、以及針對明文協(xié)議HTTP、FTP和SMTP傳輸數據等網(wǎng)絡(luò )級別的攻擊。

為了應對此類(lèi)泄漏，我們可以采取的主要措施包括：徹底檢查應用程序的源代碼與IT環(huán)境，尤其是正在使用安全密碼算法等方面。

4. XML外部實(shí)體

XML外部實(shí)體注入(通常被稱(chēng)為XML External Entity，XXE)可以讓攻擊者通過(guò)Web應用的漏洞，干擾應用對于XML數據的處理。此類(lèi)攻擊往往會(huì )導致諸如拒絕服務(wù)、數據泄露、服務(wù)器端請求偽造等問(wèn)題。

我們可以通過(guò)實(shí)施服務(wù)器端的輸入驗證，修補和升級所有XML處理器，以及使用SAST工具來(lái)分析源代碼等方法，來(lái)有效地防止XML外部實(shí)體注入。

5.受損的訪(fǎng)問(wèn)控制

從概念上說(shuō)，訪(fǎng)問(wèn)控制機制就是要確定用戶(hù)是否可以執行，與之身份和權限相符的操作。而當用戶(hù)可以在其預期權限之外執行某項操作時(shí)，那么就出現了訪(fǎng)問(wèn)控制的破壞。

受損的訪(fǎng)問(wèn)控制通常會(huì )導致：未經(jīng)授權的信息泄露、數據被直接修改或破壞、以及業(yè)務(wù)功能偏離預期用途等情況。我們可以通過(guò)在受信任的服務(wù)器端代碼中、或無(wú)服務(wù)器的API中，強制使用完備的訪(fǎng)問(wèn)控制機制，來(lái)防止攻擊者修改元數據(metadata)，或繞過(guò)正常的訪(fǎng)問(wèn)控制檢查。

鑒于Web應用在當下激烈競爭與快速發(fā)展的商業(yè)環(huán)境中尤為重要，我們可以通過(guò)如下七種針對Web應用的安全性防護措施與實(shí)踐，來(lái)協(xié)助企業(yè)保護系統與數據。

七大防護措施：

1.定義并采用合適的網(wǎng)絡(luò )安全框架

網(wǎng)絡(luò )安全框架包括一系列文檔和指南，它定義了企業(yè)在管理網(wǎng)絡(luò )安全風(fēng)險，以及減少漏洞的過(guò)程中，需要遵循的各種優(yōu)秀實(shí)踐。這里主要強調的是“合適才是最好的”。我們需要對企業(yè)所處的行業(yè)，當前開(kāi)展的業(yè)務(wù)進(jìn)行調研。在此基礎上，通過(guò)利用專(zhuān)業(yè)知識和業(yè)界現有的安全標準，為本企業(yè)準備詳細的計劃與適合的安全策略。

2.跟蹤您的資產(chǎn)并進(jìn)行威脅評估

如今，大多數企業(yè)都會(huì )通過(guò)在線(xiàn)運維的方式，對諸如：Web應用、網(wǎng)站、Web服務(wù)、API、以及基于云的軟件即服務(wù)(SaaS)等IT資產(chǎn)，進(jìn)行管理。因此在此類(lèi)IT環(huán)境中，他們需要與內、外部的各種系統持續進(jìn)行通信。同時(shí)，許多功能性的接口都會(huì )被暴露出來(lái)。

對此，企業(yè)需要實(shí)施關(guān)鍵性網(wǎng)絡(luò )安全計劃便是資產(chǎn)發(fā)現。該環(huán)節可幫助運維人員找到各種Web資產(chǎn)，以便他們按需保護目標組件，并制定出相應的安全策略?？梢哉f(shuō)，一旦創(chuàng )建了所有重要Web資產(chǎn)的列表，他們即可開(kāi)始執行威脅評估，以識別出針對當前應用的潛在威脅，進(jìn)而制定出有效的緩解計劃。

3.遵守安全編碼標準

據統計，大約有90%的軟件安全問(wèn)題，都是由軟件設計或代碼中的缺陷引起的。誠然，開(kāi)發(fā)人員的主要工作是讓?xiě)贸绦蚰軌蛘＿\行，但是如果忽略了安全編碼，則會(huì )無(wú)形中留下各種安全漏洞和被攻擊的后門(mén)。

可見(jiàn)，我們需要實(shí)施安全的編碼標準，以確保軟件和應用得到保護，并免受安全漏洞的影響。在實(shí)際項目中，我們可以在軟件開(kāi)發(fā)生命周期(SDLC)的早期階段引入安全性，并通過(guò)遵循OWASP的安全編碼規范、以及SEI CERT編碼標準，這兩種時(shí)下流行的安全編碼標準，以避免在后期測試和部署階段，花費時(shí)間和精力去填補各種安全漏洞。

4.部署企業(yè)級安全解決方案

最常見(jiàn)的企業(yè)級智能安全解決方案當屬Web應用防火墻(WAF)。它可以通過(guò)監控和過(guò)濾各種惡意HTTP流量，協(xié)助保護Web應用免受諸如SQL注入、跨站點(diǎn)腳本等攻擊的侵害。也就是說(shuō)，我們通過(guò)在Web應用程序和互聯(lián)網(wǎng)之間放置一道WAF屏障，可以?xún)H允許合法用戶(hù)的訪(fǎng)問(wèn)，并阻斷各種惡意的請求。

當然，我們也可以考慮使用諸如Burpsuite pro和Acunetix之類(lèi)專(zhuān)業(yè)的Web安全掃描器，以實(shí)現對Web應用的快速掃描，并識別出潛在的漏洞。

5.盡可能自動(dòng)化

在日常運維中，我們往往需要執行Web應用掃描、簽名與行為分析、以及DDoS緩解等重復性的任務(wù)。為了節省大量的時(shí)間和精力，安全人員應當與自動(dòng)化技術(shù)人員合作，在確保各項任務(wù)得以自動(dòng)化實(shí)施的前提下，增強Web應用的安全性。

6.加密數據

過(guò)去，Web應用往往使用明文的HTTP協(xié)議進(jìn)行通信。這會(huì )導致攻擊者能夠以中間人(MIM)的方式，扮演通信中的某一方，竊取具體內容。如今，使用基于傳輸層安全協(xié)議(TLS)的HTTP加密方式，已經(jīng)成為了許多企業(yè)應用的必選項。同時(shí)，它也成為了大多數瀏覽器的默認配置項。

HTTPS加密可以維護用戶(hù)瀏覽器和服務(wù)器之間傳輸數據的完整性。也就是說(shuō)，當用戶(hù)使用HTTPS協(xié)議連接到諸如某個(gè)互聯(lián)網(wǎng)銀行應用的網(wǎng)站時(shí)，瀏覽器會(huì )基于證書(shū)建立起安全的TLS會(huì )話(huà)，以保證瀏覽器和服務(wù)器之間的請求和響應都處于加密狀態(tài)。顯然，此類(lèi)加密技術(shù)對于維護敏感用戶(hù)數據的機密性和完整性都是不錯的實(shí)踐。

7.滲透測試

最后一項有效的安全策略是，定期對Web應用執行全面的滲透測試，以及時(shí)發(fā)現目標系統的關(guān)鍵漏洞。滲透測試可以模擬攻擊者或黑客對系統的出入口、源代碼、數據庫、公共可用源、以及后端網(wǎng)絡(luò )，進(jìn)行掃描和嘗試性地攻擊。

在完成測試后，滲透人員會(huì )出具已發(fā)現漏洞的優(yōu)先級排序報告，并協(xié)助開(kāi)發(fā)團隊參照最佳的行業(yè)標準，予以漏洞修補和安全整改。