【51CTO.com 綜合報(bào)道】近日，Gartner公布的一份調(diào)查顯示，有75%的惡意攻擊行為是針對(duì)Web應(yīng)用的，僅有很少一部分是針對(duì)網(wǎng)絡(luò)層的。調(diào)查數(shù)據(jù)顯示，近2/3的Web站點(diǎn)相當(dāng)脆弱，容易受到不同程度的惡意攻擊。這意味著，Web網(wǎng)站的安全防御應(yīng)該成為企業(yè)信息化建設(shè)所關(guān)注的焦點(diǎn)，然而，事實(shí)上絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，并沒有從真正意義上保證 Web 業(yè)務(wù)本身的安全，才給了黑客可乘之機(jī)。

根據(jù)世界知名的Web安全研究組織OWASP提供的報(bào)告，目前對(duì)Web業(yè)務(wù)系統(tǒng)威脅最嚴(yán)重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。

注入漏洞攻擊。特別是SQL注入漏洞，主要是利用目標(biāo)網(wǎng)站程序未對(duì)用戶輸入的字符進(jìn)行特殊字符過濾或合法性校驗(yàn)，可直接執(zhí)行數(shù)據(jù)庫語句，導(dǎo)致網(wǎng)站存在安全風(fēng)險(xiǎn)通過驗(yàn)證用戶輸入使用的是消極或積極的安全策略，有效檢測(cè)并攔截注入攻擊。

跨站腳本漏洞攻擊，是指目標(biāo)網(wǎng)站對(duì)用戶提交的變量代碼未進(jìn)行有效的過濾或轉(zhuǎn)換，允許攻擊者插入惡意Web代碼（通常是一些經(jīng)過構(gòu)造的javascript語句），劫持用戶會(huì)話、篡改網(wǎng)頁信息甚至引入蠕蟲病毒等通過驗(yàn)證用戶輸入使用的是消極或積極的安全策略，有效檢測(cè)并攔截跨站點(diǎn)腳本( XSS )攻擊。

從以往發(fā)生的安全事件來看，Web攻擊可導(dǎo)致的后果極為嚴(yán)重，通過上述手段將一個(gè)合法正常網(wǎng)站攻陷，利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機(jī)上，從而實(shí)現(xiàn)攻擊目的。如：盜取各類用戶賬號(hào)，如機(jī)器登錄賬號(hào)、用戶網(wǎng)銀賬號(hào)、各類管理員賬號(hào)。控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力。盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料。非法轉(zhuǎn)賬。網(wǎng)站掛馬。控制受害者機(jī)器向其他網(wǎng)站發(fā)起攻擊……

鑒于上述對(duì)Web常見攻擊的分析，對(duì)Web及客戶端的保護(hù)已經(jīng)刻不容緩，為此，來自聯(lián)想網(wǎng)御的安全專家通過51CTO安全頻道，給廣大企業(yè)信息化管理者提出了以下幾點(diǎn)建議：

首先，解決Web服務(wù)器端安全問題。具體的解決辦法可采取源代碼審計(jì)與部署入侵防護(hù)系統(tǒng)相結(jié)合的方式，源代碼審計(jì)是經(jīng)過專業(yè)安全人員，對(duì)Web應(yīng)用程序源代碼進(jìn)行安全性檢查，對(duì)程序的輸入輸出函數(shù)進(jìn)行安全測(cè)試，最大程度保障Web程序的自身代碼安全；并通過部署入侵防護(hù)系統(tǒng)，針對(duì)跨站腳本、SQL注入、cookies注入、參數(shù)篡改等Web攻擊方式進(jìn)行主動(dòng)防護(hù)。

其次，解決Web瀏覽客戶端安全。主要是防范遠(yuǎn)程惡意代碼執(zhí)行漏洞，其原理是通過構(gòu)造精心設(shè)計(jì)的格式錯(cuò)誤數(shù)據(jù)，由攻擊者觸發(fā)系統(tǒng)漏洞，并在客戶端軟件中更改代碼執(zhí)行路徑，來執(zhí)行由攻擊者隨格式錯(cuò)誤數(shù)據(jù)附帶惡意代碼或程序的利用過程。如果客戶端瀏覽器中存在未修補(bǔ)的惡意代碼執(zhí)行漏洞或0day漏洞，當(dāng)訪問受惡意代碼感染的站點(diǎn)時(shí)，該站點(diǎn)會(huì)自動(dòng)在登錄用戶的瀏覽器中運(yùn)行攻擊者的惡意代碼，并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序，如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統(tǒng)后臺(tái)漏洞執(zhí)行，所有這一切根本無需任何用戶交互操作。所以應(yīng)盡量使用已采用常規(guī)堆棧保護(hù)措施版本的Web瀏覽器，來防止基于堆棧和基于堆的緩沖區(qū)溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經(jīng)提供基于數(shù)據(jù)執(zhí)行保護(hù)（ DEP ）或不執(zhí)行（ NX）的內(nèi)存保護(hù)措施，Internet Explorer 8平臺(tái)在Internet控制面板選項(xiàng)開啟“啟用內(nèi)存保護(hù)幫助減少聯(lián)機(jī)攻擊”的選項(xiàng)就可以有效防止遠(yuǎn)程代碼攻擊；另外建議部署統(tǒng)一的內(nèi)網(wǎng)管理系統(tǒng)，統(tǒng)一對(duì)關(guān)鍵應(yīng)用程序和系統(tǒng)補(bǔ)丁進(jìn)行時(shí)時(shí)監(jiān)控和統(tǒng)一升級(jí)，保證客戶端和內(nèi)網(wǎng)安全。

再次，是解決對(duì)木馬、病毒的防治。建議安裝終端防病毒、防火墻軟件并保持時(shí)時(shí)更新，開啟入侵防護(hù)系統(tǒng)病毒木馬防護(hù)策略，建立統(tǒng)一病毒防護(hù)體系，如在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)防毒墻，對(duì)關(guān)鍵服務(wù)器和客戶端進(jìn)行重點(diǎn)防護(hù)，并對(duì)其網(wǎng)絡(luò)連接進(jìn)行入侵檢測(cè)監(jiān)控，保證安全風(fēng)險(xiǎn)在一個(gè)可控的范圍內(nèi)。

實(shí)際上，針對(duì)當(dāng)前Web安全形勢(shì)，包括聯(lián)想網(wǎng)御在內(nèi)的一大批國內(nèi)知名廠商提出了一系列的安全解決方案。這些方案從多個(gè)角度對(duì)企業(yè)IT應(yīng)用現(xiàn)狀進(jìn)全方位地評(píng)估和分析，充分了解系統(tǒng)面臨的風(fēng)險(xiǎn)狀況，通過安全評(píng)估、安全修復(fù)和部署相應(yīng)產(chǎn)品相結(jié)合的方式，才能最大程度保護(hù)Web系統(tǒng)應(yīng)用的安全。