網站安全問題及其防護措施分析

何小波

摘要：隨著互聯網應用的增多，網絡安全問題也日益突出。“信息化程度越高，國家安全、社會安全面臨的風險就越大。”在2008年3月5日召開的第十一屆全國人民代表大會上，信息安全等級保護制度的落實和實施再次成為兩會代表們建言的核心內容。那么如何來保護網站不會遭到攻擊呢?隨著攻擊向應用層發展，網絡中的WEB應用部署面臨的安全問題必須通過一種全新設計的高性能防護應用層攻擊的安全防護設備——WEB專用應用防御系統來解決。它需要通過執行應用會話內部的請求來處理應用層，專門保護Web應用通信流和所有相關的應用資源免受利用Web協議發動的攻擊。

關鍵詞：防護；SQL注入；攻擊；應用層；WEB專用應用防御系統

中圖分類號：TP393.08文獻標識碼：A文章編號：1672-3198(2009)04-0271-01

隨著互聯網應用的增多，網絡安全問題也日益突出?！靶畔⒒潭仍礁?，國家安全、社會安全面臨的風險就越大。”在3月5日召開的第十一屆全國人民代表大會上，信息安全等級保護制度的落實和實施再次成為兩會代表們建言的核心內容。

CNNIC統計顯示的07年上半年TCP協議流量端口排名，HTTP80端口服務居第1位，占所有業務的23.97％，網頁服務網站已成為網上交流的最重要的手段。網站安全問題已成為網絡防護的主要問題。由于Web架構在成本與應用能力方面的優勢，越來越多的企業和機構將應用遷移到基于Web的架構。Web應用已經從最初提供簡單的靜態內容演變到提供豐富的動態內容，還可以同數據庫進行通信以生成對用戶有用的內容，這些都為攻擊提供了機會。

2007年上半年抽樣監測發現我國大陸約有3百多萬個IP地址的主機被植入僵尸程序。2007年上半年，中國大陸被篡改網站的數量相比往年處于明顯上升趨勢。CNCERT／CC監測到中國大陸被篡改網站總數達到28367個，比去年全年增加了近16％。CNCERT／CC在2007年上半年抽樣監測。境內外控制者利用木馬控制端對主機進行控制的事件中。木馬控制端IP地址總數為209949個，被控制端IP地址總數為1863753個。

怎樣來構建一個安全的Web應用平臺呢?Web設計人員首先必須在Web應用的每個層面精心設計安全性。但是，許多企業在設計Web應用時，Web設計人員并未全面考慮安全性。從實際的案例中，我們發現。大部分被攻擊的網站也都有防火墻防護。但由于黑客多采用SQL代碼注入等協議層的攻擊，以及采用大規模僵尸網絡DDOS攻擊，對于這類攻擊，防火墻則顯得無能為力。

其根本的原因是，傳統的防火墻設備對于應用層的攻擊防范，作用十分有限。目前的大多防火墻都是工作在網絡層，通過對網絡層的數據過濾(基于TCP／IP報文頭部的ACL)實現訪問控制的功能I通過狀態包過濾防火墻可以保證內部網絡不會被外部網絡非法接入，而應用層攻擊的特征在網絡層次上是無法檢測出來的。

目前常見的Web攻擊主要分為三類；一是利用web服務器的漏洞進行攻擊，如CGI緩沖區溢出、目錄遍歷漏洞等攻擊；二是利用網頁自身的安全漏洞進行攻擊，如SQL注入、跨站腳本攻擊、Cookie假冒、認證逃避、非法輸入、強制訪問、隱藏變量篡改等；三是利用僵尸網絡的分布式DOS攻擊，造成網站拒絕服務。利用網上隨處可見的攻擊軟件，攻擊者甚至不需要對網絡協議的深厚理解基礎，即可完成諸如更換Web網站主頁、盜取管理員密碼、破壞整個網站數據等等攻擊。而這些攻擊過程中產生的網絡層數據，和正常數據沒有什么區別。對于和后臺數據庫產生交互的網頁，如果沒有對用戶輸入數據的合法性進行全面的判斷，用戶可以在可以提交正常數據的URL或者表單輸入框中提交一段精心構造的數據庫查詢代碼，使后臺應用執行攻擊著的SQL代碼，攻擊者根據程序返回的結果，獲得某些他想得知的敏感數據，如管理員密碼，保密商業資料等。

隨著網絡攻擊向應用層發展，網絡中的WEB應用部署面臨的安全問題現在可以通過一種全新設計的高性能防護應用層攻擊的安全防護設備——WEB專用應用防御系統來解決。它需要通過執行應用會話內部的請求來處理應用層，專門保護Web應用通信流和所有相關的應用資源免受利用Web協議發動的攻擊。Web應用層防御系統可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字符或通配符修改數據的數據攻擊，設法得到命令串或邏輯語句的邏輯內容攻擊，以及以賬戶、文件或主機為主要目標的目標攻擊。

下面簡單的介紹一下WEB專用應用防御系統的幾個主要功能：

1惡意代碼主動防御

利用信任鏈機制，對系統中所有裝載的可執行文件代碼(例如,EXE、DLL、COM等)進行控制，所有可執行文件代碼在加載運行之間都需要先經過檢驗，只有通過驗證的代碼才可以加載，這種方式可以有效阻止惡意代碼的運行。

2網頁文件過濾驅動保護

利用操作系統漏洞，應用緩沖區溢出等方法可以獲得管理員權限。從而可以任意修改網頁文件。以達到攻擊的目的。針對這種攻擊方式，采用對象相關(Object-Specific)保護方式來保護靜態網頁不被篡改。即網站管理員可以自行選擇需要保護的網頁文件設定為受控對象，對于每一個受保護的對象，管理員為其設定一個對象相關授權碼。對象相關保護方式是一種不基于系統用戶身份的訪問控制技術，對于所有受保護的對象，網站防護系統在操作系統內核對其加以保護，在不知道對象相關授權碼的情況下，即使是系統管理員，系統也禁止其對于受保護對象(比如主頁)的任何特定操作，比如修改內容、刪除、重命名等。通過對象相關保護方式。即使攻擊者拿到系統管理員的權限，由于不知道受控對象的授權碼，因而也無法對其進行修改。從而可以有效阻止溢出類攻擊對系統靜態網頁的篡改。

3防SQL注入功能

隨著B／s模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于這個行業的入門門檻不高，程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL注入。網站防護系統可以通過高效的URL過濾技術，把sQL注入的關鍵字過濾掉。從而有效的避免網站服務器受到SQL注入攻擊。

4雙機熱備功能

網站防護系統支持雙機熱備功能，從而提高系統的穩定性和可靠性。兩臺網站防護系統分為主機和從機，在主機工作的同時，從機處于實時監控主機的工作狀態，這時所有對內部網絡的保護工作由主機完成。

5抗網絡攻擊能力

作為一種網絡安全防護設備，網站防護系統在網絡中自然成為眾多攻擊者的首要目標，所以抗攻擊能力也是網站防護系統的必備功能。該系統采取多種安全措施，可以防范Internet環境中的攻擊，如：抗網絡安全性分析DDOS攻擊等。