Web 安全與 Rational AppScan 入門

　　前言

　　當今世界，Internet(因特網)已經成為一個非常重要的基礎平臺，很多企業都將應用架設在該平臺上，為客戶提供更為方便、快捷的服務支持。這些應用在功能和性能上，都在不斷的完善和提高，然而在非常重要的安全性上，卻沒有得到足夠的重視。由于網絡技術日趨成熟，黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對 Web 應用的攻擊上。根據 Gartner 的最新調查，信息安全攻擊有 75% 都是發生在 Web 應用而非網絡層面上。同時，數據也顯示，三分之二的 Web 站點都相當脆弱，易受攻擊。然而現實確是，絕大多數企業將大量的投資花費在網絡和服務器的安全上，沒有從真正意義上保證 Web 應用本身的安全，給黑客以可乘之機。

　　本文將從對 Web 應用現狀的分析入手，通過列舉常見的攻擊手段，闡明 Web 應用目前面臨的挑戰，同時，通過對 Rational AppScan 平臺的介紹，協助企業制定 Web 應用安全解決方案，為企業的 Web 應用披上盔甲。

　　Web 應用現狀

　　Web 應用的基礎概念

　　在討論 Web 應用安全之前，先簡單介紹一下 Web 應用基礎概念，這樣便于理解為什么 Web 應用是脆弱的，容易受到攻擊。

　　1、 什么是 Web 應用

　　Web 應用是由動態腳本、編譯過的代碼等組合而成。它通常架設在 Web 服務器上，用戶在 Web 瀏覽器上發送請求，這些請求使用 HTTP 協議，經過因特網和企業的 Web 應用交互，由 Web 應用和企業后臺的數據庫及其他動態內容通信。

　　2、 Web 應用的架構

　　盡管不同的企業會有不同的 Web 環境搭建方式，一個典型的 Web 應用通常是標準的三層架構模型，如圖 1 所示。

　　圖 1: Web 應用通常是標準的三層架構模型

　　在這種最常見的模型中，客戶端是第一層;使用動態 Web 內容技術的部分屬于中間層;數據庫是第三層。用戶通過 Web 瀏覽器發送請求(request)給中間層，由中間層將用戶的請求轉換為對后臺數據的查詢或是更新，并將最終的結果在瀏覽器上展示給用戶。

　　Web 應用安全全景

　　當討論起 Web 應用安全，我們經常會聽到這樣的回答：

　　“我們使用了防火墻”、“我們使用了網絡脆弱掃描工具”、“我們使用了 SSL 技術”、“我們每個季度都會進行滲透測試”……所以，“我們的應用是安全的”�，F實真是如此嗎?讓我們一起來看一下 Web 應用安全的全景圖。

　　圖 2: 信息安全全景

　　在企業 Web 應用的各個層面，都會使用不同的技術來確保安全性。為了保護客戶端機器的安全，用戶會安裝防病毒軟件;為了保證用戶數據傳輸到企業 Web 服務器的傳輸安全，通信層通常會使用 SSL(安全套接層)技術加密數據;企業會使用防火墻和 IDS(入侵診斷系統)/IPS(入侵防御系統)來保證僅允許特定的訪問，不必要暴露的端口和非法的訪問，在這里都會被阻止;即使有防火墻，企業依然會使用身份認證機制授權用戶訪問 Web 應用。

　　但是，即便有防病毒保護、防火墻和 IDS/IPS，企業仍然不得不允許一部分的通訊經過防火墻，畢竟 Web 應用的目的是為用戶提供服務，保護措施可以關閉不必要暴露的端口，但是 Web 應用必須的 80 和 443 端口，是一定要開放的�？梢皂樌�通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。這里需要注意的是，Web 應用是由軟件構成的，那么，它一定會包含缺陷(bugs)，這些 bug 就可以被惡意的用戶利用，他們通過執行各種惡意的操作，或者偷竊、或者操控、或者破壞 Web 應用中的重要信息。

　　因此可以看出，企業的回答，并不能真正保證企業的應用安全：

• 　　網絡脆弱性掃描工具，由于它僅僅用來分析網絡層面的漏洞，不了解應用本身，所以不能徹底提高 Web 應用安全性;
• 　　防火墻可以阻止對重要端口的訪問，但是 80 和 443 端口始終要開放，我們無法判斷這兩個端口中通訊數據是善意的訪問還是惡意的攻擊;
• 　　SSL 可以加密數據，但是它僅僅保護了在傳輸過程中數據的安全性，并沒有保護 Web 應用本身;
• 　　每個季度的滲透測試，無法滿足處于不斷變更之中的應用。
• 　　只要訪問可以順利通過企業的防火墻，Web 應用就毫無保留的呈現在用戶面前。只有加強 Web 應用自身的安全，才是真正的 Web 應用安全解決之道。