如何使用Rational AppScan應對Web應用攻擊

如何使用Rational AppScan應對Web應用攻擊

1 當前 Web 安全現狀

　　互聯網的發展歷史也可以說是攻擊與防護不斷交織發展的過程。目前，全球因特網用戶已達 13.5 億，用戶利用網絡進行購物、銀行轉賬支付和各種軟件下載，企業用戶更是依賴于互聯網構建他們的核心業務，對此，Web 安全性已經提高一個空前的高度。

　　然而，現實世界中，針對網站的攻擊愈演愈烈，頻頻得手。CardSystems 是美國一家專門處理信用卡交易資料的廠商。該公司為萬事達 (Master)、維薩 (Visa) 和美國運通卡等主要信用卡組織提供數據外包服務，負責審核商家傳來的消費者信用卡號碼、有效期等信息，審核后再傳送給銀行完成付款手續。這家公司為超過 10 萬家企業處理信用卡信息，每年業務金額超過 150 億美元。這家已有 15 年歷史的公司怎么也沒想到，居然有黑客惡意侵入了它的電腦系統，竊取了 4000 萬張信用卡的資料。這些資料包括持卡人的姓名、賬戶號碼等。這是美國有史以來最嚴重的信用卡資料泄密事件。此次攻擊事件不僅僅對消費者，對公司造成了巨大的損失，甚至對美國的信用卡產業產生了嚴重的影響!

　　1.1 Web 安全的認識誤區

　　然而什么才是 Web 安全呢，或者說什么樣的網站才是安全的呢?用戶往往有一些常見的誤區。

　　“Web 網站使用了防火墻，所以很安全”

　　無論是應用級還是端口級的防火墻針對的都是網絡層面的攻擊，通過設置可訪問的端口或者應用，把惡意訪問排除在外，然而如何鑒別善意訪問和惡意訪問是一個問題。訪問一旦被允許，后續的安全問題就不是防火墻能應對了。

　　“Web 網站使用了 IDS，所以很安全”

　　通過模式識別對網絡層面的攻擊做出防護措施。然而類似于防火墻，通過利用程序漏洞，通過正常連接進行攻擊的訪問無法被識別和處理。

　　“Web 網站使用了 SSL 加密，所以很安全”

　　SSL 對網站發送和接收的信息都進行加密處理，然而 SSL 無法保障存儲在網站里的信息的安全和網站訪問者的隱私信息。采用 64 位甚至 128 位 SSL 加密的網站被黑客攻陷的例子舉不勝舉。

　　“漏洞掃描工具沒發現任何問題，所以很安全”

　　當前漏洞掃描工具已經被廣泛使用去查找一些明顯的網絡安全漏洞。同理，掃描工具無法對網站應用程序進行檢測，無法查找應用本身的漏洞。

　　“我們每季度都會聘用安全人員(Pen Tester)進行審計，所以很安全”

　　人為的檢測考察不僅僅效率低，不可控因素也較多，同時對于代碼變更頻繁的今天，Pen Tester 也無法滿足全面的安全需求

　　然而這些方法遠遠不能保障 Web 應用的安全，針對應用層面的攻擊可以輕松的突破防火墻保護的網站。例如：最為常見的 SQL 注入攻擊表現層面完全是正常的數據交互查詢。對于防火墻或者入侵檢測系統而言，這是最為正常的訪問連接，沒有任何特征能夠說明此種訪問連接存在惡意攻擊。所以，一些簡單的 SQL 注入語句就可以使得裝備昂貴網絡安全設備的網站被輕松攻破。

　　1.2 Web 安全現狀

　　令人驚詫的是，幾乎所有關注 Web 安全領域的人都會存在著上面我們闡述的誤區，而當前 Web 的安全現狀也同時證明了這些誤區的普遍性�！胺阑饓�、IDS 是主要安全手段，SSL 保證了安全性，…”與之相對的是：互聯網發展到今天，75%的安全問題竟然是出現在應用程序本身。正如上面介紹的 SQL 注入攻擊一樣，這是防火墻、SSL、入侵檢測系統無法預防、解決、和應對的!

　　如下圖所示，目前安全投資中，只有 10%花在了如何防護應用安全漏洞，而這卻是 75%的攻擊來源――10% Vs 75%，這是多么大的差距!這也是造成當前 Web 站點頻頻被攻陷的一個重要因素。

　　圖 1. 當前安全現狀統計分析圖

　　那么，什么樣的防護才是一個完整的解決方案呢?通過附圖 2 我們可以看到，一個完整的 Web 防護不僅僅包含了常見的 IDS、Firewall 等防護手段，更需要針對應用本身做好安全防護，這也是解決 75%安全漏洞的手段。那么什么樣的攻擊是防火墻、IDS、或者 SSL 無法應對的呢，他們又是如何利用應用本身的漏洞進行攻擊的呢?下面我們將做詳細的闡述。

　　圖 2. Web 應用的網絡防護

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: AppScan rational Rational RATIONAL web Web WEB 攻擊 應用