-
-
[分享]Web应用安全之挑战与对策
-
发表于:
2010-1-30 21:42
2686
-
Web应用安全之挑战与对策 The Challenge and Countermeasure of Web Application Security
Intelligent Times 2008.08
因特网快速扩展已深入当今人们的日常生活,成为信息沟通及互动交易一个非常重要的基础平台,很多企业都将各种应用建置于此一平台上,而这些应用在功能性和复杂性均不断在增加,也带来更多潜在安全漏洞及黑客攻击威胁,安全防护上面临前所未有的挑战。虽然一般企业伺服环境之网络层防护设施已普及,传统针对OS及网络层的攻击往往被阻挡往往无法得逞,因此黑客攻击手法也逐渐改变,藉由合法应用连结夹带恶意程序代码,透过防火墙开放的通讯端口来进行攻击,而首当其冲的就是Web网页应用系统了,因此需将防御提升至Web应用层的检测,方可确保网站服务应用之安全。
Web应用攻击挑战
现今企业内部应用与企业对外业务的融合比以往任何时候都要密切,越来越多的企业对于其客户及合作伙伴之互动,也大幅采用了Web应用服务,然而也伴随着新的安全漏洞,黑客可以藉由这些安全漏洞攻击应用系统,分析过去实际Web资安事件案例,归类主要攻击手法如下:
(1) SQL Injection:利用网页应用程序的漏洞,可以让攻击者输入特定的字符串,让数据库输出攻击者想要的信息(例如管理者密码、使用者数据),而不是网页应用程序原先设定的输出。
(2) Cross Site Scripting:利用网页应用程序的漏洞,可以让攻击者输入script程序,使之后连结上被攻击网站的使用者执行这些script程序,导致泄漏使用者的信息。
(3) Directory Traversal:利用网页应用程序的弱点或是网页服务器的设定错误,攻击者可以存取到被隐藏的目录或档案,甚至是网页程序的原始码。
(4) File Inclusion:网页应用程序的漏洞可以让攻击者设定某些参数值,使得网页应用程序去执行远程的程序。
(5) Denial of Service:利用网页应用程序的漏洞,可能导致网页应用程序被破坏或无法提供正常服务,甚至造成网页服务器停止服务。
(6) Buffer Overflow:利用网页应用程序或网页服务器的漏洞,造成受攻击的网页应用程序或网页服务器缓冲区溢位,使得受攻击的主机执行被植入的程序。
Web应用安全防护技术对策
A. 负向行为剖析技术
Web防御机制基本上必须提供负向(Negative)行为筛选,透过封包分析做固定模式或特征的比对;即所谓Pattern Match过滤机制,某些程度上可以检测出已知或常见之Web Application Attack。透过Web Exploit Database及黑客行为分析,建立负向行为(Negative Behavior)剖析技术,可以阻挡部份已知(Known)类型之Web攻击。此技术利用攻击特征及隐含正规化表示、自订阻挡名单等方法,将可能的攻击特征以不同种排列组合比对验证,防止攻击者透过字符串变化及编码技巧来回避侦测。
Source from
http://content.sp.npu.edu.tw/teacher/kkhuang/Shared%20Documents/98%E5%AD%B8%E5%B9%B4%E7%A2%A9%E5%A3%AB%E7%8F%AD%E8%B3%87%E8%A8%8A%E5%8C%96%E7%B3%BB%E7%B5%B1%E7%AE%A1%E7%90%86/2Web%E6%87%89%E7%94%A8%E5%AE%89%E5%85%A8%E4%B9%8B%E6%8C%91%E6%88%B0%E8%88%87%E5%B0%8D%E7%AD%96.doc
[课程]Android-CTF解题方法汇总!
