WEB應用防火墻在面對以上事件時,可以應對WEB服務器及WEB應用中的安全漏洞。在對企業網絡采取安全措施時,我們必須思考一些企業實際需求。本文,我們將為用戶介紹網絡應用安全的8個關鍵事項。
訣竅1:不要輕易相信
如果你是在負責設計或管理一個公共網站,你不得不面對是否相信你的用戶。如果你是特別偏執,你可能會把這個想法帶入到整個網站中。但問題是,除非用戶在網站中進行自我驗證,否則你就不知道他們是誰以及他們要做什么.
作為網站的管理員,無論黑客如何偽裝自己的IP,您是否能夠分辨出哪些是合法流量,哪些是非法流量嗎?當服務器日志過多出現404錯誤時,是否有人正在窺探您的網絡安全防御?作為管理員必須時刻保持警惕,對網絡中的異常行為進行驗證。
訣竅2:保持低調
對一個潛在的入侵者來說,他們要做的第一步就是搜集有關你的Web服務器和任何主機應用程序。不要將任何信息暴露給沒有相應權限的終端用戶,并考慮實施以下反偵察手段:
•從您的WHOIS記錄中刪除個人信息對于防御社會工程學攻擊十分重要;
•確保您的電腦中沒有能夠顯示電腦是什么系統及版本的文件名稱;
•從服務器響應中刪除服務器上的標題;
•重新映射動態網頁的文件擴展名,如JSP到SHTM;
•添加自定義錯誤頁面,有助于隱藏服務器或相關開發平臺的有價值信息;
•從HTML、CSS樣式表、以及JavaScript源代碼中,刪除注釋,特別是那些能夠表明實施信息或網站及管理人員的信息;
•不在robots.txt文件中暴露出敏感的文件或目錄名.
您可以調整您的網絡防火墻和服務器關聯設置從而進行反偵察,這方面可以參考的工具如NMAP(www.insecure.org),通過TCP回執能夠幫您識別您的服務器。在http層,你可以考慮改變您的Web服務器的回應來偽裝session cookie的名稱,并刪除其他項目的回應。此類參考工具如ServerMask,能夠幫助用戶執行多種掩蔽方法.
顯然,安全并不能僅僅靠一個稱職的WEB管理員來全面防范,安全是防護是必須的,但一些公司邀請部分黑客進行攻擊以測試網站的防護功能是十分愚蠢的;攻擊的真實目的是使潛在的攻擊者遠離真正需要保護的網站,讓他們去攻擊用來做誘餌的網站或服務器。
訣竅3:障眼法避免信息泄露
如果有些信息需要共享時,管理員需要考慮采用障眼法來保證安全。通常我們可以將服務器進行偽裝,假裝使用與正常業務不同的技術或給予矛盾的信息,來誘使攻擊者采用錯誤的攻擊手段并標注其意圖。例如,你可以在網站的robots.txt文件、注釋或錯誤網頁中添加偽造的不受限的目錄或文件,這樣當攻擊者或者惡意軟件在進行監測或攻擊時,就會暴露其意圖。其他偽裝保護的例子包括:
•在響應數據包中加入隨機網絡和HTTP服務器簽名;
•通過實施欺騙性的管理員帳號和網絡日志,可以及時發現社會工程需攻擊的發生;
•誘捕服務器或蜜罐(www.honeypots.org)混淆入侵者.
•向入侵者發送不同的錯誤的相應或 “500 Server Error”來偽裝服務器故障。
障眼法在安全應用中擁有很大的延展空間。通過創建集群化的誘捕設備和站點來不斷的檢測,這對潛在的攻擊者而言無疑是巨大的煩惱。然而本分公司并不支持這種觀點。
必須認識到:偽裝并不能有效解決問題,而且有可能刺激攻擊者。在許多情況下,面對來自機器人、蠕蟲或腳本小子的攻擊時,這些策略將無法發揮作用。攻擊者并不在乎他們攻擊的目標,因此管理員有必要弄清在攻擊者發起攻擊行為前可以處理哪些問題。
訣竅4:強硬的拒絕惡意需求
必須意識到用戶的執行請求并非都是安全的。通常攻擊重點放在試圖修改HTTP請求從而造成惡意行為發生。用戶可以使用應用層防火墻或服務過濾器以消除不良的HTTP請求,包括冗長的URL、異常的字符、不被支持的方法和標題及任何其他畸形要求等.
用戶應該清楚自己網站中的數據類型與程序種類。如果您知道什么是允許的,那這個范圍以外的數據與程序就是不允許的。比如,需要ASP支持的網站用PHP制作就會有問題。請務必清除所有未使用的文件,特別是備份文件(.bak) 關閉您的服務器的目錄瀏覽選項,并從服務器中刪除任何未使用的擴展名。
訣竅5:密切關注用戶請求與輸入
更危險的攻擊行為是提交Web應用。因為用戶可以繞過任何客戶端的限制(包括尺寸和類型),所以不論攻擊行為是否發生,您都必須仔細檢查所有容易忽視的提交請求,包括URL查詢字符串或表單提交。尤其需要留意頁面中的Javascript過濾,這種以消息框傳遞給頁面表單的方式,可以引起嚴重的跨站腳本攻擊(XSS)。
必須仔細檢查可以用于提交的隱藏表單字段和Cookie。避免里面出現機密的數據,并且應該考慮加入校驗以核實他們并沒有被篡改。要特別注意會話cookie,如果表單很容易被破解,將會引發Cookie劫持攻擊。
程序流動是很重要的,請務必查看涉及的網址和拒絕任何順序之外的網頁請求。關于信號的問題,您可以添加額外的、加密的cookie信息表明切入點和尾頁訪問。
訣竅6:監測與測試
如果在出現問題的時候只是去檢查日志,那你做的還遠遠不夠。在此時研究日志已經晚了,它只能幫您重現入侵過程或者幫忙修補漏洞。由于應用程序的攻擊顯然是記錄在服務器的訪問日志中,所以發現問題的難度不大且速度很快。除非攻擊者有服務器級別的權限,否則他們想要掩飾他們的追蹤是很困難的。
應用層的攻擊比網絡入侵更難掩飾,因此將正常的和惡意的請求區分開來也是很困難的。要選出惡意的請求,可以從未知的用戶代理、不能解決的IP地址和同一個來源的請求這幾個方面入手。要注意服務器的錯誤日志并看看404請求,它們并非簡單的錯誤而是未能利用或探測。
確保自己在測試網站的時候使用諸如NStealth(www.nstalker.com)等工具來查找和修補漏洞,但必須記住的是,"零日漏洞攻擊"(zero-day attack,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就會出現并對漏洞進行攻擊)一直存在著,無法防御的攻擊也是會出現的.
訣竅7:做好最壞的打算
不管如何努力,也會有人對您的服務器或應用程序虎視眈眈。您絕不能忽視這種可能性,應該有一個針對不同威脅采取不同應對措施的方法.威脅包括:
•服務器威脅
•網頁遭篡改
•Dos攻擊
•泄露敏感數據
在服務器威脅方面,想辦法使服務器回到正常狀態并設法堵塞漏洞是唯一可以做的。當面對網頁遭篡改時,您可以將它修改回來或者用另一個網頁替換。處理網頁篡改并不是很難,但是想要快速的偵測到網頁被篡改還是很困難的。一個網站的首頁被篡改的話當然是很容易被發現,但是沒有網頁校驗的話,要檢測輕微的數據修改可能會有困難。如果一個公司網站的重要信息被入侵者修改的話,后果將會是及其的嚴重.
在網絡中的DoS攻擊是被人熟知的且有許多處理辦法,但是應用層的DoS攻擊就很難處理了.區別真實流量和惡意流量是很困難的。這方面的問題急需解決,積極監測網站的流量就是重要的第一步.
泄露敏感數據(如客戶資料包括信用卡號碼)是很難被監控的。安全軟件和設備可以監測敏感資料并有效阻止其外泄。積極的監測是解決數據泄露最好的辦法,因為敏感的資料可不像社保障好或者信用卡號碼那樣一目了然。
訣竅8:融合開發人員與管理人員
網絡應用安全中最大的挑戰是那些開發了網站的人往往不是保護其安全的人。如果該網站的管理員并不是特別熟悉網站的運作,那么想要充分保障它的安全就是很困難的。另一方面,開發人員并不知道發生了什么類型的攻擊。因此,無法通過寫代碼來解決這些問題。將這兩方面的知識融會貫通可以說對付網絡應用安全問題的終極武器。
