Web應用安全威脅與防護措施

本文已收錄至《全國計算機等級考試——信息安全技術》專欄

由于極其容易出現漏洞、并引發安全事故，因此數據隱私的保護是目前絕大多數企業不可繞過的運維環節。不過，許多中小型企業往往會錯誤地認為只有大型企業才會成為黑客的目標。而實際統計數字卻截然不同：有43%的網絡犯罪恰恰是針對小型企業的。而且，無論是系統陳舊且未給漏洞打上安全補丁，還是各種惡意軟件，甚至是一些人為的錯誤，都可以成為系統的受攻擊面。

如果仔細觀察當前的網絡威脅態勢，您可能會驚訝地發現，90%的Web應用都可能成為攻擊者的潛在目標。因此，為了讓應用程序和數據資產免受威脅，各大在線社區(例如OWASP和NIST)努力制定了各種安全標準和優秀實踐，并以免費的文檔、方法、工具等形式，協助企業通過對照實施，來增強其IT環境的安全態勢。

在我們開始深入討論之前，讓我們首先來看一些驚人的統計數據：

僅在2020年上半年間，企業數據的泄露量已累計高達360億條記錄。

86%的網絡安全泄漏是出于經濟目的，而有10%是源于間諜活動。

從分類來看，有45%的泄漏源于黑客攻擊，17%源于惡意軟件，22%與網絡釣魚有關。

許多金融企業會讓員工不受限地訪問各類文檔資源，他們甚至可以訪問到本企業內部大約17%的敏感文件(約1100萬個文件)。

平均而言，只有5%的公司文件夾受到了適當的保護。而且，有超過77%的企業并無事件響應計劃。

可見，針對上述威脅，我們應采取主動的Web安全策略，以及嚴格的措施，來確保敏感的數據信息、Web應用、以及信息系統等資產，免受攻擊與侵害。下面，我將和您討論五種最主要的Web應用安全威脅，以及七種行之有效的防護措施與實踐。

1.注入漏洞

注入漏洞會讓攻擊者方便將惡意代碼植入到目標應用系統(如，解析器)中。簡而言之，如果您的Web應用允許用戶將其輸入的信息插入后端數據庫，或使用shell命令對操作系統進行調用，那么您的應用就可能會受到注入漏洞的影響。

當然，您可以通過檢查應用的源代碼，或對應用進行徹底的滲透測試，來發現此類漏洞。注入漏洞最常見的類型是SQL注入。攻擊者會在SQL查詢中，插入惡意代碼，并將其轉發到后端數據庫服務器上，實施遠程盜竊或攻擊。

除常見的SQL注入之外，目前還有LDAP注入、XML注入、XPATH注入、OS命令注入、以及HTML注入。我們通常可以通過適當、及時地檢查與清理用戶的輸入，來防范此類威脅。

2.身份驗證失敗

身份驗證失敗是由身份驗證和會話管理控件的實施不當而引起的。如果攻擊者能夠成功地識別和利用那些與身份驗證相關的漏洞，那么他們就能直接訪問到各種敏感數據和功能。

為了利用身份驗證漏洞，攻擊者需要通過采用諸如：憑證填充、會話劫持、密碼暴力破解、以及會話ID URL重寫等方法，來模擬應用程序的合法用戶。

我們可以通過實施健全的會話管理控制、多因素身份驗證、限制和監視失敗的登錄嘗試，來防范此類攻擊。

3.敏感數據泄漏

當Web應用不能充分保護諸如：會話ID、密碼、財務信息、以及客戶數據等敏感信息時，數據泄露就會發生。

此類泄漏的內部原因主要包括：未對敏感數據實施加密，僅采用了弱加密方式，軟件應用的本身漏洞，以及操作員將數據上傳至錯誤的數據庫等方面。而外部攻擊因素則包括：SQL注入、身份驗證與訪問控制的破壞、網絡釣魚攻擊、以及針對明文協議HTTP、FTP和SMTP傳輸數據等網絡級別的攻擊。

為了應對此類泄漏，我們可以采取的主要措施包括：徹底檢查應用程序的源代碼與IT環境，尤其是正在使用安全密碼算法等方面。

4. XML外部實體

XML外部實體注入(通常被稱為XML External Entity，XXE)可以讓攻擊者通過Web應用的漏洞，干擾應用對于XML數據的處理。此類攻擊往往會導致諸如拒絕服務、數據泄露、服務器端請求偽造等問題。

我們可以通過實施服務器端的輸入驗證，修補和升級所有XML處理器，以及使用SAST工具來分析源代碼等方法，來有效地防止XML外部實體注入。

5.受損的訪問控制

從概念上說，訪問控制機制就是要確定用戶是否可以執行，與之身份和權限相符的操作。而當用戶可以在其預期權限之外執行某項操作時，那么就出現了訪問控制的破壞。

受損的訪問控制通常會導致：未經授權的信息泄露、數據被直接修改或破壞、以及業務功能偏離預期用途等情況。我們可以通過在受信任的服務器端代碼中、或無服務器的API中，強制使用完備的訪問控制機制，來防止攻擊者修改元數據(metadata)，或繞過正常的訪問控制檢查。

鑒于Web應用在當下激烈競爭與快速發展的商業環境中尤為重要，我們可以通過如下七種針對Web應用的安全性防護措施與實踐，來協助企業保護系統與數據。

1.定義并采用合適的網絡安全框架

網絡安全框架包括一系列文檔和指南，它定義了企業在管理網絡安全風險，以及減少漏洞的過程中，需要遵循的各種優秀實踐。這里主要強調的是“合適才是最好的”。我們需要對企業所處的行業，當前開展的業務進行調研。在此基礎上，通過利用專業知識和業界現有的安全標準，為本企業準備詳細的計劃與適合的安全策略。

2.跟蹤您的資產并進行威脅評估

如今，大多數企業都會通過在線運維的方式，對諸如：Web應用、網站、Web服務、API、以及基于云的軟件即服務(SaaS)等IT資產，進行管理。因此在此類IT環境中，他們需要與內、外部的各種系統持續進行通信。同時，許多功能性的接口都會被暴露出來。

對此，企業需要實施關鍵性網絡安全計劃便是資產發現。該環節可幫助運維人員找到各種Web資產，以便他們按需保護目標組件，并制定出相應的安全策略。可以說，一旦創建了所有重要Web資產的列表，他們即可開始執行威脅評估，以識別出針對當前應用的潛在威脅，進而制定出有效的緩解計劃。

3.遵守安全編碼標準

據軟件工程研究所的統計，大約有90%的軟件安全問題，都是由軟件設計或代碼中的缺陷引起的。誠然，開發人員的主要工作是讓應用程序能夠正常運行，但是如果忽略了安全編碼，則會無形中留下各種安全漏洞和被攻擊的后門。

可見，我們需要實施安全的編碼標準，以確保軟件和應用得到保護，并免受安全漏洞的影響。在實際項目中，我們可以在軟件開發生命周期(SDLC)的早期階段引入安全性，并通過遵循OWASP的安全編碼規范、以及SEI CERT編碼標準，這兩種時下流行的安全編碼標準，以避免在后期測試和部署階段，花費時間和精力去填補各種安全漏洞。