|
1.网站面临的安全风险现状
随着互联网的普及,网站作为一种信息平台,对于政府、企业而言,不但是其形象的重要组成部分,更是将自身展示给全球的窗口,具有非同寻常的意义。简单而言,对于政府,国家电子政务外网网站是我国电子政务体系的重要组成部分,也是推进服务型政府建设的一个重要载体,政府网站的发展水平是衡量一个地区电子政务进程的标志;对于企业而言,它既是企业形象的代言人又肩负着企业的产品推广、信息发布、数字商务等运营职能。但是,往往由于在网站建设中,对安全问题的重视不够,导致了网站在运营过程中遭受攻击,给政府和企业带来了巨大的负面影响。
1.1网站被攻击实例
1)根据CNCERT监测数据,仅2010年11月22日-11月28日这一周,我国境内被篡改政府网站数量为101个。
2)2008年12月5日某商务局网站被黑 领导图片变暴露女(图)
3)2010年11月24日某政府网站现雷人民意调查 相关部门称网站被黑
4)360安全卫士恶意网页监控数据显示,仅2010年1月3日一天,就有包括汕头市政府门户网站、山东省人民检察院网站等在内的21家政府网站被黑客挂马
5)2009年8月某网上商城首页出现众多商品价格出现负数现象,造成全网站无法正常下定单。疑似遭到黑客攻击,商城形象受损。
6)2009年 某知名网上商城遭黑客攻击,部分2000元的商品价格被修改为24元,涉及的订单被取消,下订单消费者投诉的其网站,最后网站公司表示会按合同履行,尽快给消费者发货。公司承担损失
1.2OWASP 公布的2010年网站漏洞Top 10
1) A1 – 注入(Injection)
2) A2 – 跨站脚本 (Cross Site Scripting (XSS))
3) A3 – 无效的验证和会话管理 (Broken Authentication and Session Management)
4) A4 – 对资源不安全的直接引用 (Insecure Direct Object References)
5) A5 – 跨站伪造请求 (Cross Site Request Forgery (CSRF))
6) A6 – 错误的安全配置 (Security Misconfiguration)
7) A7 – 失败的网址访问权限限制 (Failure to Restrict URL Access)
8) A8 – 未经验证的网址重定向 (Unvalidated Redirects and Forwards)
9) A9 – 不安全的密码存储 (Insecure Cryptographic Storage)
10) A10 – 薄弱的传输层保护 (Insufficient Transport Layer Protection)
2.网站易受攻击的原因
黑客、病毒、木马等不断攻击着各种网站,除了网站所处的网络环境复杂这个客观因素外,更为重要的一个原因是在网站开发建设的过程中,网站的设计者忽视了安全漏洞给用户带来的危险。政府部门也好、企业也好,在进行网站设计时,往往会将网站的功能、网站的创意等放到首位,而网站的安全问题,往往会排在最后再考虑,甚至就忽略了。
现在网站系统大部分都是使用ASP、.NET、PHP、JAVA语言编写,良好的安全构架、缜密的代码实现,可以有效的减少网站被攻击的可能性,但实际情况往往是架构存在缺陷、开发过程中存在技术疏忽,如果再没有一个非常好的测试来作为质量把关的话, 最终导致网站安全风险系数较高。
但网站的安全性判定,不像功能测试一样,在测试过程中有、无一目了然,网站的的安全性判定是需要经过大量的技术测试才能得出的,一般不具备专业攻防知识的测试人员在判定一个系统的安全性时就显得无从下手了。另外,在面对大、中型网站的时候,即使是专业的测试人员,也很难通过手工进行面面俱到的测试,因此,缺乏专业的网站安全测试工具对网站进行全面的安全检查,使得网站上线后依然存在大量漏洞,也是最终导致网站遭受攻击的一个重要原因。
3.网站安全检测方案
我公司提供的web安全测试工具,包括Fortify Software(现已被HP收购)研制Fortify SCA和HP的WebInspect网站应用安全测试仪。Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。
3.1Fortify SCA静态代码分析器(Static Code Analyzer)
Fortify SCA是Fortify360产品套装中的一部分,它使用fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。
1) Fortify SCA能够支持多达17种的常见编程语言,如ASP.NET, C/C++, C#, Java, JSP, XML,VB.NET、ASP,PHP,JavaScript, VB,VBScript等语言。
2) Fortify 产品可以支持Windows、 Linux 、HP Unix, Solaris,AIX的操作系统平台和其上面的代码。
3) Fortify SCA中包括有五个分析引擎,数据流分析引擎可以跟踪可疑的输入数据,分析出该数据不安全的使用产生的安全隐患;语义分析引擎可以发现易于遭受攻击的语言函数或者过程,并理解它们使用的上下文环境,识别出使用特定函数或者过程带来的软件安全的隐患;结构分析引擎能够跟踪业务操作的先后顺序,发现因代码构造不合理而带来的软件安全隐患;配置分析引擎,能够分析软件的配置和代码的关系,发现在软件配置和代码之间,由于配置丢失或者不一致而带来的安全隐患;控制流分析引擎:准确地跟踪业务运行的先后顺序,来发现不适当的代码结构。
4) Fortify 的安全漏洞库是业界最权威的,遵循国际权威标准OWASP和CWE标准。Fortify SCA目前一共能够分析和检测的漏洞种类约400多种。
3.2WebInspect网站应用安全测试仪
WebInspect可用于对复杂网络上的Web应用程序进行安全性测试和评估。利用创新的动态安全分析技术及评估技术检查 Web 服务及Web 应用程序的安全,惠普WebInspect提供快速扫描功能,及准确的Web应用程序安全扫描结果。
1) 先进的自动化渗透测试:对运行的应用程序进行自动化安全测试,如SQL注入和跨站点脚本
2) 无与伦比的精度:采用多种分析方法和智能安全检测引擎,以确定利用的安全漏洞,使开发团队可以专注于固定只有真正重要的问题
3) 客户端脚本支持:惠普WebInspect静态分析,支持JavaScript,Flash,Silverlight等客户端脚本代码
4) 关联结果与静态分析:通过深度分析并与业界领先的Fortify静态分析结果相结合,惠普WebInspect提供了最深和最可行的安全测试结果
5) 易于安装和使用:低成本进入,快速安装和工作流程驱动的向导,使小规模的测试队伍可以很快开展其安全性测试,而有经验的渗透测试人员可以利用该工具进行专家级的安全测试
|