使用 Rational AppScan 应对 Web 应用攻击
互联网的发展历史也可以说是攻击与防护不断交织发展的过程。当前,Web 安全性已经提高一个空前 的高度,然而针对网站的攻击却频频得手。如何最大化的保护 Web 应用呢,IBM Rational 提出了全面的 解决方案。第一部分 介绍了 Web 安全与 Rational AppScan 的入门知识。本文将针对 Web 安全的现状 、根源、以及 Rational AppScan 产品的技术细节做全面的介绍,最后阐述IBM解决方案给企业带来的深 层次价值。
1 当前 Web 安全现状
互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前, 全球因特网用户已达 13.5 亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依 赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。
然而,现实世界中,针对网站的攻击愈演愈烈,频频得手。CardSystems 是美国一家专门处理信用卡 交易资料的厂商。该公司为万事达 (Master)、维萨 (Visa) 和美国运通卡等主要信用卡组织提供数据外 包服务,负责审核商家传来的消费者信用卡号码、有效期等信息,审核后再传送给银行完成付款手续。这 家公司为超过 10 万家企业处理信用卡信息,每年业务金额超过 150 亿美元。这家已有 15 年历史的公 司怎么也没想到,居然有黑客恶意侵入了它的电脑系统,窃取了 4000 万张信用卡的资料。这些资料包括 持卡人的姓名、账户号码等。这是美国有史以来最严重的信用卡资料泄密事件。此次攻击事件不仅仅对消 费者,对公司造成了巨大的损失,甚至对美国的信用卡产业产生了严重的影响!
1.1 Web 安全的认识误区
然而什么才是 Web 安全呢,或者说什么样的网站才是安全的呢?用 户往往有一些常见的误区。
“Web 网站使用了防火墙,所以很安全”无论是应用级还 是端口级的防火墙针对的都是网络层面的攻击,通过设置可访问的端口或者应用,把恶意访问排除在外, 然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了 。“Web 网站使用了 IDS,所以很安全”通过模式识别对网络层面的攻击做出防护措施。然而 类似于防火墙,通过利用程序漏洞,通过正常连接进行攻击的访问无法被识别和处理。“Web 网站 使用了 SSL 加密,所以很安全”SSL 对网站发送和接收的信息都进行加密处理,然而 SSL 无法保 障存储在网站里的信息的安全和网站访问者的隐私信息。采用 64 位甚至 128 位 SSL 加密的网站被黑客 攻陷的例子举不胜举。“漏洞扫描工具没发现任何问题,所以很安全”当前漏洞扫描工具已经 被广泛使用去查找一些明显的网络安全漏洞。同理,扫描工具无法对网站应用程序进行检测,无法查找应 用本身的漏洞。“我们每季度都会聘用安全人员(Pen Tester)进行审计,所以很安全”人为 的检测考察不仅仅效率低,不可控因素也较多,同时对于代码变更频繁的今天,Pen Tester 也无法满足 全面的安全需求
然而这些方法远远不能保障 Web 应用的安全,针对应用层面的攻击可以轻松的突破防火墙保护的网站 。例如:最为常见的 SQL 注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统 而言,这是最为正常的访问连接,没有任何特征能够说明此种访问连接存在恶意攻击。所以,一些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。