隨著科技不斷演進,使得WEB面臨著許多前所未知的風險。首先,於系統層面存在版本較舊的HTTP 軟體,未定時更新的作業系統等問題;其次,在應用層面有SQL Injection、XSS(Cross Site Scripting)、表單漏洞、上傳漏洞、網站掛馬等漏洞需加防範;最後在網路層面上則有ARP欺騙攻擊等,只要管理員稍不留心,便會使主機和使用者身陷於危險之境。
至於是哪些危險呢?必須瞭解怪客(Cracker)產業鏈。怪客主要是使用這些漏洞來進行一些「商業」行為,以網站掛馬為例,怪客大多是鎖定政府網站或企業網站為目標,利用應用層面安全漏洞,如SQL Injection等,來進行控制和入侵WEB伺服器,篡改網頁且植入惡意程式碼以啟動網站掛馬,接著掛馬便執行病毒,該使用者在不知情的狀況下,其電腦已成了殭屍網路(BotNet)的一員。在控制使用者的電腦之後,怪客通過竊取手段偷取使用者帳號、銀行帳號、密碼等,以竊取其私有財產。怪客至今的攻擊手段,除了掛馬之外,SQL Injection、XSS、Client Side、Database 等也為其攻擊目標。
在WEB應用安全主動防禦中,首先遇到的便是WEB應用安全弱點掃瞄的挑戰,在掃瞄的過程中需克服後門檢測、WEB 2.0、和HTTPS與驗證碼等問題。基礎掃瞄器的架構,主要分為爬行檢測和檢測功能。在爬行檢測中,細分為JavaScript檢測、繞道驗證碼、Google Hack和資料夾掃瞄等動作。於檢測功能中,則分為SQL Injection、XSS、針對WEB伺服器常見漏洞和知名WEB公開漏洞的檢測等。
於繞道驗證碼這個主題中,則需從設計的源由開始講起。驗證碼誕生的目的,主要是避免單一用戶瘋狂註冊帳號、防止大量垃圾訊息等。然而WEB掃描器運作方式類似網路爬蟲,依賴於請求的頁面數量和內容,某些WEB須在已登入的環境下,才能得到更多的WEB資訊。現今驗證碼各有其特點,實際的繞過驗證碼的方式可能不盡相同,而掃瞄器本質是希望繞過驗證碼的防護,且擁有合法使用者身份,以取得更多WEB頁面得到更多資訊。
應用層安全的檢測,主要分為黑盒和白盒解決方案。使用黑盒測試的優點在於能快速迅捷的部署、設計通用性高的程式、7x24小時隨時可用且可模擬真實外部攻擊風險狀況;然而不知道內部架構、過於僵化的測試程式、誤報和漏報的矛盾,皆為其缺點。白盒測試的優點則為:已知主要架構、系統參數檢測較精準;而黑盒檢測的優點,基本上就是白盒的缺點、7x24小時的監控仍是個問題及協力廠商所提供的元件,都是管理員需關注的部分。
綜觀以上,資訊安全防護除了需靠管理員的細心處理,在進行應用層安全檢測時,最好能共用黑盒與白盒的方式進行,以互補缺陷降低的損失。
0 Comments:
張貼意見