1 当前 Web 安全现状
互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球因特网用户已达 13.5 亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。
然 而,现实世界中,针对网站的攻击愈演愈烈,频频得手。CardSystems 是美国一家专门处理信用卡交易资料的厂商。该公司为万事达 (Master)、维萨 (Visa) 和美国运通卡等主要信用卡组织提供数据外包服务,负责审核商家传来的消费者信用卡号码、有效期等信息,审核后再传送给银行完成付款手续。这家公司为超过 10 万家企业处理信用卡信息,每年业务金额超过 150 亿美元。这家已有 15 年历史的公司怎么也没想到,居然有黑客恶意侵入了它的电脑系统,窃取了 4000 万张信用卡的资料。这些资料包括持卡人的姓名、账户号码等。这是美国有史以来最严重的信用卡资料泄密事件。此次攻击事件不仅仅对消费者,对公司造成了巨大 的损失,甚至对美国的信用卡产业产生了严重的影响!
1.1 Web 安全的认识误区
然而什么才是 Web 安全呢,或者说什么样的网站才是安全的呢?用户往往有一些常见的误区。
- “Web 网站使用了防火墙,所以很安全”
- 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击,通过设置可访问的端口或者应用,把恶意访问排除在外,然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。
- “Web 网站使用了 IDS,所以很安全”
- 通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙,通过利用程序漏洞,通过正常连接进行攻击的访问无法被识别和处理。
- “Web 网站使用了 SSL 加密,所以很安全”
- SSL 对网站发送和接收的信息都进行加密处理,然而 SSL 无法保障存储在网站里的信息的安全和网站访问者的隐私信息。采用 64 位甚至 128 位 SSL 加密的网站被黑客攻陷的例子举不胜举。
- “漏洞扫描工具没发现任何问题,所以很安全”
- 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理,扫描工具无法对网站应用程序进行检测,无法查找应用本身的漏洞。
- “我们每季度都会聘用安全人员(Pen Tester)进行审计,所以很安全”
- 人为的检测考察不仅仅效率低,不可控因素也较多,同时对于代码变更频繁的今天,Pen Tester 也无法满足全面的安全需求
然 而这些方法远远不能保障 Web 应用的安全,针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如:最为常见的 SQL 注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言,这是最为正常的访问连接,没有任何特征能够说明此种访问连接存在恶意攻击。 所以,一些简单的 SQL 注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。
1.2 Web 安全现状
令 人惊诧的是,几乎所有关注 Web 安全领域的人都会存在着上面我们阐述的误区,而当前 Web 的安全现状也同时证明了这些误区的普遍性。“防火墙、IDS 是主要安全手段,SSL 保证了安全性,…”与之相对的是:互联网发展到今天,75%的安全问题竟然是出现在应用程序本身。正如上面介绍的 SQL 注入攻击一样,这是防火墙、SSL、入侵检测系统无法预防、解决、和应对的!
如下图所示,目前安全投资中,只有 10%花在了如何防护应用安全漏洞,而这却是 75%的攻击来源――10% Vs 75%,这是多么大的差距!这也是造成当前 Web 站点频频被攻陷的一个重要因素。
图 1. 当前安全现状统计分析图
那 么,什么样的防护才是一个完整的解决方案呢?通过附图 2 我们可以看到,一个完整的 Web 防护不仅仅包含了常见的 IDS、Firewall 等防护手段,更需要针对应用本身做好安全防护,这也是解决 75%安全漏洞的手段。那么什么样的攻击是防火墙、IDS、或者 SSL 无法应对的呢,他们又是如何利用应用本身的漏洞进行攻击的呢?下面我们将做详细的阐述。
图 2. Web 应用的网络防护
常见针对 Web 应用攻击的十大手段
目前常用的针对应用漏洞的攻击已经多达几百种,最为常见的攻击为下表列出的十种。
应用威胁 | 负面影响 | 后果 |
---|---|---|
跨网站脚本攻击 | 标识盗窃,敏感数据丢失… | 黑客可以模拟合法用户,控制其帐户。 |
注入攻击 | 通过构造查询对数据库、LDAP 和其他系统进行非法查询。 | 黑客可以访问后端数据库信息,修改、盗窃。 |
恶意文件执行 | 在服务器上执行 Shell 命令 Execute,获取控制权。 | 被修改的站点将所有交易传送给黑客 |
不安全对象引用 | 黑客访问敏感文件和资源 | Web 应用返回敏感文件内容 |
伪造跨站点请求 | 黑客调用 Blind 动作,模拟合法用户 | 黑客发起 Blind 请求,要求进行转帐 |
信息泻露和不正确的错误处理 | 黑客得到详细系统信息 | 恶意的系统检测可能有助于更深入的攻击 |
被破坏的认证和 Session 管理 | Session token 没有被很好的保护 | 在用户推出系统后,黑客能够盗窃 session。 |
不安全的木马存储 | 过于简单的加密技术导致黑客破解编密码 | 隐秘信息被黑客解密盗窃 |
不安全的通讯 | 敏感信息在不安全通道中以非加密方式传送 | 黑客可以通过嗅探器嗅探敏感信息,模拟合法用户。 |
URL 访问限制失效 | 黑客可以访问非授权的资源连接 | 黑客可以强行访问一些登陆网页、历史网页。 |
我们通过注入缺陷(Injection Flaws,排名第二的攻击)对攻击原理进行一下说明。
在 网站的应用中需要应用到大量的数据库查询检索等功能,例如最简单的例子是网站登陆,用户需要输入登陆名称和密码进行登陆认证。在早期的开发中通常使用最为 简单的 select 语句实现此功能,即 select * from users where username = “XXXX” and password = “XXXX”( 假设数据库 user 表名称为 users,用户名和密码字段名称为 username 和 password)。通过截取用户在文本框中录入的字符串,再进行拼接,形成 select 语句,最终如果表 users 中有符合此条件的记录(即该用户名和密码),系统将会返回有效记录,从而允许登陆系统中。
然而,此开发方法隐藏了一个巨大的漏洞,黑客可以通过 SQL 注入攻击攻入网站。如下图所示,黑客在登陆界面录入的不是用户名,而是一串字符串 (’or 1=1 --
)。黑客的目的是在原本应该录入用户的地方录入了一串字符串,导致整个 select 语句发生了变化:select * from users where username=’’or 1=1
。熟知 Select 语句的人知道,在条件语句中,无论用户名称是否正确,由于 1=1
永远是正确的,所以 select 将会将所有 users 表中的数据返回。最终的结果是,黑客登陆到这个系统中。通过 SQL 注入攻击,黑客可以轻松的敲入一些 sql 语句登陆进网站、对隐秘数据进行查询等等。
图 3. 攻击举例
通 过上述原理描述我们可以看到,对于 SQL 注入攻击无论是防火墙还是入侵检测系统都无法预防和阻止,唯一的办法是将应用本身的漏洞关闭。例如通过参数的传递配合存贮过程来实现数据库查询,这比动态 的构建 sql 语句安全很多。比如在 ASP.net 中通过下面的程序将会避免攻击:
' Visual Basic example
Dim DS As DataSet
Dim MyConnection As SqlConnection
Dim MyCommand As SqlDataAdapter
Dim SelectCommand As String = "select * from users where username = @username"
...
MyCommand.SelectCommand.Parameters.Add(New SqlParameter("@username",
SqlDbType.NVarChar, 20))
MyCommand.SelectCommand.Parameters("@username").Value = UserNameField.Value
// C# example
String selectCmd = "select * from Authors where state = @username";
SqlConnection myConnection = new SqlConnection("server=...");
SqlDataAdapter myCommand = new SqlDataAdapter(selectCmd, myConnection);
myCommand.SelectCommand.Parameters.Add(new SqlParameter("@username",
SqlDbType.NVarChar, 20));
myCommand.SelectCommand.Parameters["@username"].Value = UserNameField.Value;
除 了注入缺陷攻击,常见的应用攻击还有跨网站脚本攻击、恶意文件执行攻击、不安全直接对象应用攻击、跨站点请求伪造攻击、信息泄漏以及利用错误处理机制展开 攻击、等等。每种攻击都类似与 SQL 注入攻击,根据应用程序本身的漏洞,对系统进行破坏工作,例如:获取系统权限、获取机密信息、模拟合法用户等等。
综 上所述,这些利用 Web 应用漏洞的攻击是 Web 安全最主要的威胁来源,75%的攻击来源于此,只有对应用程序本身进行改造才能避免攻击。然而,如何发现这些应用漏洞是保证安全的第一前提,我们如何以最 快最有效的方式发现 Web 应用本身的漏洞呢?没有高效检测手段,安全的 Web 应用将成为水中花镜中月。
3 通过 Rational AppScan 如何应对网站攻击
IBM Rational AppScan 正是应对这一挑战的利器。
如 下图所示,Rational AppScan 工作方式比较简单,就像一个黑盒测试工具一样,测试人员不需要了解 Web 应用本身的结构。AppScan 拥有庞大完整的攻击特征库,通过在 http request 中插入测试用例的方法实现几百中应用攻击,再通过分析 http response 判断该应用是否存在相应的漏洞。整个过程简单易懂高效,测试人员可以快速的定位漏洞所在的位置,同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法,帮助开发人员迅速修复程序安全隐患。对于攻击的特征以及测试用例用户不需要花费大量的精 力,WatchFire 团队定期的对特征库进行更新,随着保证与业界的同步,最大化的提高用户的工作效率。
图 4. Rational AppScan 工作示意图
下面我们通过简单的实例介绍一下 Rational AppScan 的使用:
- 定义扫描
首先确定扫描站点的 URL,根据默认的模板配置向导,确定扫描的整个站点模型以及你想扫描的漏洞种类。例如,我想扫描企业应用 www.xxx.com
,想根据默认值扫描是否有安全隐患,启动 AppScan,创建一个扫描,敲入 www.xxx.com
; 根据配置向导直至完成。
图 5. 默认的模板配置向导
图 6. 创建一个扫描
- 扫描启动,进行测试
只需要点击执行。
- 扫描结果查看
如图所示,AppScan 以各种维度展现了扫描后的结果,不仅仅定位了问题发生的位置,也提出了问题的解决方案。
图 7. 扫描后的结果
4 Rational AppScan 深入介绍
Rational AppScan 同时提供了很多高级功能,帮助客户对复杂应用进行检测。支持的扫描配置有:
- Starting URL:起始 URL,制定被测应用的起始地址
- Custom Error Pages:制定错误网页提高测试效率
- Session IDs:管理测试过程中的 session
- Automatic Server Detection:自动检测应用所在的应用服务器、web server、操作系统
- Exclusion and Inclusion:制定哪些 Web 被扫描或者被排除,哪些文件类型不被扫描
- Scan Limits:其他高级扫描限制,例如扫描次数限制等
- Advanced:扫描的方式,是宽度扫描还是深度扫描
- Communication Settings:对扫描中的延时、线程数量进行配置
- Proxy Settings:代理设置vLogin/logout:对被测应用的登陆进行设置,可以采用录制回放的方式、也可以使用自动登陆的方式
- configure a Test Policy: 配置测试测量,即想测试哪些漏洞。
- ……
如 上所述,用户可以通过 AppScan 进行一系列高级配置,制定所要检测的 Web 模型,即哪些需要扫描、哪些不需要、扫描的方式等等;也可以定义需要扫描漏洞的列表,从而保证了用户关心的网站模型有无用户所关心的安全漏洞。在检测出安 全漏洞之后,AppScan 又提供了全面的解决方案帮助客户快速解决这些问题,最大化的保证 Web 应用的安全。另外,对于 Web 服务 AppScan 同样可以支持。
AppScan 提供了完善的报表功能,可以支持用户对扫描的结果进行各种分析,包括对行业或者法规的支持程度;同时,AppScan 也提供了一系列的小工具,例如:Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码;HTTP Request Editor 提供了编辑 Http request 的功能,等等。
5 Rational AppScan 的使用场景
在整个软件开发生命周期中的各个阶 段,Rational AppScan 都可以被使用,全面的保障了软件的安全性。如下图所示,软件开发过程中,软件开发人员、软件测试人员、QA、审核人员等诸多角色都可以通过 AppScan 检测应用,将漏洞尽早挖掘出来。下面我们通过一些使用场景介绍一下 AppScan 给软件开发带来的利益。
图 8. AppScan 使用场景
5.1 开发人员使用 AppScan
开发人员在开发过程中可以使用 AppScan 或者专用插件,随时开发随时测试,最大化的保证个人开发程序的安全性。越早发现问题,解决问题的成本就越低,这为 Web 应用的安全提供了最为坚实的基础保障。
测试人员使用 AppScan
系 统测试人员使用 AppScan 对应用做全面的测试,一旦发现问题,可以快速的生成 defect,通过与 ClearQuest 的集成可以实现 defect 电子化跟踪,再传递到开发人员手中,指导开发人员迅速解决问题。极大的提高了开发团队的开发效率,也提供了完整了沟通平台解决方案。
5.3 审核人员上线前使用 AppScan
这是系统上线前的安全质量关卡。任何系统上线都应该经过严格的上线测试,这也最大化的减少了上线后问题的出现,避免生产系统上线后给企业带来的巨额损失。
5.4 上线后审计、监控人员使用 AppScan
上线的系统应该定期检测,一旦出现问题更应该及时检测,越快速的定位发现问题,损失就会越小。
上面我们介绍的是比较通用的使用场景。当然,不同的企业可能不同的特点,AppScan 使用场景的原则是最大化的提高使用效率、尽早的把问题暴露出来,为应用安全打下坚实的基础。每个企业都可以根据自身的开发现状定义适合自己的使用模式。
6. 为企业带来的收益
通 过上面的介绍,我们对 Web 安全现状、应用安全重要性、以及应用安全产品 Rational AppScan 的使用有了一定的认识。但是,工具带给客户的不仅仅是一些功能,更为重要的是给企业带来的深层次的收益,给企业在开发过程、安全策略等层面带来了深刻的变 化 . 下面我们从几方面阐述 AppScan 给企业带来的价值:
- AppScan 是 Web 应用安全的坚实保障
- 正如上面所论述的一样,当前 Web 安全 75%的漏洞出自于应用本身,快速全面的定位问题并提供完善的解决方案将会帮助开发团队构建一个健壮的应用。
- AppScan 使得开发成本降低、开发效率提高
- 开发测试人员通过 Rational AppScan 可以迅速的定位安全隐患,早期发现问题不仅有助于解决问题,更降低了开发成本,避免问题过晚出现所造成的巨大损失。
- AppScan 给企业提供了统计分析能力
- Rational AppScan 提供了灵活报表功能,可以支持对扫描结果进行统计分析;支持对规范法规遵循的分析;更提供了 Delta 比较报告,可以比较两次检测的结果从而作为质量检验的基础数据 AppScan 帮助建立企业级的测试策略库
- Rational AppScan
- 帮助企业根据不同的应用类型建立不同的测试策略,同时用户可以定义针对不同威胁的解决方法,持续的知识积累保证了企业拥有更完善的安全解决方案。
总结
综上所述,随着 Internet 的蓬勃发展,Web 的安全性已经被空前重视,薄弱的安全性也成为了很多企业发展的瓶颈。然而,即便安全性如此受重视的今天,很多人对如何保障 Web 的安去性都存在着巨大的误区。现实表明,只有加强 Web 应用的防护,才能有效的防范 75%的攻击,Web 应用的防护已经成为安全话题中最为不可获缺的部分。IBM Rational 提供了 Rational AppScan 解决方案,在 Web 开发、测试、维护、运营的整个生命周期中,帮助企业高效的发现、解决安全漏洞,最大限度的保证了应用的安全性,为企业发展提供了坚实的技术保障。
转载自:http://www.ibm.com/developerworks/cn/rational/r-cn-appscan2/