第5节应用系统安全基础.PDF

第 5 章 应用系统安全基础 5.1 Web 安全 5.1.1 Web 安全威胁 概念 从某种程序上说，没有 Web 就没有 Internet 。然而Web 应用程序及 Web 站点往往很 容易遭受各种各样的入侵，Web 数据在网络传输过程中也很容易被窃取或盗用。因此如 何能够使 Web 及数据传输更加安全，就显得尤为重要。 如今，Web 业务平台已经在电子商务、企业信息化中得到广泛应用，很多企业都将 Web Web 应用架设在 平台上， 业务的迅速发展也引起了黑客们的强烈关注，他们将注意 力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。黑客利用网站操 作系统的漏洞和 WEB 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限，轻则篡 改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网 站访问者受到侵害。 Web 威胁的目标定位有多个维度：有个人、公司、还有某种行业，都有其考虑，甚 至国家、地区、性别、种族、宗教等也成为发动攻击的原因或动机。 攻击还会采用多种形态，甚至是复合形态，比如病毒、蠕虫、特洛伊、间谍软件、 僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit 、黑客，结果都可 以导致用户信息受到危害，或者导致用户所需的服务被拒绝和劫持。 从其来源说 Web 威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网 络，可能是用户执行了未授权访问或是无意中定制了恶意攻击；后者主要是由于网络漏 洞被利用或者用户受到恶意程序制定者的专一攻击。 分类 现在的黑客日益聪明，前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”， 都有黑客们的手脚在里面，他们往往用一些令人感兴趣的东西来吸引受害者，所谓愿者 上钩。殊不知，这些表面的东西往往包含着恶意软件，甚至 rootkit 程序。根据赛门铁克 的调查，以下这些可谓最具危险性的Web 威胁。 1 （）可信任站点的漏洞 我们都有这样的看法，大的知名网站是相对安全的。黑客们也知道这一点，他们会 第 5 章 应用系统安全基础 519 想方设法修改这些网站的网页，将用户的浏览器重新导向到其精心打造的恶意站点，这 个恶意站点看起来还是非常可信的。但在用户向其中输入个人信息时，这些站点就会窃 取你的信息，有的还会在你的系统上种上点东西（如间谍软件等），或者破坏你的邮件地 址簿，肆意传播垃圾邮件等。 2 （）浏览器和浏览器插件的漏洞 前几天我们看到一些安全专家建议不要使用 IE 浏览器。其实其他的浏览器也并非无 懈可击，只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪 种浏览器，攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算 机上，或者将用户指引到一个恶意站点。 3 （）终端用户 许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本 电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、 关闭防火墙等都是具体表现。 4 （）可移动的存储设备 U MP3 MP4 由于 盘、移动硬盘、 、 等设备的快速流行和使用，恶意软件也可以轻易 地从外部的设备传输到网络系统中。此外，插到 iPod 中的插件也可以成为窃取系统数据 的重要媒介。 5 （）网络钓鱼 网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其 伪装，在电子邮件中诱骗消费者输入其个人机密信息。 6 （）僵尸网络 攻击者通过隐藏的程序控制大量的计算机系统并执行多任务，如发送垃圾邮件和发 动拒绝服务攻击等。 7 （）键盘记录程序 黑客在用户的系统上安装可以记录用户击键的程序，并将记录的结果秘密地通过电 子邮件发送到黑客的邮箱。 8 （）多重攻击 黑客使出“组合拳”，即将多种战术结合在一起（如综合运用键盘记录程序、僵尸 网络、钓鱼等手段）来窃取用户的敏感信息。此外，攻击者还可