摘要：高效的應(yīng)用安全以三個(gè)強(qiáng)大的應(yīng)用安全引擎，分別是模式識(shí)別會(huì)話保護(hù)和簽名庫(kù)。同時(shí)，探針采用的模式識(shí)別應(yīng)用安全引擎能有效防護(hù)前文提到的攻擊，以及許多其他攻擊。

自從 Web 應(yīng)用能給訪問(wèn)者提供豐富的內(nèi)容之后，黑客們就把目光轉(zhuǎn)向任何他們能夠破壞，損毀，欺騙的漏洞。通過(guò)網(wǎng)絡(luò)瀏覽器提供的應(yīng)用越來(lái)越多，網(wǎng)絡(luò)罪犯?jìng)兛梢岳玫穆┒磾?shù)量也呈指數(shù)增長(zhǎng)起來(lái)。

大多數(shù)企業(yè)都依賴于網(wǎng)站向客戶提供內(nèi)容，與客戶進(jìn)行互動(dòng)，銷售產(chǎn)品。因此，企業(yè)會(huì)部署一些常用的技術(shù)來(lái)處理網(wǎng)站的不同請(qǐng)求。Joomla！或 Drupal 這樣的內(nèi)容管理系統(tǒng)或許能夠建立包含產(chǎn)品、服務(wù)以及相關(guān)內(nèi)容的健壯網(wǎng)站。此外，企業(yè)往往會(huì)使用 Wordpress 博客或基于 phpBB 的論壇這類依靠用戶產(chǎn)出內(nèi)容的社區(qū)，給客戶提供評(píng)論和討論的反饋平臺(tái)。無(wú)論規(guī)模大小，對(duì)于直接在網(wǎng)上銷售的電商企業(yè)，ZenCart 和 Magento 都能滿足他們的需求。但再加上數(shù)千個(gè)網(wǎng)站依賴的專有應(yīng)用程序，確保網(wǎng)絡(luò)應(yīng)用程序的安全應(yīng)該是任何規(guī)模的網(wǎng)站管理者的首要問(wèn)題。

網(wǎng)絡(luò)應(yīng)用程序允許訪問(wèn)者訪問(wèn)網(wǎng)站最重要的資源——網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。和任何一款軟件一樣，網(wǎng)絡(luò)應(yīng)用程序的開(kāi)發(fā)人員在產(chǎn)品和功能上花費(fèi)了大量時(shí)間，卻很少把時(shí)間用在安全上。當(dāng)然，這并不是說(shuō)開(kāi)發(fā)人員不關(guān)心安全問(wèn)題，實(shí)際情況絕非如此。真正的原因是，一方面，開(kāi)發(fā)者對(duì)安全缺乏理解。另一方面，項(xiàng)目經(jīng)理考慮安全問(wèn)題的時(shí)間太少。

不管是什么原因，應(yīng)用程序往往充滿了漏洞。利用這些漏洞，攻擊者可以訪問(wèn) Web 服務(wù)器或數(shù)據(jù)庫(kù)服務(wù)器。到那時(shí)候，他們可以做的事情就多了，比如：

損壞網(wǎng)站

插入指向其他站點(diǎn)的垃圾鏈接

插入能在訪客電腦里運(yùn)行的惡意代碼

插入惡意代碼，竊取會(huì)話 ID（cookies）

盜取訪問(wèn)者信息和瀏覽習(xí)慣

盜取賬戶信息

盜取數(shù)據(jù)庫(kù)里存儲(chǔ)的信息

訪問(wèn)受限內(nèi)容

還有更多

使用 OneRASP .NET 探針,可以避免許多 Web 應(yīng)用威脅，因?yàn)?OneRASP .NET 探針 會(huì)監(jiān)視 HTTP 流量，根據(jù)規(guī)則檢查網(wǎng)絡(luò)數(shù)據(jù)包，從而決定是允許還是拒絕協(xié)議、端口、IP地址等的訪問(wèn)，以此來(lái)阻止 Web 應(yīng)用程序受到侵害。

作為即插即用的軟件，OneRASP.NET 探針提供了最佳的開(kāi)箱即用保護(hù)，能防御 DOS 攻擊、跨站腳本注入、SQL 注入攻擊，路徑遍歷和許多其他網(wǎng)絡(luò)攻擊技術(shù)。

OneRASP .NET 探針能為網(wǎng)絡(luò)應(yīng)用安全提供全面的解決方案，其原因是：

易于安裝在 Apache 和 IIS 服務(wù)器

針對(duì)已知和新興的黑客攻擊有強(qiáng)壯的安全防護(hù)

最佳的預(yù)定義安全規(guī)則，用于快速防護(hù)

簡(jiǎn)單的接口和 API ，用于管理多臺(tái)服務(wù)器

無(wú)需額外硬件，輕松適用不同企業(yè)規(guī)模

惡意黑客攻擊網(wǎng)絡(luò)應(yīng)用程序的方法多種多樣。稍微谷歌一下，就能發(fā)現(xiàn)常見(jiàn) Web 應(yīng)用程序，像 WordPress、zencart、Joomla！、Drupal 和 MediaWiki 中的大量漏洞。當(dāng)然，不僅是這些應(yīng)用程序中存在漏洞，很多其他網(wǎng)站也存在容易找到的漏洞。攻擊者只要使用自動(dòng)化的搜索根據(jù)，就可以準(zhǔn)切找到哪些網(wǎng)站沒(méi)有修復(fù)這些漏洞。

下面是最常見(jiàn)的攻擊應(yīng)用程序的方法：

SQL 注入

XSS（跨站腳本）

遠(yuǎn)程指令執(zhí)行

路徑遍歷

SQL 注入要想起作用，攻擊者必須找到網(wǎng)站中允許用戶輸入而且不會(huì)過(guò)濾轉(zhuǎn)義字符的區(qū)域。用戶登錄區(qū)域是常見(jiàn)的攻擊目標(biāo)，因?yàn)闉榱藱z查用戶表中的證書，需要與數(shù)據(jù)庫(kù)直接相連。通過(guò)注入 SQL 語(yǔ)句，如 `）或1 = 1--，攻擊者就可以訪問(wèn)存儲(chǔ)在網(wǎng)站數(shù)據(jù)庫(kù)中的信息。當(dāng)然，上面的例子只是一個(gè)相對(duì)簡(jiǎn)單的 SQL 語(yǔ)句。如果攻擊者知道數(shù)據(jù)庫(kù)中的表格結(jié)構(gòu)，往往使用更加復(fù)雜的查詢語(yǔ)句，從而得到更好的查詢結(jié)果。

攻擊者在防護(hù)較薄弱的網(wǎng)頁(yè)注入惡意的客戶端腳本，即為跨站腳本（ XSS ）攻擊。當(dāng)這些腳本運(yùn)行時(shí)，會(huì)在訪問(wèn)者的計(jì)算機(jī)上安裝惡意軟件，竊取訪問(wèn)者的 cookie ，或劫持訪問(wèn)者的會(huì)話。

遠(yuǎn)程指令執(zhí)行漏洞允許攻擊者向應(yīng)用程序傳入任意指令。在嚴(yán)重情況下，攻擊者會(huì)獲得系統(tǒng)級(jí)的權(quán)限，從而實(shí)現(xiàn)遠(yuǎn)程攻擊服務(wù)器，并執(zhí)行任何必要的指令以達(dá)到目的。

路徑遍歷漏洞給攻擊者訪問(wèn)受限文件、目錄和指令的機(jī)會(huì)。因?yàn)榇嬖谟谡５木W(wǎng)頁(yè)文件根目錄之外的，這些路徑通常是無(wú)法訪問(wèn)的。不像前文討論過(guò)的其他漏洞，路徑遍歷漏洞之所以存在是因?yàn)榘踩O(shè)計(jì)錯(cuò)誤而不是編碼錯(cuò)誤。

有了這么多在網(wǎng)站運(yùn)行的應(yīng)用程序，攻擊者已經(jīng)創(chuàng)建了自動(dòng)化的工具，可以對(duì)多個(gè)安全防護(hù)不足的網(wǎng)站同時(shí)發(fā)動(dòng)攻擊。因此，惡意黑客的攻擊目標(biāo)不再局限于大型公司網(wǎng)站，較小的網(wǎng)站也很容易被這些自動(dòng)攻擊所捕獲。

無(wú)論什么行業(yè)，企業(yè)規(guī)模大小，網(wǎng)站受到攻擊之后引發(fā)的反響對(duì)任何業(yè)務(wù)來(lái)說(shuō)都是毀滅性的。攻擊的后續(xù)影響還包括：

數(shù)據(jù)被盜

用戶賬戶受損

客戶和/或訪客的信任缺失

品牌聲譽(yù)受損

銷售收入受損

網(wǎng)站被標(biāo)記為惡意站點(diǎn)

搜索引擎排名下滑

OneRASP .NET 探針獨(dú)特的安全方法無(wú)需了解每個(gè) Web 應(yīng)用潛在的具體威脅。運(yùn)行 OneRASP .NET 探針的軟件會(huì)重點(diǎn)分析請(qǐng)求及其對(duì)應(yīng)用產(chǎn)生的影響。高效的 Web 應(yīng)用安全以三個(gè)強(qiáng)大的 Web 應(yīng)用安全引擎，分別是：模式識(shí)別、會(huì)話保護(hù)和簽名庫(kù)。

同時(shí)，OneRASP .NET 探針采用的模式識(shí)別 Web 應(yīng)用安全引擎能有效防護(hù)前文提到的攻擊，以及許多其他攻擊。該模式基于正則表達(dá)式，能有效且準(zhǔn)確地識(shí)別多種應(yīng)用層攻擊方法。所以， OneRASP.NET 探針的誤報(bào)率極低。

讓 OneRASP .NET 探針與眾不同的是，它不僅提供了針對(duì) Web 應(yīng)用威脅的全面保護(hù)，還是最簡(jiǎn)單易用的解決方案。

只需數(shù)十次點(diǎn)擊，沒(méi)有接受過(guò)安全培訓(xùn)的網(wǎng)站管理員也可以將 OneRASP .NET 探針運(yùn)行起來(lái)。其預(yù)定義的規(guī)則集提供了開(kāi)箱即用的防護(hù)，且基于瀏覽器的管理界面簡(jiǎn)單易用，幾乎不會(huì)影響服務(wù)器或網(wǎng)站性能。

如今，多樣化的攻擊手段層出不窮，傳統(tǒng)安全解決方案越來(lái)越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù)，使其免受漏洞所累。想閱讀更多技術(shù)文章，請(qǐng)?jiān)L問(wèn) OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客