web应用安全发展的挑战和趋势

中国海洋大学OCEAN UNIVERSITY OF CHINA

课程论文

论文题目：web应用安全发展的挑战和趋势

授课教师：曲海鹏

学生姓名：甘言海

学生学号：020*********

专业班级：计算机信息保密2010级

2013年12月28日

web应用安全发展的挑战和趋势

由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查，信息安全攻击有75%都是发生在Web应用而非网络层面上。同时，数据也显示，三分之二的Web站点都相当脆弱，易受攻击。然而现实确是，绝大多数企业将大量的投资花费在网络和服务器的安全上，没有从真正意义上保证Web应用本身的安全，给黑客以可乘之机。

当今世界，Internet已经成为一个非常重要的基础平台，很多企业都将应用架设在该平台上，为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，却没有得到足够的重视。

Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过因特网和企业的Web应用交互，由Web应用和企业后台的数据库及其他动态内容通信。尽管不同的企业会有不同的Web 环境搭建方式，一个典型的Web 应用通常是标准的三层架构模型。在这种最常见的模型中，客户端是第一层;使用动态Web 内容技术的部分属于中间层;数据库是第三层。用户通过Web 浏览器发送请求给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。

当讨论起Web应用安全，我们经常会听到这样的回答：“我们使用了防火墙”、“我们使用了网络脆弱扫描工具”、“我们使用了SSL 技术”、“我们每个季度都会进行渗透测试”……所以，“我们的应用是安全的”。现实真是如此吗? 在企业Web 应用的各个层面，都会使用不同的技术来确保安全性。为了保护客户端机器的安全，用户会安装防病毒软件;为了保证用户数据传输到企业Web 服务器的传输安全，通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问，不必要暴露的端口和非法的访问，在这里都会被阻止;即使有防火墙，企业依然会使用身份认证机制授权用户访问Web 应用。

但是，即便有防病毒保护、防火墙和IDS/IPS，企业仍然不得不允许一部分的通讯经过防火墙，毕竟Web 应用的目的是为用户提供服务，保护措施可以关闭不必要暴露的端口，但是Web 应用必须的80 和443 端口，是一定要开放的。可以顺利通过的这部分通讯，可能是善意的，也可能是恶意的，很难辨别。这里需要注意的是，Web 应用是由软件构成的，那么，它一定会包含缺陷，这些缺陷就可以被恶意的用户利用，他们通过执行各种恶意的操作，或者偷窃、或者操控、或者破坏Web 应用中的重要信息。网络脆弱性扫描工具，由于它仅仅用来分析网络层面的漏洞，不了解应用本身，所以不能彻底提高Web应用安全性;防火墙可以阻止对重要端口的访问，但是80 和443 端口始终要开放，我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击;SSL 可以加密数据，但是它仅仅保护了在传输过程中数据的安全性，并没有保护Web应用本身;每个季度的渗透测试，无法满足处于不断变更之中的应用。

只要访问可以顺利通过企业的防火墙，Web应用就毫无保留的呈现在用户

面前。只有加强Web应用自身的安全，才是真正的Web应用安全解决之道。

在Web应用时代，内容逐渐开始趋于动态化，最终用户持续不断的更新现有内容、共享应用程序，并通过多种渠道进行即时通讯。即使采用最佳的策略制定方法，某些不良内容或恶意软件也会随时弹出，使公司的重要信息和网络暴露于极为危险的环境之下。

Web攻击可导致的后果极为严重，完全可以使用多种攻击手段将一个合法正常网站攻陷，利用获取到的相应权限在网页中嵌入恶意代码，将恶意程序下载到存在客户端漏洞的主机上，从而实现攻击目的。由此可见，Web安全已经成为信息时代最大的“杀手”!

Web威胁的最终目的是窃取信息获取利益。面对来势汹汹的Web威胁，绝大多数企业并没有真正意识到其中的危机。一方面，恶意网站以600%的年增长速度在迅速增加;另一方面，77%带有恶意代码的Web网站是被植入恶意攻击代码的合法网站

Web攻击是目前数据窃取的主要途径。相关数据显示当前57%的数据窃取攻击是经由Web而实现。Web威胁可以在用户完全没有察觉的情况下进入企业网络，从而对公司数据资产、行业信誉和关键业务构成极大威胁。即便是一些看上去并不重要的信息片段，一旦被偷窃者汇集并归纳，其后果可能导致公司内部机构设置、战略合作伙伴关系、核心客户等重要信息被泄露。

如何才可以降低Web威胁给企业带来的威胁呢?Web安全方案可以有效过滤来自互联网的风险，将数据窃取的企图消灭在萌芽阶段，而防信息泄露方案可以对企业的信息资源进行针对性的保护。

社交网络是Web2.0时代企业致命杀手。社交网络作为Web2.0技术的代表正在逐渐深入人们的生活、工作，无形中也连通了商业世界。当下很多年轻人都认为电子邮件已经过时了，他们更热衷使用即时的信息交流和更加开放的空间来与朋友们共享图片、音乐、视频等任何可以以数字化形式操作的东西。

伴随着社交网络的普及，企业员工开始群体化成为它的用户，这无疑为企业的管理带来了新的课题和挑战。尤其IT经理意识到Web安全威胁正在日渐严峻，社交网络的大规模的应用为企业带来更多Web安全隐患，57%的数据窃取攻击皆是经由Web而实现。

社交网站中的内容是动态的，用户可以自己创建内容并迅速与数千人分享，而犯罪分子也在利用这一优势传播病毒、恶意软件和钓鱼信息等，并具有定向性、隐蔽性和区域性爆发等特点，这种情况下传统的安全系统已经无法控制并抵御该类潜在的Web 威胁。进一步恶化的是，社交网站日益受到黑客们的“青睐”，黑客们在网站中植入各种恶意软件，用以感染用户的电脑，最终窃取用户信息。当员工在使用和浏览社交网站时将无形中为企业带来巨大的危险，并有可能造成企业关键信息的流失而为企业带来不可估量的损失。

在面对Web2.0的两面性的时候，企业的管理者往往出现很大的困扰，不知该如何是好，最终还是以确保企业的安全为最终目的。其实确保员工认识到和明白社交网络上潜在的恶意威胁只是第一道防线，公司更有责任确保其员工和企业都受到有效的保护，并制定各种应急计划，仅仅是草拟社交网络使用规则然后放下不管是远远不够的。

新的时代WEB应用的安全面临着新的挑战。其中包括以下五个方面。第一个如何拦截WEB 2.0 JS WORM攻击。在WEB2.0这个时代JS比较多，相关的内容发展得比较迅猛。第二个就是拦截未知的WEB框架漏洞，比如说前面提到