Web應(yīng)用是由動態(tài)腳本、編譯過的代碼等組合而成。它通常架設(shè)在Web服務(wù)器上,用戶在Web瀏覽器上發(fā)送請求,這些請求使用HTTP協(xié)議,經(jīng)過因特網(wǎng)和企業(yè)的Web應(yīng)用交互,由Web應(yīng)用和企業(yè)后臺的數(shù)據(jù)庫及其他動態(tài)內(nèi)容通信。
它的一般“表現(xiàn)形式”就是Web應(yīng)用程序,即是一種可以通過Web訪問的應(yīng)用程序,程序的最大好處是用戶很容易訪問應(yīng)用程序,而且用戶只需要有瀏覽器即可,不需要再安裝其他軟件。現(xiàn)在,很多企業(yè)員工的日常工作都是通過瀏覽器進(jìn)入相應(yīng)的Web應(yīng)用程序來完成。
而且,Web應(yīng)用程序通常以軟件即服務(wù)(SaaS)的形式出現(xiàn),是全球企業(yè)的基石。SaaS 解決方案也徹底改變了企業(yè)的運營和提供服務(wù)的方式,并且是幾乎所有行業(yè)(從金融和銀行到醫(yī)療保健和教育)的基本工具。
但是,隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入,越來越多的業(yè)務(wù)應(yīng)用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺上,這吸引了網(wǎng)絡(luò)犯罪團(tuán)伙的強(qiáng)烈關(guān)注,以Web攻擊為代表的應(yīng)用層安全威脅開始凸顯。
通過利用網(wǎng)站系統(tǒng)和Web應(yīng)用程序的安全漏洞,攻擊者可以輕松獲取企業(yè)Web應(yīng)用系統(tǒng)及服務(wù)器設(shè)備的控制權(quán)限,從而進(jìn)行網(wǎng)頁篡改、數(shù)據(jù)竊取等破壞活動,嚴(yán)重?fù)p害企業(yè)的業(yè)務(wù)發(fā)展。
例如,Web應(yīng)用程序常見的安全漏洞有以下這些漏洞:
1、SQL 注入
攻擊者利用漏洞在企業(yè)的數(shù)據(jù)庫中執(zhí)行惡意代碼,可能會竊取或轉(zhuǎn)儲企業(yè)的所有數(shù)據(jù),并通過后門服務(wù)器訪問內(nèi)部系統(tǒng)上的其他所有內(nèi)容。
2、XSS(跨站點腳本)
在這里,黑客可以針對應(yīng)用程序的用戶并使他們能夠進(jìn)行攻擊,例如安裝特洛伊木馬和鍵盤記錄器、接管用戶帳戶、進(jìn)行網(wǎng)絡(luò)釣魚活動或身份盜用,尤其是在與社會工程一起使用時。
3、路徑遍歷
這些可以允許攻擊者讀取系統(tǒng)上保存的文件,允許他們讀取源代碼、敏感的受保護(hù)系統(tǒng)文件并捕獲配置文件中保存的憑據(jù),甚至可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。影響范圍從惡意軟件執(zhí)行到攻擊者獲得對受感染計算機(jī)的完全控制。
4、身份驗證中斷
這是會話管理和憑據(jù)管理中弱點的總稱,攻擊者偽裝成用戶并使用劫持的會話ID 或被盜的登錄憑據(jù)來訪問用戶帳戶,并使用其權(quán)限來利用 Web 應(yīng)用程序漏洞。
5、安全配置錯誤
這些漏洞可能包括未修補(bǔ)的缺陷、過期的頁面、未受保護(hù)的文件或目錄、過時的軟件或在調(diào)試模式下運行軟件。
實際上,保障Web應(yīng)用安全已經(jīng)成為行業(yè)的普遍認(rèn)知。但研究人員發(fā)現(xiàn),目前也有很多企業(yè)對Web應(yīng)用安全防護(hù)還存在許多認(rèn)知誤區(qū),這隨時可能引發(fā)嚴(yán)重的安全問題和事故。
例如,一些企業(yè)認(rèn)為自己只是普通的企業(yè)組織,所使用的Web應(yīng)用程序不會被攻擊。但事實上,大多數(shù)網(wǎng)絡(luò)攻擊是自動化的、沒有特定目標(biāo)的,因此每個企業(yè)(不管是大企業(yè)還是小企業(yè))都可能成為攻擊者的目標(biāo)。
因為現(xiàn)在的網(wǎng)絡(luò)攻擊大都是由有組織的犯罪團(tuán)伙發(fā)起,它們每天都在全球網(wǎng)絡(luò)上進(jìn)行自動攻擊嗅探,一旦機(jī)器人程序發(fā)現(xiàn)了可被利用的安全漏洞(比如Log4Shell),其所在的企業(yè)就在劫難逃。每個企業(yè)都應(yīng)該為防范Web應(yīng)用攻擊做好充分的準(zhǔn)備和預(yù)案。
再如,一些企業(yè)認(rèn)為其網(wǎng)站已經(jīng)使用了HTTPS協(xié)議,因此Web應(yīng)用程序應(yīng)是安全的,但HTTPS只保護(hù)用戶數(shù)據(jù)免受竊取和篡改,卻無法防范惡意流量等威脅;
一些企業(yè)認(rèn)為如果Web應(yīng)用程序僅在企業(yè)內(nèi)部網(wǎng)絡(luò)上運行就是安全的。但事實是,網(wǎng)絡(luò)攻擊者可以通過受攻擊的Web服務(wù)器系統(tǒng)間接攻擊Web應(yīng)用程序,即使在內(nèi)部網(wǎng)絡(luò)中也是如此;
一些企業(yè)認(rèn)為只允許通過VPN訪問的Web應(yīng)用程序是安全的,但實際是,VPN是保護(hù)互聯(lián)網(wǎng)隱私的強(qiáng)大工具,但不是保護(hù)Web應(yīng)用安全的完整解決方案,如果攻擊者設(shè)法訪問了 VPN(比如使用被盜的憑據(jù)、泄露的員工賬戶或某種社會工程伎倆),任何Web應(yīng)用程序都可能很容易受到攻擊。
此外,一些企業(yè)還認(rèn)為部署WAF(Web應(yīng)用防護(hù)系統(tǒng))就可以阻止針對Web應(yīng)用程序的攻擊,但是,WAF并不能成為Web應(yīng)用系統(tǒng)防御的唯一防線,攻擊者會專門針對WAF尋找相應(yīng)的繞過策略。
WAF可以過濾HTTP流量以檢測并阻止可能存在的攻擊企圖,對于臨時阻止突然爆發(fā)的零日漏洞很有價值。但它們卻很難檢測出所有可能的攻擊,只要系統(tǒng)中存在未被發(fā)現(xiàn)的安全漏洞,攻擊者就有可能會找到繞過WAF 規(guī)則的方法。
總之,由于應(yīng)用需求的提升,導(dǎo)致Web應(yīng)用程序變得更加復(fù)雜,使得Web面臨的電子欺騙、篡改、否認(rèn)、信息泄露、拒絕服務(wù)、特權(quán)升級等安全威脅的風(fēng)險也有所增加,因此,企業(yè)很有必要重視Web應(yīng)用安全,確保員工的辦公安全、企業(yè)的數(shù)據(jù)資產(chǎn)安全。
