Web
安全---架构分析
Jack zhai
一、
Web
安全不仅仅是互联网才需要
Web
服务是指采用
B/S
架构、通过
Http
协议提供服务的统称,这种结构也称为
Web
架构,随着
Web2.0
的发展,出现了数据与服务处理分离、服务与数据分布式等变化,其交互性能也大大增强,也有人叫
B/S/D
三层结构。互联网能够快速流行得益于
Web
部署上的简单,开发上简便,
Web
网页的开发大军迅速超过了以往任何计算机语言的爱好者,普及带来了应用上繁荣。
J2EE
与
.NET
的殊途同归,为
Web
流行扫清了厂家与标准的差异;众望所归,
SOA
选中
Web2.0
作为其实现的基本工具之一
(
使用最广的
)
,
Web
架构从互联网走进了企业内部网络,新业务系统的开发,越来越多的系统架构师选择了
Web
架构,与熟悉它的人如此广泛是分不开的。事实再一次证明了那个经典的理论:简洁的最容易流行。
简单与安全好象总有些“矛盾”,浏览器可以直接看到页面的
Html
代码,早期的
Web
服务设计没有过多的安全考虑,人性本善,技术人员总是相信人都是善良的!但随着
Web2.0
的广泛使用,
Web
服务不再只是信息发布,游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理
…
信息价值的诱惑,人的贪婪开始显现,不是所有的人都有
Web
设计者的“大同”思想,安全问题日显突出了。
2008
年网络安全事件统计最多是:
SQL
注入与“网页挂马
(
木马
)
”。因为这是“僵尸”网络发展新“会员”的基本工具,而僵尸网络的经济与政治“价值”,这里就不用说了。
SQL
注入与“网页挂马”主要就是针对
Web
服务的,传统的安全产品
(UTM/IPS)
都有些力不从心。
互联网是个人思想展现的乐园,也是世界级的、虚拟的“另一个”社会,既然大家都是虚拟的、带着面具的,要变成现实社会中的真实利益,还需要一些转换才可以兑现,但
SOA
把
Web
架构带入企业内部网络,这里的网络世界是“真实的”,利益是可以直接兑现的,
Web
安全问题变得刻不容缓。
二、
Web
架构原理
要保护
Web
服务,先要了解
Web
系统架构,下图是
Web
服务的一般性结构图,适用于互联网上的网站,也适用于企业内网上的
Web
应用架构:
用户使用通用的
Web
浏览器,通过接入网络
(
网站的接入则是互联网
)
连接到
Web
服务器上。用户发出请求,服务器根据请求的
URL
的地址连接,找到对应的网页文件,发送给用户,两者对话的“官方语言”是
Http
。网页文件是用文本描述的,
HTML/Xml
格式,在用户浏览器中有个解释器,把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。
通常情况下,用户要访问的页面都存在
Web
服务器的某个固定目录下,是一些
.html
或
.xml
文件,用户通过页面上的“超连接”
(
其实就是
URL
地址
)
可以在网站页面之间“跳跃”,这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息,信息发布还可以,但让用户做一些比如身份认证、投票选举之类的事情就比较麻烦,由此产生了动态网页的概念;所谓动态就是利用
flash
、
Php
、
asp
、
Java
等技术在网页中嵌入一些可运行的“小程序”,用户浏览器在解释页面时,看到这些小程序就启动运行它。小程序的用法很灵活,可以展示一段动画
(
如
Flash)
,也可以在你的
PC
上生成一个文件,或者接收你输入的一段信息,这样就可以根据你的“想法”,对页面进行定制处理,让你每次来到时,看到的是你上次设计好的特有风格,“贵宾的感觉”是每个人都喜欢的,更何况虚拟的网络世界中,你不认识的人还对你如此“敬仰”,服务得如此体贴
…
“小程序”的使用让
Web
服务模式有了“双向交流”的能力,
Web
服务模式也可以象传统软件一样进行各种事务处理,如编辑文件、利息计算、提交表格等,
Web
架构的适用面大大扩展,
Web2.0
可以成为
SOA
架构的实现技术之一,这个“小程序”是功不可没的。
这些“小程序”可以嵌入在页面中,也可以以文件的形式单独存放在
Web
服务器的目录里,如
.asp
、
.php
、
jsp
文件等,并且可以在开发时指定是在用户端运行,还是在服务器端运行;用户不再能看到这些小程序的源代码,服务的安全性也大大提高。这样功能性的小程序越来越多,形成常用的工具包,单独管理,
Web
业务开发时,直接使用就可以了,这就是中间件服务器,它实际上是
Web
服务器处理能力的扩展。
静态网页与“小程序”都是事前设计好的,一般不经常改动,但网站上很多内容需要经常的更新,如新闻、博客文章、互动游戏等,这些变动的数据放在静态的程序中显然不适合,传统的办法是数据与程序分离,采用专业的数据库。
Web
开发者在
Web
服务器后边增加了一个数据库服务器,这些经常变化的数据存进数据库,可以随时更新。当用户请求页面时,“小程序”根据用户要求的页面,涉及到动态数据的地方,利用
SQL
数据库语言,从数据库中读取最新的数据,生成“完整”页面,最后送给用户,如股市行情曲线,就是由一个不断刷新的小程序控制。
除了应用数据需要变化,用户的一些状态信息、属性信息也需要临时记录
(
因为每个用户都是不同的
)
,而
Web
服务器本来是不记录这些信息的,只管答复你的要求,“人一走茶就凉了”。后来
Web
技术为了“友好”互动,需要“记住”用户的访问信息,建立了一些“新”的通讯机制:
Ø
Cookie
:把一些用户的参数,如帐户名、口令等信息存放在客户端的硬盘临时文件中,用户再次访问这个网站时,参数也一同送给服务器,服务器就知道你就是上次来的那个“家伙”了
Ø
Session
:把用户的一些参数信息存在服务器的内存中,或写在服务器的硬盘文件中,用户是不可见的,这样用户用不同电脑访问时的贵宾待遇就同样了,
Web
服务器总能记住你的“样子”,一般情况下,
Cookie
与
Session
可以结合使用
Cookie
在用户端,一般采用加密方式存放就可以了;
Session
在服务器端,信息集中,被篡改问题将很严重,所以一般放在内存里管理,尽量不存放在硬盘上。
到此,我们清楚了,
Web
服务器上有两种服务用数据要保证“清白”,需要你重点保护的。一是页面文件
(.html
、
.xml
等
)
,这里包括动态程序文件
(.php
、
.asp
、
.jsp
等
)
,一般存在
Web
服务器的特定目录中,或是中间件服务器上;二是后台的数据库,如
Oracle
、
SQL Server
等,其中存放的数据的动态网页生成时需要的,也有业务管理数据、经营数据。
还有一个问题应该提一下,就是浏览器给用户电脑带来的安全问题,因为
Web
可以对本地的进程、硬盘操作,可以把木马、病毒放到你的电脑上来,
Web
架构中使用“沙漏”技术提供安全保护,就是限制页面中“小程序”的本地读写权限,但限制毕竟不能不让其“工作”,所以多数情况下在写入时给出提示,让你自己选择,大家经常看见有进程在安装程序进入你的电脑,但绝大多数人分不清是否应该,要么一概不许,造成很多事情做不了
(
很多下载与游戏就只能看着
)
,要么“大胆”接受,大门敞开,听天由命。这里主要分析服务器端的安全,客户端的安全再行考虑。
三、Web
架构中的安全点分析
从
Web
架构上可以看出,
Web
服务器是必经的大门,进了大门,还有很多服务器需要保护,如中间件服务器、数据库服务器等。我们这里不考虑网络内部人员的攻击,只考虑从接入网
(
或互联网
)
来的攻击,入侵者入侵的通道有下面几个:
1
、服务器系统漏洞:
Web
服务器毕竟的一个通用的服务器,无论是
Windows
,还是
Linux/Unix
,都不可少的带有系统自身的漏洞,通过这些漏洞入侵,可以获得服务器的高级权限,当然对服务器上运行的
Web
服务就可以随意控制了。除了
OS
的漏洞,还有
Web
服务软件的漏洞,
IIS
也好,
Tomcat
也好,同样需要不断地打补丁。
2
、
Web
服务应用漏洞:如果说系统级的软件漏洞被关注的人太多了,那么
Web
应用软件的漏洞数量上就更多了,因为
Web
服务开发简单,开发的团队参差不齐,并非都是“专业”的高手,编程不规范、安全意识不强、因为开发时间紧张而简化测试等,应用程序的漏洞也同样可以让入侵者来去自如。最为常见的
SQL
注入,就是因为大多应用编程过程中产生的漏洞。
3
、密码暴力破解:漏洞会招来攻击容易理解,但毕竟需要高超的技术水平,破解密码却十分有效,而且简单易行。一般来说帐号信息容易获得,剩下的就是猜测密码了,由于使用复杂密码是件麻烦而又“讨厌”的事,设置容易记忆的密码,是绝大多数用户的选择。大多
Web
服务是靠“帐号
+
密码”的方式管理用户帐户,一旦破解密码,尤其是远程管理者的密码,破坏程度难以想象,并且其攻击难度比通过漏洞方式要简单的多,而且不容易被发觉。在知名的网络经济案例中,通过密码入侵的占了接近一半的比例。
入侵者进入
Web
系统,其动作行为目的性是十分明确的:
Ø
让网站瘫痪:网站瘫痪是让服务中断。使用
DDOS
攻击都可以让网站瘫痪,但对
Web
服务内部没有损害,而网络入侵,可以删除文件、停止进程,让
Web
服务器彻底无法恢复。一般来说,这种做法是索要金钱或恶意竞争的要挟,也可能是显示他的技术高超,拿你的网站被攻击作为宣传他的工具。
Ø
篡改网页:修改网站的页面显示,是相对比较容易的,也是公众容易知道的攻击效果,对于攻击者来说,没有什么“实惠”好处,主要是炫耀自己,当然对于政府等网站,形象问题是很严重的。
Ø
挂木马:这种入侵对网站不产生产生直接破坏,而是对访问网站的用户进行攻击,挂木马的最大“实惠”是收集僵尸网络的“肉鸡”,一个知名网站的首页传播木马的速度是爆炸式的。挂木马容易被网站管理者发觉,
XSS(
跨站攻击
)
是新的倾向。
Ø
篡改数据:这是最危险的攻击者,篡改网站数据库,或者是动态页面的控制程序,表面上没有什么变化,很不容易发觉,是最常见的经济利益入侵。数据篡改的危害是难以估量的,比如:购物网站可以修改你帐号金额或交易记录,政府审批网站可以修改行政审批结果,企业
ERP
可以修改销售定单或成交价格
…
有人说采用加密协议可以防止入侵,如
https
协议,这种说法是不准确的。首先
Web
服务是面向大众的,不可以完全使用加密方式,在企业内部的
Web
服务上可以采用,甚至可以采用黑白名单,但大家都是“内部人员”,加密方式是共知的;其次,加密可以防止别人“窃听”,但不能防止冒充;再者,“中间人劫持”同样可以窃听加密的通讯。