Web安全（上）---架构分析

Web 安全（上）---架构分析

  Jack zhai

一、 Web 安全不仅仅是互联网才需要

 Web 服务是指采用 B/S 架构、通过 Http 协议提供服务的统称，这种结构也称为 Web 架构，随着 Web2.0 的发展，出现了数据与服务处理分离、服务与数据分布式等变化，其交互性能也大大增强，也有人叫 B/S/D 三层结构。互联网能够快速流行得益于 Web 部署上的简单，开发上简便， Web 网页的开发大军迅速超过了以往任何计算机语言的爱好者，普及带来了应用上繁荣。 J2EE 与 .NET 的殊途同归，为 Web 流行扫清了厂家与标准的差异；众望所归， SOA 选中 Web2.0 作为其实现的基本工具之一 ( 使用最广的 ) ， Web 架构从互联网走进了企业内部网络，新业务系统的开发，越来越多的系统架构师选择了 Web 架构，与熟悉它的人如此广泛是分不开的。事实再一次证明了那个经典的理论：简洁的最容易流行。

 简单与安全好象总有些“矛盾”，浏览器可以直接看到页面的 Html 代码，早期的 Web 服务设计没有过多的安全考虑，人性本善，技术人员总是相信人都是善良的！但随着 Web2.0 的广泛使用， Web 服务不再只是信息发布，游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理 … 信息价值的诱惑，人的贪婪开始显现，不是所有的人都有 Web 设计者的“大同”思想，安全问题日显突出了。

2008 年网络安全事件统计最多是： SQL 注入与“网页挂马 ( 木马 ) ”。因为这是“僵尸”网络发展新“会员”的基本工具，而僵尸网络的经济与政治“价值”，这里就不用说了。 SQL 注入与“网页挂马”主要就是针对 Web 服务的，传统的安全产品 (UTM/IPS) 都有些力不从心。

互联网是个人思想展现的乐园，也是世界级的、虚拟的“另一个”社会，既然大家都是虚拟的、带着面具的，要变成现实社会中的真实利益，还需要一些转换才可以兑现，但 SOA 把 Web 架构带入企业内部网络，这里的网络世界是“真实的”，利益是可以直接兑现的， Web 安全问题变得刻不容缓。

 

二、 Web 架构原理

要保护 Web 服务，先要了解 Web 系统架构，下图是 Web 服务的一般性结构图，适用于互联网上的网站，也适用于企业内网上的 Web 应用架构：

 

用户使用通用的 Web 浏览器，通过接入网络 ( 网站的接入则是互联网 ) 连接到 Web 服务器上。用户发出请求，服务器根据请求的 URL 的地址连接，找到对应的网页文件，发送给用户，两者对话的“官方语言”是 Http 。网页文件是用文本描述的， HTML/Xml 格式，在用户浏览器中有个解释器，把这些文本描述的页面恢复成图文并茂、有声有影的可视页面。

通常情况下，用户要访问的页面都存在 Web 服务器的某个固定目录下，是一些 .html 或 .xml 文件，用户通过页面上的“超连接” ( 其实就是 URL 地址 ) 可以在网站页面之间“跳跃”，这就是静态的网页。后来人们觉得这种方式只能单向地给用户展示信息，信息发布还可以，但让用户做一些比如身份认证、投票选举之类的事情就比较麻烦，由此产生了动态网页的概念；所谓动态就是利用 flash 、 Php 、 asp 、 Java 等技术在网页中嵌入一些可运行的“小程序”，用户浏览器在解释页面时，看到这些小程序就启动运行它。小程序的用法很灵活，可以展示一段动画 ( 如 Flash) ，也可以在你的 PC 上生成一个文件，或者接收你输入的一段信息，这样就可以根据你的“想法”，对页面进行定制处理，让你每次来到时，看到的是你上次设计好的特有风格，“贵宾的感觉”是每个人都喜欢的，更何况虚拟的网络世界中，你不认识的人还对你如此“敬仰”，服务得如此体贴 …

“小程序”的使用让 Web 服务模式有了“双向交流”的能力， Web 服务模式也可以象传统软件一样进行各种事务处理，如编辑文件、利息计算、提交表格等， Web 架构的适用面大大扩展， Web2.0 可以成为 SOA 架构的实现技术之一，这个“小程序”是功不可没的。

这些“小程序”可以嵌入在页面中，也可以以文件的形式单独存放在 Web 服务器的目录里，如 .asp 、 .php 、 jsp 文件等，并且可以在开发时指定是在用户端运行，还是在服务器端运行；用户不再能看到这些小程序的源代码，服务的安全性也大大提高。这样功能性的小程序越来越多，形成常用的工具包，单独管理， Web 业务开发时，直接使用就可以了，这就是中间件服务器，它实际上是 Web 服务器处理能力的扩展。

静态网页与“小程序”都是事前设计好的，一般不经常改动，但网站上很多内容需要经常的更新，如新闻、博客文章、互动游戏等，这些变动的数据放在静态的程序中显然不适合，传统的办法是数据与程序分离，采用专业的数据库。 Web 开发者在 Web 服务器后边增加了一个数据库服务器，这些经常变化的数据存进数据库，可以随时更新。当用户请求页面时，“小程序”根据用户要求的页面，涉及到动态数据的地方，利用 SQL 数据库语言，从数据库中读取最新的数据，生成“完整”页面，最后送给用户，如股市行情曲线，就是由一个不断刷新的小程序控制。

除了应用数据需要变化，用户的一些状态信息、属性信息也需要临时记录 ( 因为每个用户都是不同的 ) ，而 Web 服务器本来是不记录这些信息的，只管答复你的要求，“人一走茶就凉了”。后来 Web 技术为了“友好”互动，需要“记住”用户的访问信息，建立了一些“新”的通讯机制：

Ø  Cookie ：把一些用户的参数，如帐户名、口令等信息存放在客户端的硬盘临时文件中，用户再次访问这个网站时，参数也一同送给服务器，服务器就知道你就是上次来的那个“家伙”了

Ø  Session ：把用户的一些参数信息存在服务器的内存中，或写在服务器的硬盘文件中，用户是不可见的，这样用户用不同电脑访问时的贵宾待遇就同样了， Web 服务器总能记住你的“样子”，一般情况下， Cookie 与 Session 可以结合使用

Cookie 在用户端，一般采用加密方式存放就可以了； Session 在服务器端，信息集中，被篡改问题将很严重，所以一般放在内存里管理，尽量不存放在硬盘上。

到此，我们清楚了， Web 服务器上有两种服务用数据要保证“清白”，需要你重点保护的。一是页面文件 (.html 、 .xml 等 ) ，这里包括动态程序文件 (.php 、 .asp 、 .jsp 等 ) ，一般存在 Web 服务器的特定目录中，或是中间件服务器上；二是后台的数据库，如 Oracle 、 SQL Server 等，其中存放的数据的动态网页生成时需要的，也有业务管理数据、经营数据。

还有一个问题应该提一下，就是浏览器给用户电脑带来的安全问题，因为 Web 可以对本地的进程、硬盘操作，可以把木马、病毒放到你的电脑上来， Web 架构中使用“沙漏”技术提供安全保护，就是限制页面中“小程序”的本地读写权限，但限制毕竟不能不让其“工作”，所以多数情况下在写入时给出提示，让你自己选择，大家经常看见有进程在安装程序进入你的电脑，但绝大多数人分不清是否应该，要么一概不许，造成很多事情做不了 ( 很多下载与游戏就只能看着 ) ，要么“大胆”接受，大门敞开，听天由命。这里主要分析服务器端的安全，客户端的安全再行考虑。

 

三、Web 架构中的安全点分析

从 Web 架构上可以看出， Web 服务器是必经的大门，进了大门，还有很多服务器需要保护，如中间件服务器、数据库服务器等。我们这里不考虑网络内部人员的攻击，只考虑从接入网 ( 或互联网 ) 来的攻击，入侵者入侵的通道有下面几个：

1 、服务器系统漏洞： Web 服务器毕竟的一个通用的服务器，无论是 Windows ，还是 Linux/Unix ，都不可少的带有系统自身的漏洞，通过这些漏洞入侵，可以获得服务器的高级权限，当然对服务器上运行的 Web 服务就可以随意控制了。除了 OS 的漏洞，还有 Web 服务软件的漏洞， IIS 也好， Tomcat 也好，同样需要不断地打补丁。

2 、 Web 服务应用漏洞：如果说系统级的软件漏洞被关注的人太多了，那么 Web 应用软件的漏洞数量上就更多了，因为 Web 服务开发简单，开发的团队参差不齐，并非都是“专业”的高手，编程不规范、安全意识不强、因为开发时间紧张而简化测试等，应用程序的漏洞也同样可以让入侵者来去自如。最为常见的 SQL 注入，就是因为大多应用编程过程中产生的漏洞。

3 、密码暴力破解：漏洞会招来攻击容易理解，但毕竟需要高超的技术水平，破解密码却十分有效，而且简单易行。一般来说帐号信息容易获得，剩下的就是猜测密码了，由于使用复杂密码是件麻烦而又“讨厌”的事，设置容易记忆的密码，是绝大多数用户的选择。大多 Web 服务是靠“帐号 + 密码”的方式管理用户帐户，一旦破解密码，尤其是远程管理者的密码，破坏程度难以想象，并且其攻击难度比通过漏洞方式要简单的多，而且不容易被发觉。在知名的网络经济案例中，通过密码入侵的占了接近一半的比例。

入侵者进入 Web 系统，其动作行为目的性是十分明确的：

Ø  让网站瘫痪：网站瘫痪是让服务中断。使用 DDOS 攻击都可以让网站瘫痪，但对 Web 服务内部没有损害，而网络入侵，可以删除文件、停止进程，让 Web 服务器彻底无法恢复。一般来说，这种做法是索要金钱或恶意竞争的要挟，也可能是显示他的技术高超，拿你的网站被攻击作为宣传他的工具。

Ø  篡改网页：修改网站的页面显示，是相对比较容易的，也是公众容易知道的攻击效果，对于攻击者来说，没有什么“实惠”好处，主要是炫耀自己，当然对于政府等网站，形象问题是很严重的。

Ø  挂木马：这种入侵对网站不产生产生直接破坏，而是对访问网站的用户进行攻击，挂木马的最大“实惠”是收集僵尸网络的“肉鸡”，一个知名网站的首页传播木马的速度是爆炸式的。挂木马容易被网站管理者发觉， XSS( 跨站攻击 ) 是新的倾向。

Ø  篡改数据：这是最危险的攻击者，篡改网站数据库，或者是动态页面的控制程序，表面上没有什么变化，很不容易发觉，是最常见的经济利益入侵。数据篡改的危害是难以估量的，比如：购物网站可以修改你帐号金额或交易记录，政府审批网站可以修改行政审批结果，企业 ERP 可以修改销售定单或成交价格 …

        有人说采用加密协议可以防止入侵，如 https 协议，这种说法是不准确的。首先 Web 服务是面向大众的，不可以完全使用加密方式，在企业内部的 Web 服务上可以采用，甚至可以采用黑白名单，但大家都是“内部人员”，加密方式是共知的；其次，加密可以防止别人“窃听”，但不能防止冒充；再者，“中间人劫持”同样可以窃听加密的通讯。

本文出自 “ Jack zhai” 博客，请务必保留此出处 http://zhaisj.blog.51cto.com/219066/157431

本文出自 51CTO.COM技术博客