网站防护 从三鹿网站连续被黑说起

goodluck

<div><font size="2">　　</font></div><div><font size="2">　　</font></div><div><font size="2">　　自爆发三鹿牌婴幼儿奶粉事件以来，三鹿集团网站即遭遇黑客连续不断的攻击，网站主页标题一度被黑客篡改为“三聚氰胺集团”。甚至有黑客在上面聊天留言“楼主继续黑，偶打酱油路过”。短短一个月来，三鹿集团的主页已经被黑数次，不可不谓史上最受黑客青睐的网站之一。</font></div><p><font size="2">　　 </font></p><center><font size="2"><img alt="" src="http://tech.ccidnet.com/col/attachment/2008/10/1646733.jpg" width="471" height="356" /></font></center><p><font size="2"></font></p><p><font size="2">　　当然，这些黑客所谓“侠义之举”的孰是孰非我们并不多加以评论，不过从上述事件中我们不难看到如今的企业网站频频被黑早已不是什么新鲜事了，我们不妨从网站防护角度来看看是什么造成如此众多的网站被黑客们玩弄于鼓掌之中呢。</font></p><p><font size="2">　　近年来，Web技术在客户和服务端的广泛利用，是黑客们越来越侵向于使用各种攻击手法来针对Web应用层进行攻击，即绕过了防火墙等常规防护手段，也使得攻击手段更加简便和多样化，令人防不胜防。据Gartner统计：目前75%攻击转移到应用层，当企业的网站不断遭到攻击，原有的防火墙已经不能满足企业对网络攻击的防御。因为应用层面非常广，比如说Web应用，邮件应用，中间件应用等，应用在不断增多，导致现在很多攻击在应用层。客户原有的防火墙，IPS不能进行全面的防御了。这也即是企业网站屡次被攻击的原因之一。</font></p><p><font size="2">　　为什么我们说传统防火墙阻止不了这类攻击呢?因为这类攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击(SQL injection)。在这种攻击中，黑客利用你自己的其中一张HTML表单，未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序，狡猾的黑客就可以在服务器上随意执行命令。另一些攻击比较简单。譬如说，HTML注释里面往往含有敏感信息，包括不谨慎的编程人员留下的登录信息。</font></p><p><font size="2">　　于是乎，针对应用层的攻击手段，从篡改cookies到更改HTML表单里面的隐藏字段，完全取决于黑客的创造力。不过好消息是，大多数这类攻击是完全可以阻止的。</font></p><p><font size="2">　　WEB应用防火墙的出现就是为了专门解决这方面难题的，这种防火墙专门针对Web应用进行全面防护的设备，部署一个立体防护的层次，使其能自动智能化地对黑客的这些攻击手段进行判别和防护应用防火墙通过执行应用会话内部的请求来处理应用层，它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击，一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付，形象的来说相当于给原网站加上了一个安全的绝缘外壳。</font></p><p><font size="2">　　以一款现在业内比较流行的Barracuda-NC应用防火墙为例，它能对下列一般方法无法检测的Web应用层攻击手段进行有效的防护：</font></p><p><font size="2">　<strong>　植入恶意脚本</strong></font></p><p><font size="2">　　Cookie / Session投毒</font></p><p><font size="2">　　Form表单 / 隐藏域修改</font></p><p><font size="2">　　缓存溢出</font></p><p><font size="2">　　参数篡改</font></p><p><font size="2">　　跨站式脚本攻击</font></p><p><font size="2">　　强制浏览 / 目录探测</font></p><p><font size="2">　　Sql注入 / 命令注入</font></p><p><font size="2">　　数据窃取 / 身份窃取</font></p><p><font size="2">　　已知漏洞攻击 / Zero Day漏洞攻击</font></p><p><font size="2">　<strong>　应用程序Dos</strong></font></p><p><font size="2">　　在工作时，Barracuda-NC应用防火墙具有基于应用层的检测，同时又拥有基于状态的网络防火墙优势的双重特点，</font></p><p><font size="2">　　"对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限;</font></p><p><font size="2">　　"拥有预期数据的完整知识(Complete Knowledge of expected values)系统，防止各种形式的SQL/命令注入，跨站式脚本攻击;</font></p><p><font size="2">　　"实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真。</font></p><p><font size="2">　　 </font></p><center><font size="2"><img alt="" src="http://tech.ccidnet.com/col/attachment/2008/10/1646735.jpg" width="439" height="215" /></font></center><p><font size="2"></font></p>