網(wǎng)站安全攻與防的啟示錄
背景 黑客文化的變遷
黑客技術的出現(xiàn)像計算機出現(xiàn)一樣長久,黑客通過對系統(tǒng)重配置或者重編程獲得本來沒有的權限。早期的黑客因為對計算機的神秘功能著迷,本著自由的精神在計算機世界里流連而不能自拔。這種自由精神一方面吸引了大批聰明的青年學生投入其中,從而在早期推動了計算機的飛速發(fā)展。
在上世紀六十年代,他們利用一些技術破壞計算機網(wǎng)絡的使用范圍,七十年代因為特殊的美國的那種背景,他們提出了計算機應該為人民所用的口號,他們是電腦史上的英雄。到了八十年代,PC已經(jīng)很便宜了,美國與歐洲的經(jīng)濟得到了長足的發(fā)展,黑客們開始為信息共享而奮斗,當時美蘇爭霸,他們認為應該使兩國處于平衡狀態(tài),任何一個國家都不能過分強大,否則就會給新的和平帶來威脅,他們就積極聯(lián)絡各國,把通過黑客技術拿到的資料賣給各國,一方面自己獲得了經(jīng)濟收入,另一方面他們也認為有助于世界的和平,認為自己為世界和平作出了貢獻。九十年代可以說是黑客的災難和混亂時期,作為信息共享的產(chǎn)物,INTERNET一方面為我們提供了極大的便利,另一方面,使用的人多了,技術不再是少數(shù)人的專有權力,越來越多的人都掌握了這些,導致了黑客的概念與行為都發(fā)生了很大的變化。
到了二十一世紀,隨著互聯(lián)網(wǎng)的高速發(fā)展以及網(wǎng)民爆發(fā)式的增長,一個黑客市場已經(jīng)形成。境外情報機構、企業(yè)公司和犯罪團伙都愿意付錢買下有關安全漏洞——以及如何加以利用——的信息。各種網(wǎng)絡犯罪每天充斥在我們生活當中,黑客們通過入侵各類網(wǎng)站論壇進行盜取用戶數(shù)據(jù),并掛上網(wǎng)頁木馬繼續(xù)盜取訪問網(wǎng)站用戶的個人虛擬財產(chǎn)等等。
2011年度網(wǎng)絡犯罪調查報告顯示,全球每天就有100萬人成為網(wǎng)絡犯罪的受害者,全球因網(wǎng)絡犯罪造成的直接損失每年達 1140 億美元。因處理網(wǎng)絡犯罪問題而浪費的時間價值是2740億。因此,網(wǎng)絡犯罪導致的損失約為3880億美元,遠遠超過了大麻、可卡因和海洛因全球黑市的交易總額(2880億美元)。從網(wǎng)絡犯罪受害者人數(shù)來看,中國地區(qū)的網(wǎng)絡犯罪相較于全球可能更加惡劣:去年,全球有4.31億成人遭受過網(wǎng)絡犯罪的侵害,這其中就有差不多一半的受害者(1.96億人)來自中國。黑客的網(wǎng)絡犯罪已經(jīng)達到了一個前所未有的高度。#p#
一、互聯(lián)網(wǎng)的安全威脅
從1969年區(qū)域性的大學主機相連而構成的互聯(lián)網(wǎng)發(fā)展到今天覆蓋全球點點滴滴的強大互聯(lián)網(wǎng),特別在是互聯(lián)網(wǎng)的經(jīng)濟與科技領域取得的顯著成果,給互聯(lián)網(wǎng)披上的神話般的面紗。如今,互聯(lián)網(wǎng)豐富了我們的生活,這所有的一切都來源于Web,Web系統(tǒng)是互聯(lián)網(wǎng)的重要組成部分,形形色色的Web系統(tǒng)正在改變著我們的生活互聯(lián)網(wǎng)應用已經(jīng)滲透我們生活的方方面面,我們可以通過百度在線搜索想要的資料、可以通過網(wǎng)上銀行完成在線購物和支付、可以通過微博和博客發(fā)表自己的“聲音”、可以通過在線交友網(wǎng)站交到朋友。
但是由于這些WEB應用在設計時是允許任何人、從任何地方登陸進入訪問,因而也成為了通往隱藏在深處的重要數(shù)據(jù)的橋梁。據(jù)推算,互聯(lián)網(wǎng)至少每39秒就有一次攻擊。
國家互聯(lián)網(wǎng)應急響應中心發(fā)布的《2011年中國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢報告》
2011年年底的CSDN泄密門事件導致國內600萬程序員的個人信息被盜取,雖然CSDN及時修復了漏洞,警方也及時抓住了犯罪嫌疑人,但今年依然有犯罪分子通過去年CSDN泄漏的帳號密碼偷竊國內知名電商“京東商城”的用戶賬戶,通過賬戶里的剩余資金大量購買商品。
這些曝光的安全泄密事件僅僅是個警鐘,被公開的這些網(wǎng)站的數(shù)據(jù)庫很早之前就被黑客拖庫,而且轉手買來賣去,眼下所見的都是被人榨干最后一滴水的陳年資料。誰能保證隱藏在暗處中的黑客們還有其他更多未曝光的資料呢。
那么,黑客們是如何獲取我們的重要信息,網(wǎng)站又是如何被拖庫的呢?#p#
二、黑客攻擊WEB典型案例分解
下面我們?yōu)榇蠹曳纸夂诳腿肭终叩臐B透WEB網(wǎng)站的主流手段。
假設目標站點http://192.168.40.21/是一個大型綜合類網(wǎng)站,會員數(shù)目眾多。
1.鎖定目標、搜集信息
黑客入侵一個目標站點的時候,首先要看該站點是否存在利益價值。目前黑客入侵者的商業(yè)攻擊主要針對在線購物網(wǎng)站、社交網(wǎng)站、網(wǎng)絡游戲、大型論壇、慈善機構、電子政務、金融證券網(wǎng)站等網(wǎng)站。這些網(wǎng)站可以竊取會員用戶信息進行社工欺騙,比如利用獲取的身份信息對用戶親屬進行電話詐騙、利用大部分人習慣用同一個帳號密碼的習慣去嘗試登錄其他網(wǎng)站,并且這些會員信息可以多次出售專賣;黑客入侵者還可以通過入侵政府網(wǎng)站掛“黑鏈”,因為政府網(wǎng)站在搜索引擎中占據(jù)的權重較高,攻擊者可以通過此方法使自己指定的網(wǎng)站插入到政府網(wǎng)站頁面中,從而提供其在搜索引擎中的排名靠前并盈利。
黑鏈是SEO手法中相當普遍的一種手段,籠統(tǒng)地說,它就是指一些人用非正常的手段獲取的其它網(wǎng)站的反向鏈接,最常見的黑鏈就是通過各種網(wǎng)站程序漏洞獲取搜索引擎權重或者PR較高的網(wǎng)站的WEBSHELL,進而在被黑網(wǎng)站上鏈接自己的網(wǎng)站,其性質與明鏈一致,都是屬于為高效率提升排名,而使用的作弊手法。
#p#
在確定目標后,黑客入侵者就會搜集該目標站點的相關信息,一次入侵的成功與前期的信息收集關系很大。搜集信息可以讓入侵起到事半功倍的效果,只經(jīng)過一些簡單的操作就可以得到一些服務器的Webshell,甚至于系統(tǒng)管理權限,搜集信息一般分為三種:
①工具掃描:黑客入侵者會使用各種掃描工具對入侵目標進行大規(guī)模掃描,得到系統(tǒng)信息和運行的服務信息,如對方所使用的操作系統(tǒng)、開放了哪些端口、存在哪些漏洞。典型的掃描工具有:
Nmap掃描目標網(wǎng)站端口開放信息
②社會工程攻擊:利用各種查詢手段得到與被入侵目標相關的一些信息,通常通過這種方式得到的信息,會被社會工程學這種入侵手法用到,而且社會工程學入侵手法也是最難察覺和防范的。
社會工程學(Social Engineering):通常是利用大眾的疏于防范的詭計,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取敏感的信息,例如:用戶名單、用戶密碼及網(wǎng)絡結構,即使很警惕很小心的人,一樣也有可能被高明的社會工程學手段損害利益,可以說是防不勝防。網(wǎng)絡安全是一個整體,對于某個目標在久攻不下的情況下,黑客會把矛頭指向目標的系統(tǒng)管理員,因為人在這個整體中往往是最不安全的因素,黑客通過搜索引擎對系統(tǒng)管理員的一些個人信息進行搜索,比如電子郵件地址、MSN、QQ等關鍵詞,分析出這些系統(tǒng)管理員的個人愛好,常去的網(wǎng)站、論壇,甚至個人的真實信息。然后利用掌握的信息與系統(tǒng)管理員拉關系套近乎,騙取對方的信任,使其一步步落入黑客設計好的圈套,最終造成系統(tǒng)被入侵。這也就是我們常說的“沒有絕對的安全,只有相對的安全,只有時刻保持警惕,才能換來網(wǎng)絡的安寧”。
③公開域信息:主要通過Google Hacking和Whios等手段獲取信息。
Google Hacking:指利用Google Google搜索引擎搜索信息來進行入侵的技術和行為,不少入侵者利用Google強大的搜索功能來搜索某些關鍵詞,找到有系統(tǒng)漏洞和Web漏洞的服務器,打造成自己的肉雞。
敏感的信息包括:
目標站點的信息
已丟失信息的追回
存儲密碼的文件
后臺管理和上傳文件的 Web 頁
數(shù)據(jù)庫
特定擴展名的文件
特定的Web程序,如論壇
Whios:Whois協(xié)議,是一種信息服務,通過向服務器的TCP端口43建立一個連接后,對輸入的關鍵詞進行查詢,能夠提供有關所有DNS域和負責各個域的系統(tǒng)管理員數(shù)據(jù),其中記錄著每個互連網(wǎng)站點的詳細信息,其中包括域名、服務器地址、聯(lián)絡人、電話號碼和地址。我們可以以Web方式查詢,比如到http://whois.www.net.cn/或者http://whois.webhosting.info查詢,假設我們要查詢www.baidu.com的域名信息,我們到http://whois.www.net.cn/查詢的結果如圖:
通過上面的介紹我們對黑客攻擊前的踩點和信息搜集有了認識,目前我們已經(jīng)得知目標站點http://192.168.40.21/主要開放了HTTP 80端口,遠程登錄RDP 3389端口;服務器采用的WINDOWS系統(tǒng),中間件使用的Apache Tomcat,網(wǎng)站腳本語言用的JSP。#p#
2、深入攻擊階段
利用SQL注入“拖庫”
在深入攻擊的過程中,首先攻擊者需要找到一個動態(tài)鏈接的URL看是否存在SQL注入漏洞,例如現(xiàn)在找到一個http://192.168.40.21/news.jsp?id=127,通過簡單的注入嘗試語句發(fā)現(xiàn)該URL確實存在SQL注入漏洞,攻擊者一般為了節(jié)省時間都會使用工具來促進效率。
通過工具攻擊者獲取到了服務器的環(huán)境變量,數(shù)據(jù)庫結構,并且獲取了該網(wǎng)站的所有用戶數(shù)據(jù),共7580條用戶數(shù)據(jù)信息,這個獲取用戶數(shù)據(jù)的過程就是我們常說的“拖庫”。
拖庫:拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用,語意:從數(shù)據(jù)庫導出數(shù)據(jù)。很多時候數(shù)據(jù)庫的資料需要導出來在別的地方使用,并且數(shù)據(jù)庫資料可以導出好幾種格式,例如:TXT,XLS等格式。黑客攻擊者拖庫最簡單的形式就是找SQL注入點直接寫工具拖。
拖庫的危害:根據(jù)資料顯示部分網(wǎng)民習慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設置相同密碼,一旦數(shù)據(jù)庫被泄漏,所有的用戶資料被公布于眾,任何人都可以拿著密碼去各個網(wǎng)站去嘗試登錄,對一些敏感的金融行業(yè)是致命的危害,對普通用戶可能造成財產(chǎn),個人隱私的損失或泄漏。
“拖庫”完成后如果還想擴大攻擊范圍,我們可以繼續(xù)嘗試其他攻擊手段,獲取WEBshell。
WEBshell:“web”的含義是顯然需要服務器開放web服務,“shell”的含義是取得對服務器某種程度上操作權限。webshell常常被稱為匿名用戶(入侵者)通過網(wǎng)站端口對網(wǎng)站服務器的某種程度上操作的權限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn),也有人稱之為網(wǎng)站的后門工具。#p#
利用FCKeditor編輯器漏洞獲取WEBshell
現(xiàn)在打開網(wǎng)站先注冊一個會員賬戶testweb,在用戶管理中信——投稿管理——發(fā)布稿件的地方發(fā)現(xiàn)該網(wǎng)站使用了一款名為FCKeditor在線編輯器。FCKeditor是一款在線編輯器,能夠在線進行文字和圖片的編輯等工作,通常會作為一個編輯部件嵌入其他的一些程序中。我們平時泡論壇,寫博客,經(jīng)常可以在網(wǎng)頁中對我們的文字或圖片進行簡單的編輯。FCKeditor的應用十分廣泛,但是漏洞也非常多。
現(xiàn)在來測試下FCKeditor最為普遍的上傳漏洞。打開圖片上傳選項,然后選擇準備好的JSP木馬上傳,發(fā)現(xiàn)被禁止上傳圖片文件格式以外的文件。不過它在上傳文件判斷的時候采用的是本地驗證后綴名方式,所以攻擊者可以通過代理工Burpsuitepro來進行上傳,先修改JSP木馬的后綴為JPG圖片格式,比如把1.jsp改為2.jpg;然后Burpsuitepro抓包阻斷上傳的內容,把上傳的2.jpg再改回1.jsp,從而繞過網(wǎng)站編輯器本地驗證的過程,成功上傳文件得到一個Webshell。
圖 利用工具抓包修改上傳內容
圖 成功上傳JSP木馬,得到一個WEBshell
#p#
利用WEBshel獲取服務器系統(tǒng)權限
利用WEBshell先查看下網(wǎng)站的配置文件,看是否有可以利用的資源。
圖 網(wǎng)站配置文件
上圖的配置文件可以看到網(wǎng)站的數(shù)據(jù)庫服務器的地址及帳號密碼,如果數(shù)據(jù)庫服務器沒有做安全防護配置,攻擊者就可以直接通過獲取到的信息鏈接到數(shù)據(jù)庫服務器導出網(wǎng)站的全部數(shù)據(jù)。
現(xiàn)在再看看網(wǎng)站的賬戶權限,在WEBshell中執(zhí)行cmd命令:whoami
得到的反饋結果是“nt authority\system”,現(xiàn)在可以判斷網(wǎng)站本身的權限是服務器系統(tǒng)管理員權限,攻擊者就可以執(zhí)行添加系統(tǒng)用戶的命令:
◆Net user hacker hacker /add 添加用戶名是hacker密碼也是hacker的普通用戶
◆Net localgroup administrators hacker /add 講hacker賬戶的權限提升為管理員權限
圖 添加帳號hacker
圖 提升hacker的權限
之前在搜集信息的時候就得知網(wǎng)站服務器開放了遠程登錄3389端口,現(xiàn)在攻擊者就用剛剛添加的管理員hacker帳號登錄服務器。
現(xiàn)在攻擊者已經(jīng)成功登錄網(wǎng)站服務器。
#p#
惡意篡改網(wǎng)頁
現(xiàn)在整個網(wǎng)站和服務器都在攻擊者的掌控之中,攻擊者可以隨意刪除、修改、增加網(wǎng)頁,插入網(wǎng)頁木馬等。現(xiàn)在假設攻擊者要令網(wǎng)站首頁成為黑頁。
黑頁:一些計算機被入侵后,入侵者為了證明自己的存在,對網(wǎng)站主頁(在服務器開放WEB服務的情況下) 進行改寫,從而公布入侵者留下的信息,這樣的網(wǎng)頁通常稱為黑頁。
入侵者對網(wǎng)站主頁的破壞,無疑會給網(wǎng)站帶來經(jīng)濟、信譽等等方面的損失。
同時另一方面?zhèn)鞑ブ肭终吡粝碌膸в胸撁嬗绊懙男畔⒒蛘卟《荆瑖乐赜绊懢W(wǎng)絡安全。#p#
三、WEB應用安全與數(shù)據(jù)庫安全的防護
前面我們已經(jīng)了解了黑客是如何入侵竊取我們的數(shù)據(jù)并破壞網(wǎng)站的過程,所以我們對WEB應用安全的威脅應該采取積極防御并及時解決的態(tài)度。
首先我們要了解為什么網(wǎng)站會出現(xiàn)這么多的問題這么多的漏洞:由于某些開發(fā)人員犯了非常低級的編程錯誤,比如:應用ID只能被應用使用,而不能被單獨的用戶或是其它進程使用。但是開發(fā)人員不這么做,他們給予了應用程序更多的數(shù)據(jù)訪問權限。這就類似于醫(yī)生因沒有洗手而傳播了傳染病,從而導致各種漏洞的出現(xiàn)。
我們必須接受已經(jīng)存在的應用缺陷和漏洞。通過發(fā)揮數(shù)據(jù)庫管理員的安全職責去阻止因為應用缺陷和漏洞所造成的不良后果。如果開發(fā)人員不重視應用與數(shù)據(jù)交互的安全性,堅持最小權限原則,數(shù)據(jù)庫管理員則有權在這場互動中占取主動,不給開發(fā)人員全權委托,數(shù)據(jù)庫管理員可以不允許那么多的交互被授權;為了阻止黑客的滲透攻擊從不可避免的網(wǎng)絡程序應用漏洞中占便宜,數(shù)據(jù)庫管理員也有權進行其他有效的安全控制。并且數(shù)據(jù)庫管理員應對數(shù)據(jù)庫進行加密保護,如密碼不能使用明文保存;對所有應用層和數(shù)據(jù)層通信的審計監(jiān)控將有助于快速識別和解決問題以及準確地判斷任何安全事件的范圍,直到實現(xiàn)安全風險最小化的目標。
假如出現(xiàn)數(shù)據(jù)外泄事件(如2011年年底的CSDN等網(wǎng)站的用戶數(shù)據(jù)信息泄密事件),責任也不止是在數(shù)據(jù)庫管理員身上,開發(fā)人員也需要共同承擔責任。其中一個非常重要的方面,開發(fā)人員能做的就是在用戶能輸入的地方最好過濾危險字符,這樣可以防止黑客通過諸如SQL注入攻擊獲取到數(shù)據(jù)庫的敏感信息。目前在各類行業(yè)網(wǎng)站上,各種WEB應用漏洞隨處可見,可以被黑客們檢測到(他們一般會用軟件同時掃描數(shù)千個網(wǎng)站)。
開發(fā)人員在完成一套新的應用程序后應使用安全檢測工具對其進行反復白盒測試,有條件的情況下可以請信息安全人員模擬黑客進行黑盒滲透測試,盡可能的發(fā)現(xiàn)應用程序的弱點并進行修補。如果想實現(xiàn)更完整的解決方案,更多有關的保護數(shù)據(jù)和數(shù)據(jù)庫是應當實施源代碼分析。這是一項冗長的處理過程,可以請安全服務提供商用專業(yè)的源碼審計軟件對應用程序代碼進行詳細的分析處理,這些工具會直接查找出更精確的缺陷結果。
同時應該與開發(fā)商或者安全廠商合作并確保能提供安全解決方案,這對于任何致力于部署網(wǎng)絡應用數(shù)據(jù)庫正常安全訪問的用戶都至關重要,WEB應用安全測試對于確保數(shù)據(jù)庫的安全性有至關重要的作用。
一款好的工具可以有助于加快進度并且提供更好的檢測結果和解決方案,以提供應用程序更好的的安全性,關鍵是進行反復評估以確保管理工作正常,對結果實施驗證并加固,確保風險一經(jīng)發(fā)現(xiàn)立即補救,并保證管理人員能夠了解到相關問題的存在。#p#
黑盒測試
黑盒測試是一種把軟件產(chǎn)品當成是一個黑箱的測試技術,這個黑箱有入口和出口,測試過程中只需要了解黑箱的輸入和輸出結果,不需要了解黑箱里面具體是怎樣操作的。這當然很好,因為測試人員不用費神去理解軟件里面的具體構成和原理,測試人員只需要像用戶一樣看待軟件產(chǎn)品就行了。
例如,銀行轉賬系統(tǒng)提供給用戶轉賬的功能,則測試人員在使用黑盒測試方法時,不需要知道轉賬的具體實現(xiàn)代碼是怎樣工作的,只需要把自己當成用戶,模擬盡可能多的轉賬情況來檢查這個軟件系統(tǒng)能否按要求正常實現(xiàn)轉賬功能即可。
如果只像用戶使用和操作軟件一樣去測試軟件黑盒測試可能存在一定的風險。例如,某個安全性要求比較高的軟件系統(tǒng),開發(fā)人員在設計程序時考慮到記錄系統(tǒng)日志的必要性,把軟件運行過程中的很多信息都記錄到了客戶端的系統(tǒng)日志中,甚至把客戶端連接服務器端的數(shù)據(jù)庫連接請求字符串也記錄到了系統(tǒng)日志中,像下面的一段字符串:
"Data Source=192.168.100.99;Initial Catalog=AccountDB;User ID=sa;PassWord=123456;
那么按照黑盒測試的觀點,這是程序內部的行為,用戶不會直接操作數(shù)據(jù)庫的連接行為,因此檢查系統(tǒng)日志方面的測試是不會做的。這明顯構成了一個Bug,尤其是對于安全性要求高的軟件系統(tǒng),因為它暴露了后臺數(shù)據(jù)庫賬號信息。
有人把黑盒測試比喻成中醫(yī),做黑盒測試的測試人員應該像一位老中醫(yī)一樣,通過“望、聞、問、切”的方法,來判斷程序是否“有病”。這比單純的操作黑箱的方式進了一步,這種比喻給測試人員一個啟示,不要只是簡單地看和聽,還要積極地去問,積極地去發(fā)現(xiàn)、搜索相關的信息。應該綜合應用中醫(yī)看病的各種“技術”和理念來達到找出軟件“病癥”的目的,具體作法如下:
“望”,觀察軟件的行為是否正常;
“聞”,檢查輸出的結果是否正確;
“問”,輸入各種信息,結合“望”、“聞”來觀察軟件的響應程度;
“切”,像中醫(yī)一樣給軟件“把脈”,敲擊一下軟件的某些“關節(jié)”。
#p#
白盒測試
如果把黑盒測試比喻成中醫(yī)看病,那么白盒測試無疑就是西醫(yī)看病了。測試人員采用各種儀器和設備對軟件進行檢測,甚至把軟件擺上手術臺解剖來看個究竟。白盒測試是一種以理解軟件內部結構和程序運行方式為基礎的軟件測試技術,通常需要跟蹤一個輸入經(jīng)過了哪些處理,這些處理方式是否正確。
在很多測試人員,尤其是初級測試人員看來,白盒測試是一種只有非常了解程序代碼的高級測試人員才能做的測試。熟悉代碼結構和功能實現(xiàn)的過程當然對測試有很大的幫助,但是從黑盒測試與白盒測試的區(qū)別可以看出,有些白盒測試是不需要測試人員懂得每一行程序代碼的。
如果把軟件看成一個黑箱,那么白盒測試的關鍵是給測試人員戴上一副X光透視眼鏡,測試人員通過這副X光透視眼鏡可以看清楚輸入到黑箱中的數(shù)據(jù)是怎樣流轉的。
一些測試工具就像醫(yī)院的檢測儀器一樣,可以幫助了解程序的內部運轉過程。例如,對于一個與SQL Server數(shù)據(jù)庫連接的軟件系統(tǒng),可以簡單地把程序的作用理解為:把用戶輸入的數(shù)據(jù)通過SQL命令請求后臺數(shù)據(jù)庫,數(shù)據(jù)庫把請求的數(shù)據(jù)返回給程序的界面層展示給用戶。可以把SQL Server自帶的工具事件探查器當成是一個檢查SQL數(shù)據(jù)傳輸?shù)木軆x器,它可以記錄軟件客戶端與服務器數(shù)據(jù)庫之間交互的一舉一動,從而讓測試人員可以洞悉軟件究竟做了哪些動作。
在測試過程中,應該綜合應用黑盒測試方法和白盒測試方法,按需要采用不同的技術組合。不要用黑盒測試方法和白盒測試方法來劃分自己屬于哪一類測試人員,一名優(yōu)秀的測試人員應該懂得各種各樣的測試技術和查找Bug的手段。
最后我們談談新的防火墻問題。到目前為止,我們都是側重于預防措施。但在現(xiàn)實世界中,我們不可能總是改編程序和環(huán)境,所以我們必須采用其他技術措施。這就是為什么會產(chǎn)生新的防火墻。
防火墻用于應用程序或者監(jiān)控流量的運行監(jiān)控,也可以在執(zhí)行運行時進行分析。防火墻可以找出攻擊,并阻止嘗試或修改的要求,來確保WEB服務器和數(shù)據(jù)庫服務器的安全運行。
目前不光有WEB應用防火墻和網(wǎng)絡防火墻能防范攻擊者透過應用層和網(wǎng)絡層的攻擊;“數(shù)據(jù)庫防火墻”也于這兩年在不斷的數(shù)據(jù)庫泄密事件中出現(xiàn)在公眾的視線里,國內稱之為“數(shù)據(jù)庫審計”產(chǎn)品,這些產(chǎn)品能給數(shù)據(jù)庫提供實時的網(wǎng)絡存儲與訪問的安全。
任何一個好的數(shù)據(jù)庫安全策略都應包括監(jiān)控和審計,以確保保護對象正常運行,并且運行在正確的位置上,這也是個非常耗時的過程。由于缺乏時間和工具,大多數(shù)用戶對于數(shù)據(jù)庫配置的檢查往往也僅是抽查而已。
這里還需要指出的是目前多數(shù)人認為“數(shù)據(jù)庫審計”等同于數(shù)據(jù)庫安全,事實上,數(shù)據(jù)庫安全遠遠不是數(shù)據(jù)庫審計可以搞定的,數(shù)據(jù)庫審計只是數(shù)據(jù)庫安全的一個很小的方面,之所以有時候對等起來,一方面是由于市場宣傳導致的誤導,另一方面的確是這個部分的問題比較容易產(chǎn)品化/工具化,技術實現(xiàn)相對比較成熟。數(shù)據(jù)庫安全應該包括:數(shù)據(jù)庫資產(chǎn)管理、數(shù)據(jù)庫配置加固、職責分離、特權用戶控制、數(shù)據(jù)庫弱點掃描和補丁管理、數(shù)據(jù)庫加密、數(shù)據(jù)庫審計。
最后,我們還是回到應用程序的安全以及與數(shù)據(jù)庫之間的相互作用問題上。即我們必須要考慮到的問題是應用程序的安全以及與數(shù)據(jù)庫之間的相互作用,尤其是對于當今流行的高度動態(tài)的和互動的網(wǎng)絡應用程序而言。理解數(shù)據(jù)庫與應用程序和系統(tǒng)環(huán)境之間的作用可以更加提升數(shù)據(jù)的安全性。
