什么是web应用漏洞，这些漏洞会造成怎么样的后果?

　　Web应用由于其开发的特点 - 经常更改，不彻底的开发编写，没有经过严格的测试，导致web应用出现了很多的漏洞，这些漏洞甚至将整个企业暴露给了外界。相关组织不得不定期的检查是否存在web应用漏洞，简单地测试来总结一些对策，保护web应用不受攻击。下面列举一些最为典型的攻击类型，这些攻击将会导致非常严重的安全事件：

　　‧ 缓存溢出 — 差劲的应用编码会尝试将应用数据存储于缓存中，而不是正常的分配，这将最终导致一个攻击，借此，恶意代码将溢出到另外一个缓存中来执行恶意代码。

　　‧ 跨站脚本攻击— 攻击类型的代码数据被插入到另外一个可信任区域的数据中，最终导致使用可信任的身份来执行攻击

　　‧ 服拒服务绝攻击 — 这种攻击会导致服务没有能力为正常业务提供服务

　　‧ 异常错误处理 — 错误发生时，向用户提交错误提示是很正常的事情，但是如果提交的错误提示中包含了太多的内容，就有可能会被攻击者分析出网络环境的结构或配置。

　　‧ 有问题的或者不存在的session IDs — 当session ID没有被正常使用时，攻击者可以破坏Web会话，并且实施多个攻击(通过冒用其他的可信任的凭证)，借此来绕开认证机制。

　　‧ 命令注入 —-如果没有成功的阻止带有语法含义的输入内容，有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容(SQL语句)，应该保持简单，并且不应该还有可被执行的代码内容。

　　‧ 脆弱的认证 — 利用脆弱的认证机制或者未加密的数据来获得访问，破坏和控制数据是一个非常严重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。

　　‧ 未受保护的参数传递 — 利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器，浏览器在将HTML传回给服务器之前，是不会修改这些参数的。

　　‧ 不安全的存储 - 对于Web应用程序来说，妥善的保存密码，用户名，以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式，但是一些企业会采用那些未经实践验证的加密解决方案，其中就可能存在漏洞。

　　‧ 非法输入 --在数据被输入程序前忽略对数据合法性的检验，是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查，非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。

　　Web应用安全市场已经逐步成熟

　　Web应用和Web服务对于企业来说是至关重要的，能够使和商业合作伙伴之间的合作，对客户提供的自助式的高效服务简单化。大多数Web应用和Web服务能够创建，提交，修改和存储数据。对于这些数据来说，大多数又是机密的，比如信用卡卡号和商业计划，这些数据都将是攻击者最主要的目标和对象。

　　Web应用的市场现状：

　　公司在有限的时间和预算压力下，开发出的Web应用缺乏对安全的考虑

　　开发人员，执行人员和测试人员都没有接受过专业的安全培训;他们大都关注于Web应用是否符合实际的需求。公司同时需要耗费其他资源来防止和限制对应用的错误使用。.

　　相关的行业标准正推动Web应用安全

　　1. MasterCard和Visa信用卡提出了所有存储，处理或者传输持卡人数据的成员机构，商业机构，服务提供商都必须符合Payment Card Industry (PCI) Data Security Standard。PCI标准强制所有涉及到持卡人数据环境的Web软件和应用都必须基于安全的编码方针，并且必须符合Open Web Application Security Project (OWASP)的协议。

　　2. 随着在其他行业中，软件安全需求意识的提高，这些指导方针对那些不安全的Web应用提出了挑战。

　　越来越多的安全组织的加入标识着我们将会有更多的选择和培训的机会。

　　当前，软件安全已经在各大安全会议上成为了一个重要的话题，包括RSA Conference 2006, the Black Hat conventions,以及the new Software Security Summit.。软件安全专家变得越来越普遍，更多地出现在包括OWASP，Web Application Security Consortium (WASC)以及Build Security In.这些组织中以及一些书本中。另外，更多的工具和产品的出现都给市场带了新的生气。客户需求与分析

　　企业，公司或者组织需要将Web应用安全作为一部分，包括在他们的安全管理部署之中。据统计，90%的外部访问应用，如今，还是直接面向web服务器，其中的三分之二具有可以被攻击的漏洞，能够是黑客轻易的控制和破坏服务器和服务。因为Web应用是可以使用浏览器进行外部访问的服务，攻击者可以轻而易举的绕开边界安全设备，通常这些设备对80和443的端口都没有做任何限制。因此我们推荐XXX网站使用梭子鱼的Web应用安全防火墙来实现对Web应用漏洞的检测和防护。

　　XXX网站是由XXXX联合组建的有新闻特色的大型综合性网站。

　　XXX网站于XXXX开通。目前，XXX网站旗下主管报社1家(《城市导报》)，控股和参股公司14家(包括XXX网站点、东方数字社区、东方怡动、XXX网站诚、东方诚心等)。

　　配合XXX网站如此的一个大型的综合性网站，其后台的web应用服务器集群也是非常庞大的，达到30～40台之多。合作伙伴，客户，用户都是通过其网站来登录访问XXX网站提供的网络电视，网路电台，以及聊天室等等的其他服务。同时，XXX网站拥有3个语种、80个主体频道;200多万日均用户、2000多万日均页读数(PV);有1000余项网络技术应用;为上海1000多家单位以及中国上海政府网站、世博会官方网站等重大项目提供网络平台服务。可想而知，处于最外层的web应用的安全是至关重要的，通过保护web应用的安全能够有效的屏蔽内部网路和后台数据，使其对外不可见，防止因为由于web应用被攻击导致后台服务的宕机，重要数据的破坏和泄漏。

　　另外，由于web应用的开发工作是在多年前完成的，如果需要防护web层面的应用攻击，那么就必须花费大量的时间，精力和人力来对原本的代码进行大规模的优化，不管在管理层面上还是执行层面上来说，都不是一个最佳的解决方案。

　　网站的相关需求：

　　1. 对包括SQL注入，命令注入，缓存溢出，跨站点脚本攻击等数十种已知的web应用攻击进行有效的防护，不影响正常的web应用流量以及其他的应用流量

　　2. 对未知的web应用攻击能够有效地防护，并伴随智能学习能力

　　3. 实现双向过滤能力

　　4. 实现站点的虚拟化，实现后台真实服务器和真实域名对外界的非可见性

　　5. SSL offloading功能，加速SSL流量

　　6. 连接复用功能，实现TCP连接池

　　7. 应用防火墙热备功能，避免单点故障，实现stateful failover

　　8. 多种认证机制的支持，包括LDAP,AAA,RADIUS,AD etc

　　9. 多种部署方式，简单管理，提供图形化界面

　　10. 符合PCI-DSS，OWASP，WASC协议标准

　　11. 无需改动现有的web应用代码

　　XXX网站Web应用安全解决方案推荐

　　梭子鱼Web应用防火墙

　　梭子鱼Web应用安全防火墙产品是一款集成化的产品，它能够在完全的获取和管理Web应用过程中进与出的每一个事务。同时它也是一款高性能，双向HTTP代理设备，允许系统管理员针对每一个应用的每一个会话指定精确的安全，内容和流量的规则。

　　梭子鱼提供企业级的应用防火墙。基于梭子鱼私有的操作系统，应用防火墙通过终止，安全，加速web应用会话流量，提供给数据中心一个非常有价值的解决方案，来控制至关重要的web应用。

　　梭子鱼安全防火墙有两款型号：

　　1. 梭子鱼web应用防火墙 - 保护您的web应用

　　2. 梭子鱼web应用网关 - 在保护您web应用的基础上，应用网关可以加速您的应用响应速度以及提高您应用的可用性。

　　不管哪个型号，梭子鱼产品的拓扑和管理是非常简单的。最重要的是，梭子鱼web应用安全产品是完全遵循WASC和OWASP组织的协议来开发的。

　　根据XXX网站的目前网络拓扑状况，因为已经包含了F5的负载均衡设备对后台的web服务器进行流量负载，梭子鱼推荐使用NC-2000 AF配合原先的F5负载均衡设备，实现安全，负载，加速。使整个站点从性能和安全上提升一个新的台阶。

　　网络架构和部署

　　双臂代理模式

　　双臂代理模式是web应用防火墙部署种的最佳模式。这个模式也是拓扑过程中推荐的模式，能够提供最佳的安全性能。

　　在此模式中，所有的数据端口都将被开启;端口eth1是对外的，直接面向因特网的端口;端口eth2将会和内部的设备(交换机等)进行连接，是面向内部的。管理端口可以被分配到另一个网段，我们推荐将管理数据和实际的流量分离，避免因为实际流量和管理数据的冲突。

　　以下为示例拓扑图：

网络实现：

　　1. 前端端口和后端端口位于不同的网段，所有外部客户将会和应用虚拟IP地址进行连接，此虚拟ip将会和前端端口(eth1)进行绑定

　　2. 客户的连接将会在设备上终止，进行安全检查和过滤

　　3. 合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备

　　4. 负载均衡进行流量的负载

　　5. 双臂代理模式可以开启所有的安全功能

　　Note：此种部署模式，会暂时性的造成应用的不可访问性。可以根据实际需求，在部署过程中，局部分层次的进行。