Web應(yīng)用程序安全的“七宗罪”解析

姜鵬

根據(jù)Akamai發(fā)布的最新數(shù)據(jù)顯示，針對Web應(yīng)用程序的攻擊正在增加，2017年第四季度的Web應(yīng)用程序攻擊數(shù)量與2016年同期相比增加了10%。

該公司的高級安全倡導(dǎo)者M(jìn)artin McKeay在其最近的《互聯(lián)網(wǎng)安全狀態(tài)報告》中寫道，絕大多數(shù)的Web應(yīng)用程序攻擊都是非目標(biāo)掃描尋找易受攻擊系統(tǒng)的結(jié)果，也有少數(shù)攻擊者試圖破壞特定目標(biāo)。但是，無論是有目標(biāo)還是無目標(biāo)的Web應(yīng)用程序攻擊都是非常頻繁且“難辨的”———換句話說，就是很難準(zhǔn)確檢測到，很多組織都只是簡單地運行著Web應(yīng)用程序防火墻，沒有任何額外防御層來檢測系統(tǒng)究竟丟失了哪些信息。

企業(yè)或機(jī)構(gòu)需要改進(jìn)他們的安全編碼實踐以降低自身在網(wǎng)絡(luò)中的安全風(fēng)險。以下這份清單重點介紹了組織的Web應(yīng)用程序所面臨的一些最大威脅：

1.SQL注入漏洞

Web應(yīng)用程序大多涉及服務(wù)器端的動態(tài)處理，同時，開發(fā)人員可能在開發(fā)過程中疏忽參數(shù)的輸入檢查，因此會出現(xiàn)各種Web應(yīng)用安全問題，并產(chǎn)生相關(guān)漏洞，例如目錄遍歷漏洞、信息泄露漏洞以及SQL注入漏洞等，給攻擊者留下可乘之機(jī)。

而由于SQL注入漏洞利用Web應(yīng)用開放的端口，通常防火墻等設(shè)備無法檢測到，所以其隱蔽性非常高，如果攻擊者不留下痕跡，或是管理員沒有查看數(shù)據(jù)庫日志的習(xí)慣，就基本上不會發(fā)現(xiàn)其存在。

自安全研究人員Jeff Forrestal首次詳細(xì)介紹了第一個SQL注入漏洞至今，已經(jīng)過去了20余年。但是，即便是現(xiàn)在，SQL注入仍然是大量網(wǎng)站和Web應(yīng)用程序的重要威脅。根據(jù)美國國家漏洞數(shù)據(jù)庫（NVD）的統(tǒng)計數(shù)據(jù)顯示，SQL注入在針對Web應(yīng)用程序攻擊手段中名列榜首，是互聯(lián)網(wǎng)最大的安全漏洞。

此外，根據(jù)Alert Logic發(fā)布的另一項最新研究顯示，SQL注入攻擊仍然是長期以來最主要的Web攻擊類型，其在安全監(jiān)控公司跟蹤的所有客戶攻擊事件中占據(jù)55%。

2.不安全的反序列化

序列化就是把對象轉(zhuǎn)換成一種數(shù)據(jù)格式，如Json、XML等文本格式或二進(jìn)制字節(jié)流格式，便于保存在內(nèi)存、文件、數(shù)據(jù)庫中或者在網(wǎng)絡(luò)通信中進(jìn)行傳輸。反序列化是序列化的逆過程，即由保存的文本格式或字節(jié)流格式還原成對象。

很多編程語言都提供了這一功能，但不幸的是，如果應(yīng)用代碼允許接受不可信的序列化數(shù)據(jù)，在進(jìn)行反序列化操作時，可能會產(chǎn)生反序列化漏洞，黑客可以利用它進(jìn)行拒絕服務(wù)攻擊、訪問控制攻擊和遠(yuǎn)程命令執(zhí)行攻擊。

事實上，反序列化漏洞已經(jīng)出現(xiàn)很久了，到現(xiàn)在都很流行，以致OWASP組織將“不安全的反序列化”列為2017年10項最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險榜的第8位。針對不安全的反序列化的攻擊所能造成的破壞類型最明顯的例子之一，就是2017年Equifax公司發(fā)生的大規(guī)模泄漏事件，Equifax公司正是由于未安裝補(bǔ)丁以修復(fù)Apache Struts中的相關(guān)安全漏洞，才導(dǎo)致于去年夏季發(fā)生了大規(guī)模的數(shù)據(jù)泄露事件。

3.依賴有風(fēng)險的開源組件

說到Equifax數(shù)據(jù)泄露事件，攻擊者所利用的反序列化漏洞并非存在于底層軟件代碼本身。相反的，它是存在于廣泛使用的Apache Struts組件（嵌在軟件中）之中。

這突出體現(xiàn)了Web應(yīng)用安全中的另一個致命隱患———即依賴有風(fēng)險且未打補(bǔ)丁的開源組件。開發(fā)商越來越多地使用開源組件來構(gòu)建他們的軟件，而且通常不去跟蹤哪個組件被部署到了哪些地方，更不用說跟蹤哪些版本被使用以及這些組件本身是否依賴于其他易受攻擊的組件。

Arbor Networks公司安全評估工程師Will Chatham表示，開發(fā)人員傾向于依賴給定JavaScript庫的流行度來確定其安全性，這就產(chǎn)生了一個錯誤的假設(shè)———即如果很多開發(fā)人員正在使用它，那么它必然是安全的。顯然，這是一種非常錯誤的想法。在一個框架內(nèi)，一個庫可能依賴另一個庫，從而形成一個錯綜復(fù)雜的依賴關(guān)系鏈。在這些鏈條的深處，可能存在缺乏安全保護(hù)的庫，甚至可能容易受到多種類型的惡意行為的影響，從而導(dǎo)致他們面臨所謂的“供應(yīng)鏈攻擊”。

4.沒有內(nèi)容安全策略來阻止XSS

Imperva公司的Daniel Svartman解釋稱，跨站點腳本（XXS）是一種常見的向量，可以將惡意代碼插入到易受攻擊的Web應(yīng)用程序中。與其他Web攻擊類型（如SQLi）不同，其目標(biāo)不是您的Web應(yīng)用程序。相反地，它針對的是您的用戶，從而損害客戶安全以及組織的聲譽。

不過，與SQLi一樣的是，XSS也已經(jīng)存在了很長一段時間，且至今仍在威脅企業(yè)安全。正如Mozilla的April King所解釋的那樣，阻止XSS攻擊最有效的方法之一就是使用內(nèi)容安全策略（Content Security Policy，簡稱CSP），該策略的普及率已經(jīng)實現(xiàn)了大幅的增長，但仍然很少被大多數(shù)網(wǎng)站使用。

根據(jù)Mozilla Observatory（一款網(wǎng)站分析工具）針對Alexa排名前一百萬的網(wǎng)站進(jìn)行的掃描結(jié)果顯示，只有大約0.022%的網(wǎng)站使用了內(nèi)容安全策略。此外，使用了內(nèi)容安全策略但忽略了串聯(lián)式樣式表（Cascading Style Sheets，簡稱CSS）的網(wǎng)站比率略有提高，占據(jù)Alexa Top 1M的0.112%。

5.信息泄露助力黑客攻擊

據(jù)White Hat Security公司稱，每兩個應(yīng)用程序中就有一個具有某種類型的信息泄漏漏洞。同時，Veracode認(rèn)為這一比例應(yīng)該更高，所有應(yīng)用程序中有65.8%會顯示有關(guān)應(yīng)用程序、網(wǎng)絡(luò)環(huán)境或用戶的敏感信息，這些信息可能會被惡意行為者用于當(dāng)前的或未來的針對應(yīng)用程序的攻擊活動。

White Hat分析公司在其《2017年應(yīng)用程序安全統(tǒng)計報告》中解釋稱，根據(jù)泄露信息的具體內(nèi)容，其危害程度也不盡相同，它可能與泄露的用戶名和密碼一樣嚴(yán)重，也可能與泄露的軟件版本號一樣是“良性的”。好消息是，它通常只需要進(jìn)行一個簡單的重新配置修復(fù)，但修復(fù)通常取決于泄露的數(shù)據(jù)類型———敏感的泄露問題得到了解決，其他的問題則沒有。

即使像軟件版本號這樣“良性的”泄漏事件也會為黑客的攻擊行為帶來啟示。通常而言，即使是再小的信息泄露也可以為惡意行為者提供可用于構(gòu)建未來攻擊藍(lán)圖的信息。

6.API缺陷

據(jù)Chatham稱，2017年在Web應(yīng)用程序中出現(xiàn)的最大威脅之一就是安全性較差的API。他說，近些年來，API越來越流行，開發(fā)人員在構(gòu)建應(yīng)用程序時開始更頻繁地使用它們，作為將其服務(wù)或數(shù)據(jù)提供給其他應(yīng)用程序的一種方式。但不幸的是，它們正在被實現(xiàn)到Web應(yīng)用程序中，且完全忽略了安全問題。讓情況變得更糟的是，欠缺保護(hù)的API往往并非傳統(tǒng)應(yīng)用安全測試過程的一部分。

這可能就是OWASP 2017年將“不受保護(hù)的API”列入其“web應(yīng)用程序十大安全風(fēng)險”榜單前十名的原因。隨著越來越多的組織將API用作當(dāng)今DevOps商店所青睞的各種輕量級快速部署軟件之間的“潤滑劑”，這種威脅勢必會引發(fā)更為廣泛的關(guān)注。

根據(jù)Imperva之前進(jìn)行的研究顯示，公司平均管理著363種不同的API，其中三分之二是面向公眾和其合作伙伴的公開API。

7.忽略傳輸層保護(hù)

好消息是，現(xiàn)在組織在部署HTTPS方面變得越來越積極。但壞消息是，部署現(xiàn)狀仍不容樂觀，還有很長的路要走。

根據(jù)之前Mozill Observatory進(jìn)行的掃描結(jié)果顯示，在Alexa排名前一百萬（Top 1M）網(wǎng)站中，大約有54.3%的網(wǎng)站使用了HTTPS，這一比例較2017年夏天增長了19%。但是，這仍然意味著還有大約一半的頂級網(wǎng)站仍在使用落后且不安全的HTTP協(xié)議。

所以可以說，想要實現(xiàn)讓大多數(shù)網(wǎng)站禁用HTTP的目標(biāo)，仍然還有很長的路要走。這一過程需要通過HSTS實現(xiàn)，它是國際互聯(lián)網(wǎng)工程組織IETE正在推行一種新的Web安全協(xié)議，旨在幫助網(wǎng)站將用戶從不安全的HTTP版本重定向到安全的HTTPS版本，強(qiáng)制客戶端（如瀏覽器）使用HTTPS與服務(wù)器創(chuàng)建連接。而根據(jù)Mozilla的掃描結(jié)果顯示，使用HSTS的網(wǎng)站僅占Alexa Top 1M的6%左右。