你的网站安全吗？WEB利用安全总结(1)

利用安全越来越重要 —— 互联网上看到的大多数安全事件基础都和利用安全，尤其是 WEB 利用安全有关(随便翻翻 wooyun 之类的就知道了)。最近几年的工作基础都和利用安全有关系，借着这个机会也总结一下自己的一些观点。

WEB 利用安全的常见思绪

这篇文章不包含 DDoS 和营业相干的成绩 —— DDoS 主要是网络层解决的成绩，我没有把放到 WEB 利用安全这个范畴讨论;营业相干的安全，特殊是营业特征或许营业规矩带来的安全成绩也不在这个讨论范畴之内。

下面只是大概的分类，并不严谨。

经由过程东西来加强 WEB 利用的安全

东西每每对利用开辟进程影响十分小，只须要在部署的时候做些配置平日即可起到防护作用。东西主要以防火墙、WAF 和各类扫描产物为主。这些产物平日基于特征，很难做到深刻理解被防护的 WEB 利用，这类产物平日会遇到很多挑战。

由于被保护的 WEB 利用对这些传统东西而言属于“黑盒”，要做到有效防护的代价很高。个人认为现在传统的产物更适合做大范畴、简略、一致的控制，作为基础设施提供无差别的防护;也比较适合做应急措施，用来缩短 Heartbleed、Struts2 远程代码执行 这类破绽的呼应时光，为彻底修复赢得充足的时光窗口。

误报率和漏报率：这个大家都懂的，从防病毒软件到 IDS、IPS 到扫描器到 WAF，只要是基于特征库，基础都走在这个“平衡木”上，很难做到既误报低又漏报少。

0day：WEB 利用的 0day 太轻易发明，WEB 利用数量又是海量，真正充分考虑到安全的 WEB 利用更是凤毛麟角。因此，无法做到发明 0day 甚至是快速呼应 0day，会十分难受，而简略基于规矩很难做到发明“未知”。

普适和定制：利用的数量远多于操作系统、数据库这些通用组件，利用层的安全检查或许防护东西无法做到覆盖所有的利用(例如：wordpress 和企业 ERP 就是完全不同的利用)。

难以根除的破绽：只要不修改代码、不打补丁，这个利用就始终存在安全破绽。一旦出现盲点，导致攻打者能够直接访问到被保护的 WEB 利用，安全防护措施都失去意义(现在的营业系统都是分布式系统，十分轻易出现盲点;尤其是各种 CloudWAF，被绕过的可能性更大)。

经由过程开辟流程控制加强 WEB 利用的安全

SDLC 是 Secure Software Development Life Cycle 的简写，有时候也被称作 SDL 或 SSDLC 。SDLC 的特点是在软件开辟的生命周期中都“嵌入”了安全的“基因”，对软件产物的安全性有实质上的进步。业界最成功的案例就是 Microsoft 经由过程 10 多年连续的实施 SDL 让其 windows 产物的安全性有了极大地进步。

SDLC 须要安全完全嵌入到软件开辟的全部活动中，十分依赖于职员和东西(破绽扫描、代码审计、……)，也遇到了一些挑战。

从某种意义上来说，SDLC 仅仅适用于部分公司，这类公司每每有稳定的开辟构造、流程;营业变化没有那么快，相对比较稳定;营业十分依赖于 IT 或许软件开辟。扩展阅读：如何在你的构造内采用 SDL。

时光：营业特征本身的开展十分快，营业特征的开辟每每是整个开辟团队产出的中心度量指标(特殊是互联网公司)。新增的安全特征会延缓产物开辟进度，因此开辟团队会倾向于事后修复;而连续的营业压力又会让历史遗留成绩修复很难获得高优先级。实质上是个“技巧债”的成绩。

专业常识：开辟团队的中心才能并不是安全。即使是 SDLC 中的培训，也是仅以解决常见、通用攻打方式为目标，在面临新型攻打或复杂攻打时，须要对安全范畴有全面和深刻的了解。很难有开辟职员在跟上开辟范畴技巧开展的同时，还能补上安全范畴常识，并且跟上安全范畴的开展。

资源：大型构造所开辟使用的利用每每十分庞大，在开辟流程中构建完整的 SDLC 无论是在构造还是技巧层面会让大多数的构造难以承受。

误报：SDLC 中使用了十分多的东西，这些东西平日都会产生误报，这些误报十分轻易形成开辟职员抵制 SDLC 的原因。

流程：SDLC 实质上是让开辟职员重视安全，越多开辟职员有安全意识公司开辟出来的产物就越安全。但坏处是，大多数情形下很难有人能评估安全是否曾经充足了(甚至做过头了)。特殊是在时光压力很大且缺乏专业常识的情形下，SDLC 十分轻易流于形式。

经由过程加强对利用感知和连续监控加强 WEB 利用安全

中心思绪就是在开辟进程中引入安全相干的 SDK 或 Plugin。经由过程这些 Plugin 或 SDK 让利用具有缺省的安全功能，且让安全职员连续的对利用进行监视、呼应(可以更深刻到利用的运行时)。

这个思绪中关键的一项技巧现在被 Gartner 界说为 RASP。RASP 是 Runtime Application Self-Protection 的缩写，经由过程嵌入 Application 的代码让利用程序自身具有一定的威胁感知和防护才能。平日 RASP 天生就可以与其他安全产物集成。Gartner 总结了这个界说，并且在 Hype Cycle for Application Security, 2014 中给把他列入到了 On the Rise 阶段(属于被关注的新技巧，但并没有大范畴地被验证和接受)。而 Gartner 早在 2012 年就在 Runtime Application Self-Protection: A Must-Have, Emerging Security Technology 介绍过，并预计 2017 年 25% 的利用会具有这个这个才能。现在曾经有多家厂商推出了产物，开源社区也有相应的实现。

HP: HP Application Defender

Prevoty: Prevoty Runtime Application Security

waratek: Application Security for java

OWASP: AppSensor 是一个开源方案。

Shandowd: Shadowd 是一个开源方案。

转载自:https://netsecurity.51cto.com/art/201505/477899.htm

声明: 除非转自他站（如有侵权，请联系处理）外，本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明：转自《你的网站安全吗？WEB利用安全总结(1)》
本文地址：https://www.zhiletu.com/archives-4457.html
关注公众号：