6月底,Positive Technologies发布了《对Web应用程序的攻击:2018年回顾》报告。360天枢团队翻译整理了报告,并在原报告的基础上,联合360安全专家,提出了应对措施,供业界参考!
从对2018年网络威胁的研究可以看出,攻击Web应用程序是对组织和个人的常见攻击方式之一。网站被黑客入侵后,可以传播恶意软件、窃取数据、发布广告或屏蔽信息、进行欺诈或渗透内部网络。在本报告中,依托PT Application Firewall收集的Web攻击统计数据,我们聚焦于现代Web应用程序的主要威胁。此外,我们深入研究了对特定部门攻击的统计数据。这些研究可以帮助安全专家评估与公司网站相关的风险。
一 执行摘要
每天都有重要部门的网站会受到攻击。对此,可采用重建攻击链的方法进行复盘,提升网络防御能力。据统计,每日受攻击次数最多的领域分别为金融机构(151),运输企业(135)和酒店及娱乐公司(114)。
多年来,对网站进行攻击的三种方式保持不变:SQL注入,路径遍历和跨站点脚本(XSS)。当我们按照行业来分析统计数据时,就会发现一些有趣的信息。
由攻击造成的信息泄漏事件频发,此类信息泄露的份额增加了一倍,这在政府网站表现尤其明显。政府网站受到的攻击主要是为了控制服务器和窃取数据库信息,以此为目的的攻击量占总数的67%。
黑客攻击IT公司的网站主要是为了获取数据并控制应用程序;对金融机构的攻击则主要是获利,最常见的攻击是XSS(占金融网站受到攻击总数的29%);酒店和娱乐公司以及教育机构受到的攻击情况与金融机构相似。
二 总体统计
最常见的攻击每年几乎都没有变化:SQL注入、路径遍历和XSS仍然位居榜首。这三类攻击的总数占企业网络资源能检测到的所有网络攻击的一半以上。
为什么这三类攻击常年位居榜首呢?主要原因有两个:
1、这些攻击是有效的。我们的研究表明,有3/4的站点都是很容易受到XSS攻击的,1/2的Web应用程序存在访问控制问题,1/3的应用程序很容易受到代码注入。
2、这些攻击很容易执行。这些攻击的执行并不复杂,低技能黑客即可发起执行,有时甚至可以借助公共软件自动发起进攻。
图1.Web应用程序受到的攻击方式top 10
通过分析2018年度web应用程序受到攻击的整体情况,我们发现了一些新鲜的趋势。其中,由攻击造成的信息泄漏的份额翻了一番,特别是政府网站方面表现尤其明显。与此同时,XSS攻击的份额显著下降。尽管如此,我们仍不能断言针对客户的攻击日渐式微。这种变化更可能是由于其他攻击(例如Path Traversal)的增加。
三 按部门统计
现在我们来看,这些针对Web应用程序的攻击哪些是最典型的?这在不同的行业中,情况不尽相同。
1. IT行业
图2. IT公司Web程序受到的攻击top 5
针对IT公司的绝大多数攻击都以获取信息为目的。受到攻击的应用程序一旦开始处理用户数据,信息泄漏就不可避免。根据我们的统计数据,在2018年度针对IT公司的攻击中,有46%针对网络资源,40%旨在窃取数据。因此,IT公司需要格外注意保护自己的网站以及经手处理的信息。如果站点位于公司基础结构内部(而不是单独托管),那么公司需要将攻击者访问本地网络的风险降至最低。
2. 金融机构
图3.金融机构Web应用程序受到的攻击top 10
在面临的攻击风险方面,金融机构的网络应用程序与其他机构不同。银行服务是黑客们发起攻击的重点对象。通过银行服务,用户们可以管理他们的资产、支付账单、增加储蓄、获得贷款和转移资金。但即使我们将电子银行排除在外,其他的网站漏洞一旦被利用,后果仍然很严重。例如,如果银行官方网站被黑客用于传播恶意软件、或遭到阶段性网络钓鱼攻击,客户首当其冲。针对客户的攻击,例如XSS,是2018年最常见的Web应用程序漏洞之一。
3. 运输企业
图4.运输公司Web应用程序受到的攻击top 1
如今,运输企业在其网站上提供的不仅仅是时间表和定价信息。他们的网站通常也支持在线支付,例如提供订票服务。这吸引了黑客对用户支付所用银行卡的极大兴趣。这种攻击的一个典型例子就是2018年8月和9月英国航空公司的客户数据被窃取事件。黑客通过添加自己的代码(JS嗅探器)攻击了网站并修改了脚本。这导致大约380000名客户的数据被盗,其中包括银行卡信息。
4. 酒店和娱乐公司
图5.受攻击方式top 5
酒店和娱乐公司的网站通常很注重便利性。例如,酒店的网站一般都包含供客户输入个人信息的预订表格。当然,任何用户都希望此类网站有更易于使用的付款方式。这就意味着,如果将嗅探器注入到网站的代码中,黑客就可以通过窃取用户的付款信息牟利。从这个维度讲,所有这类Web应用程序都是面向用户的,用户的数据必须被视为有价值的资产。
任何数据泄露或由攻击造成的公司声誉损害都可能严重阻碍公司的发展、削弱在竞争中的地位。我们的研究表明,酒店和娱乐公司网站受到的网络攻击大部分都针对用户或Web应用程序处理的数据。严肃对待网络安全对于避免企业声誉受损至关重要。“安全第一”的思维方式应该是网站开发过程至关重要的一部分。
5. 政府机构
图6.受到攻击方式top 5
回顾2017年的情况,我们可以看到,对政府网站的攻击中,最典型的主要是跨站脚本攻击和SQL注入。而2018年的情况是,这些攻击(以及获取服务器控制权的极端危险的远程代码执行尝试)依然很多,与此同时,我们也看到了许多旨在获取有关Web应用程序信息、继而造成信息泄露的攻击。有许多攻击者尝试访问.svn或.git目录,这些目录可能存储应用程序的当前源代码。而后,攻击者可以分析网站中的漏洞,这些漏洞通常是普通外部攻击者无法找到的。实际上,攻击者将有机会以其开发人员的方式查看网站,并看到开发人员可能犯的每一个错误。
6. 教育和科研机构
图7.教育和科研机构Web应用程序受到的攻击top 5
对教育和科研机构的攻击也符合本报告开头所述的总体趋势(见图1)。根据我们的2018年网络安全评估,我们注意到,黑客攻击这些网站的目标不仅仅是员工或学生的信息,还有即将到来的考试问题。此外,关于科学研究的宝贵数据也受到威胁。Web应用程序攻击是黑客五大常见攻击方法之一,在大学和其他教育机构网站受到的攻击中,使用该方法的攻击占总数的12%。在保护知识产权免遭盗窃时,应终将这种攻击考虑在内。
四 结论
SQL注入、路径遍历和跨站点脚本,这是三种最常见的攻击,同时也是最简单和最有效的。黑客不一定以获取特定网站的访问权为目标。他们越来越多地针对客户的个人和支付数据。我们还看到以传播恶意软件为目的的网站攻击,这使得黑客能够接触到更多的受害者并使用易受攻击的网站进行针对性攻击。
我们的结果证实,在所有行业中,任何公司的网站每天都面临着风险。为了保护资源、保护客户的声誉,公司必须采取措施进行防御和保护。我们对企业基础设施安全性的研究表明,黑客通常只需要一到两个漏洞就可以渗透内部网络,75%的渗透都是基于网站安全性的漏洞。
五 应对措施
1. 定期对Web应用程序进行安全评估,并修复发现的任何漏洞。白盒测试(当安全专家可以访问源代码时)能产生最佳结果。我们建议在站点开发生命周期的每个阶段都进行此测试,而非只在某一个阶段进行一次测试。
2. 使用Web应用程序防火墙(WAF)。即使应用程序包含漏洞,该软件也将保护Web应用程序。它还可以保护应用程序免受将来可能出现的新的威胁。在应用程序和业务逻辑层面,除了保护Web应用程序免受已知的攻击外WAF还可以检测到利用零日漏洞的尝试,防止对用户的攻击,以及分析和关联事件以构建攻击链。另一个有用的功能是与外部安全信息和事件管理(SIEM)系统的交互以及对网络级DDoS保护工具的通知。WAF可以与自动化源代码分析工具集成。
3. 建议网站全站采用HTTPS,有效应对反射型跨站攻击。定期更新服务端的操作系统、Web服务器软件或其他软件,对于高危安全漏洞要做及时防护处理。
4. 对于存在XSS漏洞的浏览器客户端,要提示或引导终端用户升级到新版本内核的浏览器,降低客户端风险。另外提示客户端安装防病毒查杀软件,防止恶意软件从客户端的侵入。
5. 记录并调查所有小事故,以便及时识别威胁源并最大限度地降低风险。
声明:本文来自360智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。