企业安全体系建设之路之Web安全篇

目前的网络攻击主要还是以WEB攻击为主流，毕竟这是与外界沟通获取知识和了解世界的主要桥梁。

目前随着各大企业对安全的重视，Web的攻击成本逐渐高于了防御成本，导致业务中Web安全漏洞的逐渐减少，甚至常规漏洞的消亡。当然，一个漏洞的消亡必会有新的漏洞或者攻击手法的出现，攻击的入门门槛随之而然逐渐的提高。攻防只有前进，没有倒退，即使目前Web安全的攻击成本高于防御成本，防御Web攻击的软件再多，我们也不能放松每一个防御点。

Web攻击现状

DDoS攻击和Web应用攻击是当今互联网面临的较为突出的两大安全威胁，DDoS是非漏洞型攻击，我们暂且不谈。Web应用攻击占了网络攻击的主流，由于其地位，这是事实。由于目前国内某些原因，导致以前以技术为主导的现状不在，现在相对于过去封闭，当前往往一个新的攻击手法出现，很长时间都没有人知道，只在某一小圈子里流传。所以在Web防御逐渐完善的过程中，我们可以感觉的到，渗透一个网站越来越吃力，而是Web这个东西，目前已知的漏洞挖掘方向点就那么多，针对这些漏洞点的防御软件又多如牛毛，防御者把这些走已知常规漏洞路给堵死了，一般的攻击者可能无能为力，但是对于一些高水平的攻击者来说，也许并不是无路可走。

所以，依照现状来看，目前的Web漏洞利用走向开始往逻辑漏洞方面走，如黑产最喜欢的薅羊毛就是一个例子，现在想要拿到Web站点服务器系统权限不容易，不过利用逻辑漏洞拿到用户数据信息倒是不难。目前常规的攻击手法已很难能够攻破防护做的比较好的企业，所以，为了了解最新攻击技术或漏洞，我们需要搭建蜜罐系统来捕获攻击样本，获取自家产品的0day漏洞或更新现有落后技术。

常见漏洞防护

一些常规的漏洞防护就不说了，防护的软件已经有很多了，漏洞扫描器都可以扫出来，扫不出来的，好一点的防护软件也是可以识别的。按道理来讲，我们应用部署安全监控软件是可以防护常见漏洞的，当然，我们企业自身也可以通过漏洞攻击指纹进行攻击特征识别，攻击者绕过防护软件进行攻击这个也是我们防护不了的也是不可避免的，只要按照标准化安全编程手册，出现常规漏洞的点会很少，至少显性漏洞不可见。这里主要讲讲逻辑漏洞问题。

逻辑问题层出不穷，其他的常规漏洞防范已经有了规范化流程，而逻辑漏洞到目前还没有一个流程化的防护方案，因为其特殊性，所以我们也得特殊对待。

逻辑漏洞常出现在用户交互和信息展示之处，当然还有与系统进行交互的地方，下面列几点

验证码

验证码是我们常见的一种应对暴力攻击的方式之一，主要是为了区分人和非人的产物，验证码经历了多次改版，几乎每个网站的验证码都不尽相同，验证码在应对绕过和攻击识别时变得越来越复杂，用户体验也越来越不好。

拿以前的12306的验证码为例。

请点击下面所有的熟鸡蛋，鬼都不知道哪个鸡蛋是熟鸡蛋，怎么猜?

当然了，这个只是个笑话，但是也恰恰说明了问题，我们不仅要做好验证码，而且还要让用户不感到体验效果差。

验证码经过了长期的变化，目前主要分为以下这几类，我们来了解下

静态验证码

此类验证码是比较古老的，应该说是最初的验证码了，静态验证码从以前的文本型过度到了现在的图片型，虽然目前静态验证码加了很多抗干扰加花等等操作，但是目前能够识别静态验证码的手段还是很多的，大多数的静态验证码比较容易被ocr软件识别，通过打码平台等，还有就是当前火热的机器学习，通过训练机器，其静态验证码的识别率可以达到80%以上，所以现在很多站点都开始弃用此类验证码了

Gif动画验证码

有的网站提供GIF动态的验证码图片，由于在Gif验证码中，有多个验证码图层，这些都是随机的，使得识别器不容易辨识哪一个图层是真正的验证码图片，可以更有效得防止识别器的识别。但是也是有弊端的，Gif在显示的最后都会暂停供用户识别，只要识别出最后暂停的那张图层，就可以像识别静态验证码那样识别Gif验证码了。

手机短信验证码

手机验证码是通过发送验证码到手机，这个是比较好的验证手段，目前使用这类验证码的站点还是很多的。

手机语音验证码

这个验证码的成本比较高，一般用于金融等站点的验证码，不过效果还是很好的。

视频验证码

视频验证码中随机组合而成的验证码动态嵌入到MP4，flv等格式的视频中，增大了破解难度。验证码视频动态变换，随机响应，可以有效防范字典攻击、穷举攻击等攻击行为。攻击者可以通过抓屏的方式进行识别，但是效果不是很好。

滑动验证码

这种验证码是最近几年流行起来的，这个验证码需要与用户进行交互，采用拼图或滑动左右模式进行验证。应对此类验证码攻击者一般是通过网站的验证码接口找突破，或者采用如鼠标模拟等操作进行验证码识别。

点击验证码

此类验证码一般是给出一张图片让用户进行识别，如12306的验证码识别。应对此类验证码攻击者一样可以通过鼠标模拟等操作进行验证码识别。

智力验证码

顾名思义就是，给用户出一道题，让用户把答案算出来进行验证。此类验证也是存在一定的弊端的，因为验证码大多数是以图片的形式出现的，而相对于比较低级的算数题类验证码，攻击者可以用静态验证码识别的手段进行问题提取，继而进行算数运算，从而达到识别此类验证码的目的。

交互验证码

此类验证应该算是目前前端验证码验证比较安全的验证码了。

在有客户端的站点上应用比较广泛，首先要登录站点，需要客户端进行授权，如扫码登录，客户端验证后，服务端把登录信息发送前端进行登录操作。

当然还有其他的验证码验证手段，这里就不一一介绍了，具体使用什么验证码还得看站点的特性和业务的类型，没全有最好最安全的验证码，只有最适合的验证码。

交互逻辑

交互逻辑漏洞虽然不像常规漏洞那么厉害，可以直接拿下系统权限，但是给企业造成的损失却是很大的。我们经常可以看到一些新闻，说某某网站由于出现支付漏洞，导致损失多少钱。因为逻辑漏洞是不可避免的，它不像常规漏洞可以容易的被漏洞扫描器扫出，它更多的是需要测试人员代码审计或黑盒测试找出。所以这个交互逻辑漏洞也是比较难以防控的一个点。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!