WEB应用安全危机四伏 WAF探索新通途

一. WEB应用安全危机四伏

随着互联网技术与应用的不断发展，新的互联网业务增长点与商业模式不断产生，并深入到社会经济、政治等各个层面。随之产生的不仅仅是价值，还有众多的安全威胁，承载在新兴应用和技术上的攻击不断涌现。Web应用极为丰富的今天，Web服务器以其强大的计算能力和处理性能及所蕴含的高昂价值，成为被攻击的主要目标。走在信息化与互联网经济前沿的政府、企业、IDC等组织面临着各种针对Web的安全问题：

网页篡改：根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)2007年上半年的工作报告显示，网站漏洞百出，被篡改的大陆网站数量明显上升，总数达到28367个，比去年全年增加近16%。

拒绝服务攻击：针对Web应用的分布式拒绝服务(Distributed Denial of Service，以下简称：DDoS)攻击问题也相当严重。对中小企业，尤其是以网络为核心业务的企业，攻击者往往采用有组织的DDoS攻击等手段进行勒索，迫使企业接受相应条件，严重影响企业正常业务的开展。

SQL注入、跨站脚本漏洞：信息安全国际权威机构SANS 2007年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，最广为攻击者利用的漏洞为SQL注入及跨站脚本。其中，SQL注入漏洞通常为攻击者利用，用于读取、创建、更新或是删除应用程序中的任意数据，最为糟糕的情况下，攻击者可能获得整个数据库系统的完全控制权;跨站脚本，即XSS(Cross-Site Scripting)，允许攻击者在受害者的浏览器中执行脚本，从而劫持用户会话、篡改Web站点、插入恶意内容、实施钓鱼攻击等。

常见的蠕虫、黑客攻击

由这些安全问题，进一步衍生出维护、管理问题：

内部维护人员疲于补救Web应用安全漏洞

需要付出高昂成本以获取第三方服务：应急响应、安全加固、渗透测试

随着攻击者知识的日趋成熟，针对Web应用的攻击工具与手法日趋复杂多样。传统的边界安全设备，如防火墙，局限于自身的检测机制和防护深度，已经不能满足日益发展的Web应用防护的全部需求。