那麼,為什麼普通防火牆阻止不了這類攻擊呢?因為這類攻擊偽裝成正常流量,沒有特別大的數據包,地址和內容也沒有可疑的不相配,所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊(SQL injection)。在這種攻擊中,黑客利用你自己的其中一張HTML表單,未經授權就查詢數據庫。另一種威脅就是命令執行。只要Web應用把命令發送到外殼程序,狡猾的黑客就可以在服務器上隨意執行命令。
另一些攻擊比較簡單。譬如說,HTML注釋裡面往往含有敏感信息,包括不謹慎的編程人員留下的登錄信息。於是,針對應用層的攻擊手段,從篡改cookies到更改HTML表單裡面的隱藏字段,完全取決於黑客的想象力。不過好消息是,大多數這類攻擊是完全可以阻止的。
如果結合使用,兩種互為補充的方案可以提供穩固防線。首先,使用應用掃描器徹底掃描你的Web應用,查找漏洞。然後,使用Web應用防火牆阻止不法分子闖入。
應用掃描器基本上可以對你的服務器發動一系列模擬攻擊,然後匯報結果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在詳細列出缺陷、建議補救方法方面的功能都相當全面。AppScan Audit尤其值得關注,因為這款產品具有事後檢查功能,可以幫助編程人員在編制代碼時就查出漏洞。不過,這些工具包沒有一款比得上安全專業人士的全面審查。
一旦你設法堵住了漏洞,接下來就是部署Web應用防火牆。這類防火牆的工作方式很有意思:弄清楚進出應用的正常流量的樣子,然後查出不正常流量。為此,Web應用防火牆必須比普通防火牆更深層地檢查數據包。Check Point在這方面最出名,不過KaVaDo、NetContinuum、Sanctum和Teros等其它廠商的名氣相對要小。這類防火牆有的采用軟件,有的采用硬件,還有一些則兼而有之。不過別誤以為這類防火牆是即插即用的,即便采用硬件的也不能。與入侵檢測系統一樣,你也要認真調整Web應用防火牆,以減少誤報,又不讓攻擊潛入進來。
由於垃圾郵件以及越來越狡猾的攻擊,如果您以為安裝防火牆就萬事大吉,高枕無憂的話,您就應該好好想想上面所說您該如何應對。
