专题｜应用安全

“当今的软件开发正飞速发展。微服务驱动的架构，容器和云原生应用程序正在改变开发人员构建，测试和部署代码的方式。如果没有更好的测试，集成和日常开发人员培训，组织将面临重大的漏洞威胁，”Veracode的CTO Chris Wysopal说道。

报告主要发现：

● 60％的企业和组织报告说，过去12个月中，其生产应用程序遭遇了OWASP十大漏洞利用。同样，70%的应用程序在初始扫描时在开源库中存在安全漏洞。

● 开发人员缺乏有关如何缓解问题的知识是AppSec面临的最大挑战。53％的组织每年仅为开发人员提供一次或更少的安全培训。数据显示，扫描频率最高的前1％应用程序的安全漏洞数量是扫描频率最低的应用程序的五分之一，这意味着频繁扫描有助于开发人员发现并修复缺陷，从而大大降低组织的风险。

● 43％的人认为DevOps集成是改进应用安全计划的最重要方面。

● 84％的用户报告由于过多的应用安全工具而面临挑战，导致DevOps集成变得困难。43％的公司报告说他们正在使用11-20个应用安全工具，而22％的公司说他们正在使用21-50个应用安全工具。

根据ESG的相关报告，最高效的应用安全流程一般具备以下几个关键组成部分和特征：

● 应用程序安全性已高度集成到CI/CD工具链中

● 持续的针对开发人员的定制化的应用安全培训

● 跟踪各个开发团队中的持续改进指标

● 开发经理正在共享应用最佳实践

● 分析跟踪应用安全程序的进度并向管理者提供数据报告

爬虫，即网络爬虫，是一种依赖HTTP协议自动获取网页内容的程序，主要通过程序构造的HTTP请求报文按照一定频率、策略对网站发起内容请求，并根据网站的HTTP响应报文内容获取需要的数据，是目前各大搜索引擎公司、企业采集各项数据必不可少的一种Web应用技术手段。

据统计，互联网中约有50%的流量来自爬虫行为，爬虫本身其实是一种“中立”的Web应用技术，然而却随着爬虫与反爬技术的不断发展、应用场景的逐渐增多，某些企业、黑客开始使用爬虫进行不当的网站内容爬取，包括目前众所周知的网络刷票等问题，使得被爬网站的网络带宽资源、计算性能资源、业务数据资源受到了严重的影响。

近年来，爬虫与反爬技术不断博弈与对抗，反爬手段随着爬虫手段策略的变化，从最早的简单频率、UA、IP识别，到中期的通过登录、业务逻辑等手段限制，到现在通过复杂图形、逻辑验证、动态数据加载等方法，已经历经变化，成为了该领域的热门话题。

越来越多的企业采取云WAF服务来保护自己的业务安全，未来应用安全的发展趋势：云WAF将替代物理设备成为主流。云WAF支持，虚拟化部署，兼容主流的虚拟化环境及云平台，通过内置Agent实现自动化部署；提供RestAPI接口以实现安全功能的编排和管理，并且支持网卡热插拔、SR-IOV和弹性扩容，为用户提供可编排、可扩展的安全防护能力。

网页遭篡改攻击事件具有以下特点：遭篡改的网站页面传播速度快、阅读人群多，复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂，难以追查责任。另外，攻击工具泛滥且向智能化、自动化趋势发展，据不完全统计，我国98%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，尤其是政府、金融类网站最易成为攻击目标

owasp top10漏洞，典型的如SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

跨站脚本攻击XSS，跨站脚本攻击的英文全称是Cross Site Script，为了和样式表区分，缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上，在这个过程中可能有恶意代码被浏览器执行。跨站脚本攻击,它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

绝大多数的网上业务欺诈行为，通常具有“总量大但每笔经济价值小”的特点，因而不管是爬虫、撞 库、假账户、还是薅羊毛，常见的都是由机器人（爬虫）发出而不是由真人点击。由于网站通常都会对流量 异常的IP地址进行限制，专业爬虫一般都会通过使用代理服务器，或拨号获取不同IP的办法，伪装成不同的用户，从而绕过基于IP访问的检测。

随着云计算、NFV、虚拟化技术的高速发展，越来越多的应用与用户业务 运行在云计算环境中，但随之而来的安全防护问题却使传统的网络安全架构无法有效应对。

Web应用弱点扫描器在基础漏洞扫描功能之上还基于各类应用场景进行了大量的技术自主创新，首先考虑到扫描技术对Web应用本身带来的性能消耗与安全影响，所以扫描器具备重链过滤、发包速率控制、扫描范围及深度控制、多引擎集群多任务并发扫描等功能，帮助扫描器自身及扫描靶机节省计算及带宽资源，原创的扫描沙箱技术，也能进行扫描取证回滚，保证用户生产环境下做到无痕无伤取证检测。除了扫描标准的SQL注入、CMS、中间件等漏洞之外，还能根据扫描的数据反馈结果发现iframe、CSS、JS、SWF等主流挂马方式，从而进行网站挂马识别。在场景设计上，还充分考虑率HTTPS、登陆限制等场景，能够支持SSL协议网站并支持登陆行为录制，贴近用户使用行为，拓展网站扫描空间。最终，通过扫描结果生成各类合规性报告，更加直观的帮助网站安全管理人员了解Web应用的合规匹配情况与漏洞详细取证信息。

OWASP TOP10 是长期以来经过验证的、对 Web 业务影响最严重的十项安全风险，是 Web 安全开发的重要参考。山石网科 WAF 采用深层代理、应用漏洞扫描、日志聚合、智能自学习等多项领先技术，提供完整的 OWASP 风险减缓及消除方案。对于 2017 年新增的 XML外部实体、不安全的反序列化、不足的日志记录和审计三项风险，也可以进行应对。

对于 SQL 注入、跨站脚本攻击等主流的应用层攻击，基于黑名单的检测方式无法发现特征不明确的攻击行为，而且容易出现误报。另一种检测思路是采用白名单的检测机制，即对网站的流量进行学习并建立流量模型，后续发现同正常访问行为违背的流量则认为是异常流量。

做好代码安全防护首先要保证开发环境的安全性，尽量使用官方渠道下载的开发工具进行开发。知名的苹果“Xcode后门”事件就是由于部分开发者使用了第三方Xcode编译器进行开发，导致大量应用感染了XcodeGhost病毒，上亿用户隐私受到威胁。

开发者应避免硬编码中出现关键数据，如加密密钥和敏感信息等，从而避免被黑客攻击。例如，某互联网金融APP在开发过程中将加密算法的密钥直接硬编码，最终导致了用户敏感信息泄露。

日志分析是黑客常用的攻击手段之一，因此应用有必要建立统一的日志管理接口，避免在日志中记录敏感信息，应用发布之前，应关闭调试接口和调试日志，从而提升代码安全性。

在应用开发时，常常会调用系统API，为了提高安全性，应使用官方推荐版本的API接口，不使用系统废弃和隐藏的API，并多关注系统API变更，及时调整代码，避免出现应用兼容性和安全性问题。

在应用开发过程中，可能涉及到与不同业务和产品的交互，为了避免交互过程中存在的漏洞，应用应对关键操作进行身份校验和权限检查，提升代码安全性。比如通过签名判断安装包和进程是否合法。

在开发过程中，可能会引用一些开源的三方代码，对于引用的三方代码，开发者应采用以下安全措施来保证应用的安全性：

代码评估，来源可靠性评估、代码质量评估、潜在安全风险评估。

权限控制，确认引入代码所需使用的权限最小化。

更新维护，关注代码的安全动态和版本更新情况，及时修复安全问题，更新代码。

安全保护，对引入的代码进行混淆，防止攻击者针对性的攻击。

除了从逻辑上提升代码的安全性，我们还可以通过代码混淆和加固保护的方式对代码进行安全防护，提高攻击者代码分析难度。

产品概述：

奇安信代码卫士（简称：代码卫士）是一款静态应用程序安全测试系统，该系统提供了一套企业级源代码缺陷分析、源代码缺陷审计、源代码缺陷修复跟踪的解决方案。在不改变企业现有开发测试流程的前提下，代码卫士与软件版本管理、持续集成、Bug跟踪等系统进行集成，将源代码安全检测融入企业开发测试流程中，实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能，帮助企业以最小代价建立代码安全保障体系并落地实施。

产品/技术优势：

1、成熟的商用产品

代码卫士核心团队在程序分析领域专注10年，技术完全自主研发，是国内成熟的商用源代码缺陷分析产品，首批通过公安部信息安全产品检测的源代码缺陷分析产品。

2、基于多年漏洞研究积累，形成丰富的源代码检测规则

代码卫士团队具有技术精湛的软件漏洞分析能力，帮助微软、苹果、Google、Oracle、Cisco、SAP、Adobe、Facebook、IBM、Linux内核组织、Apache基金会、华为、阿里等企业或开源组织修复300多个软件安全缺陷和漏洞。代码卫士团队在多年漏洞研究积累基础上，形成了丰富的源代码检测规则。

3、专业的原厂技术支持和服务

依托奇安信集团强大的产品交付和安全服务体系，可为用户提供多元化、专业化的原厂技术支持和服务，包括安全开发咨询/培训、源代码缺陷检测和审计、企业定制化开发等。

产品概述：

天融信Web应用安全防护系统是天融信凭借多年的网络安全研究经验开发的具有完全自主知识产权的一款专门为Web应用提供防护的安全产品，内置上千条由天融信阿尔法攻防实验室提供的安全规则，对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤，有效防护诸如SQL注入攻击、XSS、CSRF、信息泄露等OWASP TOP10内容以及其他针对Web站点的攻击行为。是适用于政府、企业、高校以及运营商的可信的防御Web威胁的安全产品。

产品/技术优势：

1、先进的全透明检测架构

TopWAF产品具备先进的全透明检测架构，不管是网络层还是业务层都感受不到TopWAF产品的存在，极大的简化了用户的部署。

2、全面的攻击防御能力

TopWAF产品提供传统的基于规则的检测和主动防御两个引擎。基于规则的保护是信息安全产品最主流的防护方法，对于大量的已知攻击可以提供精确的、细致的防护。除了基于规则的检测方法，TopWAF产品还具备基于自学习建模的主动防御引擎。

3、有效的缓解拒绝服务攻击

TopWAF产品整合了天融信公司积累的DDoS防御能力，采用分层的立体防御和业界领先的源信誉检测机制，可以有效的缓解syn flood攻击、CC攻击、slowheader、slowpost等拒绝服务攻击。

4、良好的用户体验

TopWAF产品为不同类型的用户提供了内置的策略模版，极大的简化了设备上线后的配置过程。对于富有经验的管理员，模版化安全策略又拥有极强的弹性。

5、高可用性

TopWAF产品采用双引擎设计，主检测引擎和影子检测引擎不仅功能完全相同，且均处于运行态，即只要有数据报文传送就可以进行攻击检测。

产品概述：

山石网科虚拟化 Web 应用防火墙（以下简称：山石网科 vWAF） 是新一代专业 Web 应用安全防护产品，专注于为网站及 Web 应用系统提供专 业的应用层深度防御，帮助用户满足如网络安全法、信息安全等级保护等政策 法规的建设要求，提高 Web 业务系统的安全性和健壮性。

产品及技术优势：

山石网科vWAF以虚拟机形态在VMWARE,KVM,OPENSTACK 等虚拟化环境中部署，提供同物理机同样力度的防护能力。无缝对接山石网科授权管理系统（LMS），实现对授权的自动分发和管理适用于云计算环境。山石网科 vWAF 具备快速部署能力，既可为公有云租户提供安全防护，又可为中小企业私有云 用户提供高性价比的防护方案，能够降低客户初始采购和管理维护成本。

山石网科 Web 应用防火墙集成了 Web 应用漏洞扫描功能，可以定期对网站和应用系统进行扫描，发现漏洞并提醒用户进行修复。山石网科 Web 应用防火墙同时还支持智能虚拟补丁功能，对存在漏洞的 URL 页面进行针对性防护，将针对漏洞的利用行为拦截。虚拟补丁对于一些老旧应用系统来说特别适用，这些应用可能采用了比较老的操作系统、Web 应用程序，存在的漏洞比较多。针对服务器的修复时间较长会影响业务，采用虚拟补丁则可快速提供保护。

产品/方案概述

Testin云测专注于移动应用的安全研究，同时其服务和产品又不限于移动安全领域。目前在已形成的一站式移动应用安全服务体系基础上，通过集成来自不同厂家的安全产品和服务，覆盖从App到web，H5，以及公众号和小程序等多种形态的应用。

产品/技术优势：

1、侦测系统隐患，保障应用安全

通过源代码审计、自动化安全扫描和人工渗透测试对移动应用进行全面检测，挖掘出系统源码中可能存在的安全风险、漏洞等问题，帮助企业了解并提高其应用开发程序的安全性，有效预防可能存在的安全风险。

2、专业安全防线，抵御风险威胁

针对移动应用普遍存在的破解、篡改、盗版、调试、数据窃取等各类安全风险提供的有效的安全防护手段，移动应用安全加固技术主要包含防逆向、防篡改、防调试及防窃取这四大方面，不仅保护了 APP 自身安全，同时对 APP 的运行环境及业务场景提供了保护。

3、专家诊断业务，提供专业咨询服务

安全领域 20 年从业经验的专家带队，依照国际、国内以及行业标准，提供战略、技术层面的安全咨询服务;依照国家及行业标准，检测信息系统密码应用的合规性、正确性以及有效性;提供 定级备案、测评、整改以及培训等服务，以确保重要的信息系统符合国家和行业关于信息安全等级保护的监管要求。

4、实时风险感知，智能安全防护

通过对全网渠道的各类 APP 进行盗版仿冒、恶意违规等方面的监测，分析监测收集的数据，精确识别出有问题的应用，提供风险分析及侵权应用下架服务;依照网信体系对文字、图片、视频等要求，监测应用、小程序中的敏感内容，帮助企业规避不良内 容带来的风险。

产品概述：

绿盟网页防篡改系统，是绿盟科技在充分研究网站安全发展趋势及安全运营特点的基础上，精心研发的一款具备更高的安全性，更好的适配性、易用性、易扩展性，同时支持本地、云端安全运营和高效运维的新一代网站防篡改系统。

产品/技术优势：

● 先进、高性能的技术架构

● 实时、精准的检测和阻断能力

● 统一、高效的集中管控

● 简单、便捷的安装和配置

● 灵活、弹性可扩展的授权和防护

● 精细化、多层级的分权分域

● 丰富、多维度的报表与审计

● 全面、双栈IPv6/IPv4支持

产品概述：

中科神威万兆防火墙NSFW-12000（FB）由中科网威自主设计研发，CPU采用飞腾FT-1500A/16核国产处理器，该处理器采用28nm工艺，集成16个FTC660处理器核，工作主频1.5GHZ，集成8MB二级cache和8MB三级cache，集成2个千兆以太网接口。中科神威万兆防火墙NSFW-12000（FB）整机吞吐量可达320G，最大并发连接数可达1600万，产品集成包过滤访问控制、应用层安全防护、入侵防护、病毒查杀、异常协议识别、安全可视化、一体化引擎、VPN、负载均衡等功能模块。

产品/技术优势：

1、产品覆盖万兆网络、千兆网络，支持多链路、复杂业务、多并发连接数、高新建连接速率等业务场景。

2、产品支持2-4、4-7层安全防护，支持IPS模块、应用协议识别模块、DOS/DDOS、VPN模块，用户可按需选择使用。

专注典型行业用户特点，提供定制化业务应用。例如支持军队的集中安全管理监控审计、支持电网的安管/监控平台管理、支持视频业务的H.323VOIPSIPV2V识别防控。

产品概述：

长亭雷池（SafeLine）下一代Web应用防火墙创新性以“智能语义分析算法”解决Web攻击识别问题，智能自主识别攻击行为，结合学习模型，不断增强和完善智能分析能力，不依赖传统的规则库即可满足用户日常安全防护需求。其通过对Web请求和返回内容进行智能分析，使WAF具备智能判断攻击威胁的能力。智能语义分析算法由词法分析、语法分析、语义分析和威胁模型匹配等组成。

产品/技术优势：

● 满足不同行业的业务需求

● 弹性扩展适配新型应用场景

● 满足中国特色云化需求

● 0day漏洞防护能力

● 简易上手、快速部署、综合联动

产品概述：

优炫RS-CDPS通过安装在服务器的安全内核保护服务器数据。它在操作系统的安全功能之上提供了一个安全保护层，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它不用更改操作系统就可以安装，操作方便，宜于系统管理和安全管理。适用于各种应用服务器、KMS服务器、数据库服务器、群件服务器、文件服务器等，以及其他需要安全保护的系统。

产品/技术优势

1、 多系统跨平台统一管理，提升效率：管理员可以在任何地方通过Web网页访问管理端，对多个不同操作系统的被保护的服务器进行统一灵活的安全管理。既可以对多台终端统一分发相同的安全策略，也可以针对某一终端单独发放安全策略。

2、 在操作系统内核层上实现内网核心安全：从根本上解决因操作系统漏洞带来的隐患。

3、 升整体防御能力：通过主动防御和防网络攻击等功能弥补了传统安全产品的不足，避免出现信息安全的短板效应。

4、 权限分离：收回超级用户的超级权限，实现系统资源强制访问控制，由管理端对代理端进行统一管理，不允许在代理端进行用户管理和文件权限设置。

5、 其他优势：在系统安全性考虑上，该方案通过软件登录认证、日志审计、系统操作权限最小化控制、强密码访问控制、基于Open-SSL协议库的通信加密、软件开机自保护等安全机制来提升系统自身的安全性。