目前，利用攻擊軟件，攻擊者不需要對網(wǎng)絡(luò )協(xié)議有深入的理解，即可完成諸如更換Web網(wǎng)站主頁(yè)、盜取管理員密碼、破壞整個(gè)網(wǎng)站數據等攻擊。而這些攻擊過(guò)程中產(chǎn)生的網(wǎng)絡(luò )層數據，和正常數據沒(méi)有什么區別。

很多用戶(hù)認為，在網(wǎng)絡(luò )中不斷部署防火墻、入侵檢測系統(IDS)、人侵防御系統(IPS)等設備，可以提高網(wǎng)絡(luò )的安全性。但是為何基于應用的攻擊事件仍然不斷發(fā)生?其根本的原因在于傳統的網(wǎng)絡(luò )安全設備對于應用層的攻擊防范，作用十分有限。目前大多防火墻都是工作在網(wǎng)絡(luò )層，通過(guò)對網(wǎng)絡(luò )層的數據過(guò)濾(基于TCP/IP報文頭部的ACL)實(shí)現訪(fǎng)問(wèn)控制的功能；通過(guò)狀態(tài)防火墻保證內部網(wǎng)絡(luò )不會(huì )被外部網(wǎng)絡(luò )非法接人。所有的處理都是在網(wǎng)絡(luò )層，而應用層攻擊的特征在網(wǎng)絡(luò )層次上是無(wú)法檢測出來(lái)的。IDS、IPS通過(guò)使用深包檢測的技術(shù)檢查網(wǎng)絡(luò )數據中的應用層流量，與攻擊特征庫進(jìn)行匹配，從而識別出已知的網(wǎng)絡(luò )攻擊，達到對應用層攻擊的防護。但是對于未知攻擊和將來(lái)才會(huì )出現的攻擊，以及通過(guò)靈活編碼和報文分割來(lái)實(shí)現的應用層攻擊，DS和IPS不能有效防護。



常見(jiàn)的Web攻擊分為兩類(lèi):一是利用Web服務(wù)器的漏洞進(jìn)行攻擊，如CGI緩沖區溢出，目錄遍歷漏洞利用等攻擊；二是利用網(wǎng)頁(yè)自身的安全漏洞進(jìn)行攻擊，如SQL注人，跨站腳本攻擊等。

常見(jiàn)的針對Web應用的攻擊有:

堆棧中的惡意指令。緩沖區溢出一攻擊者 利用超出緩沖區大小的請求和構造的二進(jìn)制代碼讓服務(wù)器執行謚出Cookie假冒一精心修改Cookie數據進(jìn)行用戶(hù)假冒。認證逃避一攻擊者利用 不安全的證書(shū)和身份管理。

強制訪(fǎng)問(wèn)一訪(fǎng)問(wèn) 未授權的網(wǎng)頁(yè)。非法輸人一在動(dòng)態(tài)網(wǎng)頁(yè)的輸人中使用各種非法數據， 獲取服務(wù)器鍬感數據。

隱藏變量幕改一一對網(wǎng)頁(yè)中的隱藏變量進(jìn)行修改，欺騙服務(wù)器程序拒絕服務(wù)攻擊一構造大量的非法請求，使Web服務(wù)器不能響應正常用戶(hù)的訪(fǎng)問(wèn)。
 
跨站腳本攻擊一提交非法腳本， 其他用戶(hù)瀏覽時(shí)盜取用戶(hù)賬號等信息。SQL注人一構造 SQL代碼讓服務(wù)器執行，獲取敏感數據。下面列舉簡(jiǎn)單的兩個(gè)攻擊手段進(jìn)行說(shuō)明。SQL注入:

對于和后臺數據庫產(chǎn)生交互的網(wǎng)頁(yè)，如果沒(méi)有對用戶(hù)輸人數據的合法性進(jìn)行全面的判斷，就會(huì )使應用程序存在安全隱患。用戶(hù)可以在提交正常數據的URL或者表單輸人框中提交-段精心構造的數據庫查詢(xún)代碼，使后臺應用執行攻擊者的SQL代碼，攻擊者根據程序返回的結果，獲得某些他想知道的敏感數據，如管理員密碼，保密商業(yè)資料等。
 
跨站腳本攻擊:

由于網(wǎng)頁(yè)可以包含由服務(wù)器生成的、并且由客戶(hù)機瀏覽器解釋的文本和HTML標記。如果不可信的內容被引人到動(dòng)態(tài)頁(yè)面中，則無(wú)論是網(wǎng)站還是客戶(hù)機都沒(méi)有足夠的信息識別這種情況并采取保護措施。攻擊者如果知道某一網(wǎng)站 上的應用程序接收跨站點(diǎn)腳 本的提交，他就可以在網(wǎng)上上提交能夠完成攻擊的腳本，如JavaScript. VBScript、 ActiveX、HTML或Flash等內容，普通用戶(hù)一旦點(diǎn)擊了網(wǎng)頁(yè)上這些攻擊者提交的腳本，那么就會(huì )在用戶(hù)客戶(hù)機上執行，完成從截獲賬戶(hù)、更改用戶(hù)設置、竊取和篡改Cookie到虛假廣告在內的種種攻擊行為。

隨著(zhù)攻擊網(wǎng)站制作應用層發(fā)展，傳統網(wǎng)絡(luò )安全設備不能有效解決目前的安全威脅，網(wǎng)絡(luò )中的應用部署面臨的安全問(wèn)題必須通過(guò)一一種全新設計的安全防火墻-一應用防火墻來(lái)解決。應用防火墻通過(guò)執行應用會(huì )話(huà)內部的請求來(lái)處理應用層。應用防火墻專(zhuān)門(mén)保護Web應用通信流和所有相關(guān)的應用資源免受利用Web協(xié)議發(fā)動(dòng)的攻擊。應用防火墻可以阻止將應用行為用于惡意目的的瀏覽器和HTTP攻擊。這些攻擊包括利用特殊字符或通配符修改數據的數據攻擊，設法得到命令串或邏輯語(yǔ)句的邏輯內容攻擊，以及以賬戶(hù)、文件或主機為主要目標的目標攻擊。