IP地址过滤与web应用程序安全

Question

我们在防火墙后面有一个不需要用户身份验证的web应用程序。

如果我们打开通过防火墙访问此应用程序的IP地址列表，其他主机未经授权的访问风险有多大？

防火墙后面的web服务器和其他主机是否存在风险？

如果有风险，还能做些什么来最小化风险？

Answer 1

如果您只使用IP身份验证，攻击者仍然可以通过对防火墙允许访问应用程序的主机进行枢轴攻击来使用web应用程序。

例如，假设您的应用程序位于内部网(http://192.168.0.5)，其中一个客户端(192.168.0.100)正在浏览internet并访问一个恶意网页，该网页进行内联网指纹识别，通过受害者(192.168.0.100)浏览器请求http://192.168.0.x/ (x=0..255) URL，从而有效地找到端口80的IP并向攻击者报告。攻击者可以这样做，例如，使用牛肉框架。稍后，攻击者可以像使用代理一样使用受害者浏览器向目标应用程序(http://192.168.0.5)发出请求。甚至还有一个框架来检测您在intranet中安装了哪些类型的软件--例如洋子。使用这些将使进一步的攻击更容易。

当然，攻击者也可以在其中一个客户端上攻击OS (例如，使用鱼叉式钓鱼或按下载驱动攻击)，因此他有更多的可能性攻击intranet应用程序，并且不受相同的原产地策略的限制。

如果您只允许同一子网中的某些主机访问应用程序(而其他主机被拒绝访问)，则内部攻击者具有更多的可能性，因为他有更多的知识(例如，他可能知道应用程序的确切URL，它的版本号)，并且位于同一网络中，因此他可以尝试ARP欺骗攻击来劫持应用程序和一个允许的客户端之间的通信。

我建议只在SSL上托管应用程序(以防止中间人参与)并添加登录/密码身份验证(无论是基于cookie的身份验证还是简单的HTTP身份验证)。