Web應用安全
Web應用安全
Web應用是由動態腳本、編譯過的代碼等組合而成。它通常架設在Web伺服器上,用戶在Web瀏覽器上發送請求,這些請求使用HTTP協議,經過網際網路和企業的Web應用交互,由Web應用和企業後台的資料庫及其他動態內容通信。
儘管不同的企業會有不同的 Web 環境搭建方式,一個典型的 Web 應用通常是標準的三層架構模型。
由於網路技術日趨成熟,黑客們也將注意力從以往對網路伺服器的攻擊逐步轉移到了對Web應用的攻擊上。根據Gartner的最新調查,信息安全攻擊有75%都是發生在Web應用而非網路層面上。同時,數據也顯示,三分之二的Web站點都相當脆弱,易受攻擊。然而現實確是,絕大多數企業將大量的投資花費在網路和伺服器的安全上,沒有從真正意義上保證Web應用本身的安全,給黑客以可乘之機。
當討論起Web應用安全,我們經常會聽到這樣的回答:
“我們使用了防火牆”、“我們使用了網路脆弱掃描工具”、“我們使用了SSL 技術”、“我們每個季度都會進行滲透測試”……所以,“我們的應用是安全的”。現實真是如此嗎?讓我們一起來看一下 Web 應用安全的全景圖。
信息安全全景
在企業 Web 應用的各個層面,都會使用不同的技術來確保安全性。為了保護客戶端機器的安全,用戶會安裝防病毒軟體;為了保證用戶數據傳輸到企業 Web 伺服器的傳輸安全,通信層通常會使用 SSL(安全套接層)技術加密數據;企業會使用防火牆和IDS(入侵診斷系統)/IPS(入侵防禦系統)來保證僅允許特定的訪問,不必要暴露的埠和非法的訪問,在這裡都會被阻止;即使有防火牆,企業依然會使用身份認證機制授權用戶訪問 Web 應用。
但是,即便有防病毒保護、防火牆和 IDS/IPS,企業仍然不得不允許一部分的通訊經過防火牆,畢竟 Web 應用的目的是為用戶提供服務,保護措施可以關閉不必要暴露的埠,但是 Web 應用必須的80 和 443 埠,是一定要開放的。可以順利通過的這部分通訊,可能是善意的,也可能是惡意的,很難辨別。這裡需要注意的是,Web 應用是由軟體構成的,那麼,它一定會包含缺陷(bugs),這些 bug 就可以被惡意的用戶利用,他們通過執行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 應用中的重要信息。
因此可以看出,企業的回答,並不能真正保證企業的應用安全:
a.網路脆弱性掃描工具,由於它僅僅用來分析網路層面的漏洞,不了解應用本身,所以不能徹底提高Web應用安全性;
b.防火牆可以阻止對重要埠的訪問,但是 80 和 443 埠始終要開放,我們無法判斷這兩個埠中通訊數據是善意的訪問還是惡意的攻擊;
c.SSL 可以加密數據,但是它僅僅保護了在傳輸過程中數據的安全性,並沒有保護Web應用本身;
d.每個季度的滲透測試,無法滿足處於不斷變更之中的應用。
只要訪問可以順利通過企業的防火牆,Web應用就毫無保留的呈現在用戶面前。只有加強Web應用自身的安全,才是真正的Web應用安全解決之道。
億思網站安全檢測平台,能夠掃描出網站的漏洞和安全隱患!
國內首創全透明部署WEB應用安全網關,安恆明御WEB應用防火牆
WebSOC知道網站安全監控系統,知道創宇旗下Web應用安全監控工具
KS—WAF知道網站統一防護系統,知道創宇旗下Web應用安全防護工具
