-
Web應用安全
鎖定
Web應用是由動態腳本、編譯過的代碼等組合而成。它通常架設在Web服務器上,用户在Web瀏覽器上發送請求,這些請求使用HTTP協議,經過因特網和企業的Web應用交互,由Web應用和企業後台的數據庫及其他動態內容通信。
儘管不同的企業會有不同的 Web 環境搭建方式,一個典型的 Web 應用通常是標準的三層架構模型。
由於網絡技術日趨成熟,黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上。根據Gartner的最新調查,信息安全攻擊有75%都是發生在Web應用而非網絡層面上。同時,數據也顯示,三分之二的Web站點都相當脆弱,易受攻擊。然而現實確是,絕大多數企業將大量的投資花費在網絡和服務器的安全上,沒有從真正意義上保證Web應用本身的安全,給黑客以可乘之機。
- 中文名
- Web應用安全
- 組 成
- 動態腳本、編譯過的代碼
- 搭建方式
- 三層架構模型
- 架 設
- Web服務器上
Web應用安全安全全景
當討論起Web應用安全,我們經常會聽到這樣的回答:
“我們使用了防火牆”、“我們使用了網絡脆弱掃描工具”、“我們使用了 SSL 技術”、“我們每個季度都會進行滲透測試”……所以,“我們的應用是安全的”。現實真是如此嗎?讓我們一起來看一下 Web 應用安全的全景圖。
在企業 Web 應用的各個層面,都會使用不同的技術來確保安全性。為了保護客户端機器的安全,用户會安裝防病毒軟件;為了保證用户數據傳輸到企業 Web 服務器的傳輸安全,通信層通常會使用 SSL(安全套接層)技術加密數據;企業會使用防火牆和 IDS(入侵診斷系統)/IPS(入侵防禦系統)來保證僅允許特定的訪問,不必要暴露的端口和非法的訪問,在這裏都會被阻止;即使有防火牆,企業依然會使用身份認證機制授權用户訪問 Web 應用。
但是,即便有防病毒保護、防火牆和 IDS/IPS,企業仍然不得不允許一部分的通訊經過防火牆,畢竟 Web 應用的目的是為用户提供服務,保護措施可以關閉不必要暴露的端口,但是 Web 應用必須的 80 和 443 端口,是一定要開放的。可以順利通過的這部分通訊,可能是善意的,也可能是惡意的,很難辨別。這裏需要注意的是,Web 應用是由軟件構成的,那麼,它一定會包含缺陷(bugs),這些 bug 就可以被惡意的用户利用,他們通過執行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 應用中的重要信息。
因此可以看出,企業的回答,並不能真正保證企業的應用安全:
a.網絡脆弱性掃描工具,由於它僅僅用來分析網絡層面的漏洞,不瞭解應用本身,所以不能徹底提高Web應用安全性;
b.防火牆可以阻止對重要端口的訪問,但是 80 和 443 端口始終要開放,我們無法判斷這兩個端口中通訊數據是善意的訪問還是惡意的攻擊;
c.SSL 可以加密數據,但是它僅僅保護了在傳輸過程中數據的安全性,並沒有保護Web應用本身;
d.每個季度的滲透測試,無法滿足處於不斷變更之中的應用。
Web應用安全安全工具
億思網站安全檢測平台,能夠掃描出網站的漏洞和安全隱患!
國內首創全透明部署WEB應用安全網關,安恆明御WEB應用防火牆
[2]
WebSOC知道網站安全監控系統,知道創宇旗下Web應用安全監控工具
[3]
KS—WAF知道網站統一防護系統,知道創宇旗下Web應用安全防護工具
[4]
- 參考資料
-
- 1. Web 應用通常是標準的三層架構模型
- 2. 明御WEB應用防火牆 .安恆信息[引用日期2012-10-24]
- 3. WebSOC知道網站安全監控系統 .知道創宇[引用日期2012-11-09]
- 4. KS—WAF知道網站統一防護系統 .知道創宇[引用日期2012-11-09]