Web應用安全

當討論起Web應用安全，我們經常會聽到這樣的回答：

“我們使用了防火牆”、“我們使用了網絡脆弱掃描工具”、“我們使用了 SSL 技術”、“我們每個季度都會進行滲透測試”……所以，“我們的應用是安全的”。現實真是如此嗎?讓我們一起來看一下 Web 應用安全的全景圖。

圖 2: 信息安全全景

在企業 Web 應用的各個層面，都會使用不同的技術來確保安全性。為了保護客户端機器的安全，用户會安裝防病毒軟件;為了保證用户數據傳輸到企業 Web 服務器的傳輸安全，通信層通常會使用 SSL(安全套接層)技術加密數據;企業會使用防火牆和 IDS(入侵診斷系統)/IPS(入侵防禦系統)來保證僅允許特定的訪問，不必要暴露的端口和非法的訪問，在這裏都會被阻止;即使有防火牆，企業依然會使用身份認證機制授權用户訪問 Web 應用。

但是，即便有防病毒保護、防火牆和 IDS/IPS，企業仍然不得不允許一部分的通訊經過防火牆，畢竟 Web 應用的目的是為用户提供服務，保護措施可以關閉不必要暴露的端口，但是 Web 應用必須的 80 和 443 端口，是一定要開放的。可以順利通過的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。這裏需要注意的是，Web 應用是由軟件構成的，那麼，它一定會包含缺陷(bugs)，這些 bug 就可以被惡意的用户利用，他們通過執行各種惡意的操作，或者偷竊、或者操控、或者破壞 Web 應用中的重要信息。

因此可以看出，企業的回答，並不能真正保證企業的應用安全：

a.網絡脆弱性掃描工具，由於它僅僅用來分析網絡層面的漏洞，不瞭解應用本身，所以不能徹底提高Web應用安全性;

b.防火牆可以阻止對重要端口的訪問，但是 80 和 443 端口始終要開放，我們無法判斷這兩個端口中通訊數據是善意的訪問還是惡意的攻擊;

c.SSL 可以加密數據，但是它僅僅保護了在傳輸過程中數據的安全性，並沒有保護Web應用本身;

d.每個季度的滲透測試，無法滿足處於不斷變更之中的應用。

只要訪問可以順利通過企業的防火牆，Web應用就毫無保留的呈現在用户面前。只有加強Web應用自身的安全，才是真正的Web應用安全解決之道。 ^[1] 

億思網站安全檢測平台，能夠掃描出網站的漏洞和安全隱患！

國內首創全透明部署WEB應用安全網關，安恆明御WEB應用防火牆 ^[2] 

WebSOC知道網站安全監控系統，知道創宇旗下Web應用安全監控工具 ^[3] 

KS—WAF知道網站統一防護系統，知道創宇旗下Web應用安全防護工具 ^[4]