| 現在幾乎所有企業都會在互聯網上建立網站,他們不僅通過網站提供信息,而且還通過Web應用程序、博客和論壇與他們的客戶進行互動。從網上零售商的互動嬰兒注冊表,到電子交易網站的投資計算器,或者軟件供應商的互動支持論壇,企業每天都會產生新的Web應用程序來使獲取信息。 以業務為中心的Web互動迅速發展也帶來了新的信息安全威脅,而企業以前的靜態網頁并沒有這些威脅。這些威脅主要是針對Web應用程序,包括補充的Web服務器、數據庫和其他支持基礎設施。 在本文中,我們將討論Web應用程序面臨的最嚴重的威脅以及安全團隊應該如何保護應用程序。 Web應用程序面臨的緊迫威脅 Cenzic、惠普、Imperva、Veracode、Whitehat Security以及Verizon等供應商都評估了當今企業面臨的Web應用程序威脅,其中最常見的兩種Web應用程序威脅是跨站腳本(XSS)和SQL注入攻擊。這兩種攻擊已經存在多年了,但Web應用程序仍然容易受到它們的困擾。 鑒于這兩種攻擊的廣泛影響范圍以及豐富的攻擊工具,企業必須加強Web應用程序安全性來降低攻擊風險。雖然新的Web應用程序威脅也已經出現,但是大多數攻擊仍然是利用這些最基本的薄弱點。 如何讓Web應用程序更加安全 安全團隊可以采用一些基本的方法來加強Web應用程序的安全性,包括改善web應用程序開發和部署新工具來幫助管理Web應用程序面臨的新信息安全風險。這些方法應該配合使用,而不是單獨使用,同時部署其他安全控制。 改善Web應用程序開發來提高Web應用程序的安全性應該作為任何軟件或安全開發生命周期的一部分。在軟件開發生命周期(SDLC)方面有很多資源,例如微軟以及美國國土安全部網絡安全處提供的資源。開放Web應用程序安全項目(OWASP)也提供了開發指南,包括Development Guide 2010,其中討論了安全Web應用程序開發的方法。作為軟件開發生命周期的一部分,用戶可能需要定期檢查Web應用程序面對的最普遍的威脅,并且定期更新威脅列表。所有這些技巧都可以用于培訓開發人員以改善應用程序,確保最小化安全漏洞,更快發現漏洞和更快修復漏洞。 另外,緩解Web應用程序威脅的其他重要方法包括部署新工具來幫助管理web應用程序安全。這些工具可能并不是真正意義上的新工具,但是對于很多企業而言,Web應用程序防火墻和Web應用程序安全掃描儀等產品從來沒有列入考慮范圍,因為他們能夠規避規定使用這些產品的合規要求,或者說因為web威脅從來不是他們的重點關注問題。 然而,這些和其他相關的新興Web防御技術可以成功地阻止web應用程序層攻擊以及掃描web應用程序漏洞。Web應用程序安全掃描儀可以涵蓋在你的軟件開發生命周期測試階段,或者作為一個獨立的項目,以積極地評估你的web應用程序的安全狀態。Web應用程序防火墻能夠對攻擊Web應用程序的網絡流量進行檢查,阻止最常見的攻擊。但是Web應用程序防火墻和Web應用程序安全掃描儀并不能阻止或者檢測所有攻擊或者漏洞,這些工具需要不斷更新以發現新威脅。 這些工具擴展你現有安全控制,但同時你應該了解緊迫的威脅如何繞過很多傳統的安全控制。例如,如果你允許HTTP通過端口80到你的防火墻再到web服務器,你的防火墻通常無法判斷該網絡流量是否是合法HTTP流量,或者是否有用于SQL注入攻擊的潛在惡意SQL代碼。但Web應用程序防火墻可以檢測HTTP流量,發現和(多數情況下)阻止大多數SQL注入攻擊。請記住,沒有哪個單一的安全工具或者控制方法可以保護所有企業的web應用程序,而結合使用Web應用程序防火墻和web安全掃描能夠提供堅實的保護,來抵御最常見的XSS和SQL攻擊。 結論 盡管新web應用程序能讓企業與客戶進行互動,改善與客戶的關系,但這些web應用程序也帶來了新的信息安全風險。傳統安全控制本身通常無法抵御這些web應用程序威脅,不過,我們對傳統控制進行擴展,將web應用程序安全融入軟件開發生命周期,并部署新的web應用程序安全工具,可以幫助減小這些威脅的風險。那些沒有使用這些技術或者沒有計劃這樣做的企業應該仔細想想:這些應用可能會擴大他們潛在的Web安全威脅。對于當今企業信息安全計劃而言,保護web系統免受新型威脅已經成為重要且優先的事項 TechTarget中國 |
免責聲明:本站部分文章和圖片均來自用戶投稿和網絡收集,旨在傳播知識,文章和圖片版權歸原作者及原出處所有,僅供學習與參考,請勿用于商業用途,如果損害了您的權利,請聯系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創業、互聯網等領域,為您提供最新最全的互聯網資訊,幫助站長轉型升級,為互聯網創業者提供更加優質的創業信息和品牌營銷服務,與站長一起進步!讓互聯網創業者不再孤獨!
掃一掃,關注站長網微信
大家都在看
