現(xiàn)在幾乎所有企業(yè)都會在互聯(lián)網(wǎng)上建立網(wǎng)站，他們不僅通過網(wǎng)站提供信息，而且還通過Web應用程序、博客和論壇與他們的客戶進行互動。從網(wǎng)上零售商的互動嬰兒注冊表，到電子交易網(wǎng)站的投資計算器，或者軟件供應商的互動支持論壇，企業(yè)每天都會產(chǎn)生新的Web應用程序來使獲取信息。
　　以業(yè)務為中心的Web互動迅速發(fā)展也帶來了新的信息安全威脅，而企業(yè)以前的靜態(tài)網(wǎng)頁并沒有這些威脅。這些威脅主要是針對Web應用程序，包括補充的Web服務器、數(shù)據(jù)庫和其他支持基礎設施。
　　在本文中，我們將討論Web應用程序面臨的最嚴重的威脅以及安全團隊應該如何保護應用程序。
　　Web應用程序面臨的緊迫威脅
　　Cenzic、惠普、Imperva、Veracode、Whitehat Security以及Verizon等供應商都評估了當今企業(yè)面臨的Web應用程序威脅，其中最常見的兩種Web應用程序威脅是跨站腳本（XSS）和SQL注入攻擊。這兩種攻擊已經(jīng)存在多年了，但Web應用程序仍然容易受到它們的困擾。
　　鑒于這兩種攻擊的廣泛影響范圍以及豐富的攻擊工具，企業(yè)必須加強Web應用程序安全性來降低攻擊風險。雖然新的Web應用程序威脅也已經(jīng)出現(xiàn)，但是大多數(shù)攻擊仍然是利用這些最基本的薄弱點。
　　如何讓Web應用程序更加安全
　　安全團隊可以采用一些基本的方法來加強Web應用程序的安全性，包括改善web應用程序開發(fā)和部署新工具來幫助管理Web應用程序面臨的新信息安全風險。這些方法應該配合使用，而不是單獨使用，同時部署其他安全控制。
　　改善Web應用程序開發(fā)來提高Web應用程序的安全性應該作為任何軟件或安全開發(fā)生命周期的一部分。在軟件開發(fā)生命周期（SDLC）方面有很多資源，例如微軟以及美國國土安全部網(wǎng)絡安全處提供的資源。開放Web應用程序安全項目（OWASP）也提供了開發(fā)指南，包括Development Guide 2010，其中討論了安全Web應用程序開發(fā)的方法。作為軟件開發(fā)生命周期的一部分，用戶可能需要定期檢查Web應用程序面對的最普遍的威脅，并且定期更新威脅列表。所有這些技巧都可以用于培訓開發(fā)人員以改善應用程序，確保最小化安全漏洞，更快發(fā)現(xiàn)漏洞和更快修復漏洞。
　　另外，緩解Web應用程序威脅的其他重要方法包括部署新工具來幫助管理web應用程序安全。這些工具可能并不是真正意義上的新工具，但是對于很多企業(yè)而言，Web應用程序防火墻和Web應用程序安全掃描儀等產(chǎn)品從來沒有列入考慮范圍，因為他們能夠規(guī)避規(guī)定使用這些產(chǎn)品的合規(guī)要求，或者說因為web威脅從來不是他們的重點關(guān)注問題。
　　然而，這些和其他相關(guān)的新興Web防御技術(shù)可以成功地阻止web應用程序?qū)庸粢约皰呙鑧eb應用程序漏洞。Web應用程序安全掃描儀可以涵蓋在你的軟件開發(fā)生命周期測試階段，或者作為一個獨立的項目，以積極地評估你的web應用程序的安全狀態(tài)。Web應用程序防火墻能夠?qū)鬢eb應用程序的網(wǎng)絡流量進行檢查，阻止最常見的攻擊。但是Web應用程序防火墻和Web應用程序安全掃描儀并不能阻止或者檢測所有攻擊或者漏洞，這些工具需要不斷更新以發(fā)現(xiàn)新威脅。
　　這些工具擴展你現(xiàn)有安全控制，但同時你應該了解緊迫的威脅如何繞過很多傳統(tǒng)的安全控制。例如，如果你允許HTTP通過端口80到你的防火墻再到web服務器，你的防火墻通常無法判斷該網(wǎng)絡流量是否是合法HTTP流量，或者是否有用于SQL注入攻擊的潛在惡意SQL代碼。但Web應用程序防火墻可以檢測HTTP流量，發(fā)現(xiàn)和（多數(shù)情況下）阻止大多數(shù)SQL注入攻擊。請記住，沒有哪個單一的安全工具或者控制方法可以保護所有企業(yè)的web應用程序，而結(jié)合使用Web應用程序防火墻和web安全掃描能夠提供堅實的保護，來抵御最常見的XSS和SQL攻擊。
　　結(jié)論
　　盡管新web應用程序能讓企業(yè)與客戶進行互動，改善與客戶的關(guān)系，但這些web應用程序也帶來了新的信息安全風險。傳統(tǒng)安全控制本身通常無法抵御這些web應用程序威脅，不過，我們對傳統(tǒng)控制進行擴展，將web應用程序安全融入軟件開發(fā)生命周期，并部署新的web應用程序安全工具，可以幫助減小這些威脅的風險。那些沒有使用這些技術(shù)或者沒有計劃這樣做的企業(yè)應該仔細想想：這些應用可能會擴大他們潛在的Web安全威脅。對于當今企業(yè)信息安全計劃而言，保護web系統(tǒng)免受新型威脅已經(jīng)成為重要且優(yōu)先的事項
TechTarget中國

版權(quán)聲明：本站文章來源標注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。