隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入,越來(lái)越多的業(yè)務(wù)應(yīng)用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺(tái)上,這吸引了網(wǎng)絡(luò)犯罪團(tuán)伙的強(qiáng)烈關(guān)注,以Web攻擊為代表的應(yīng)用層安全威脅開(kāi)始凸顯。通過(guò)利用網(wǎng)站系統(tǒng)和Web服務(wù)程序的安全漏洞,,攻擊者可以輕松獲取企業(yè)Web應(yīng)用系統(tǒng)及服務(wù)器設(shè)備的控制權(quán)限,從而進(jìn)行網(wǎng)頁(yè)篡改、數(shù)據(jù)竊取等破壞活動(dòng),,嚴(yán)重?fù)p害企業(yè)的業(yè)務(wù)發(fā)展。
保障Web應(yīng)用安全已經(jīng)成為行業(yè)普遍認(rèn)知,。但研究人員發(fā)現(xiàn),,目前很多企業(yè)對(duì)Web應(yīng)用安全防護(hù)還存在許多認(rèn)知誤區(qū),這隨時(shí)可能引發(fā)嚴(yán)重的安全問(wèn)題和事故,。
誤區(qū)一
我們只是普通的企業(yè)組織,,我們的Web應(yīng)用系統(tǒng)不會(huì)被攻擊。
真相:大多數(shù)網(wǎng)絡(luò)攻擊是自動(dòng)化的,、沒(méi)有特定目標(biāo)的,,因此每個(gè)企業(yè)都可能成為攻擊者的目標(biāo)。
不管是大型企業(yè),還是中小企業(yè)用戶,,普遍都認(rèn)為壞事只會(huì)發(fā)生在其他機(jī)構(gòu),。許多組織抱著僥幸心理,以為自己不會(huì)受到網(wǎng)絡(luò)攻擊,,因此無(wú)需操心Web應(yīng)用程序安全,。但事實(shí)是,現(xiàn)在的網(wǎng)絡(luò)攻擊大都是由有組織的犯罪團(tuán)伙發(fā)起,,它們每天都在全球網(wǎng)絡(luò)上進(jìn)行自動(dòng)攻擊嗅探,,一旦機(jī)器人程序發(fā)現(xiàn)了可被利用的安全漏洞(比如Log4Shell),其所在的企業(yè)就在劫難逃,。每個(gè)企業(yè)都應(yīng)該為防范Web應(yīng)用攻擊做好充分的準(zhǔn)備和預(yù)案,。
誤區(qū)二
部署WAF就可以阻止針對(duì)Web應(yīng)用系統(tǒng)的攻擊。
真相:WAF并不能成為Web應(yīng)用系統(tǒng)防御的唯一防線,,攻擊者會(huì)專門(mén)針對(duì)WAF尋找相應(yīng)的繞過(guò)策略,。
部署Web應(yīng)用防火墻(WAF)就能夠保證Web應(yīng)用安全是目前最常見(jiàn)的認(rèn)知誤區(qū)之一。WAF可以被看成是Web版的網(wǎng)絡(luò)防火墻,,它可以過(guò)濾HTTP流量以檢測(cè)并阻止可能存在的攻擊企圖,。WAF還常常用作負(fù)載均衡系統(tǒng),提供額外的應(yīng)用安全能力,,對(duì)于臨時(shí)阻止突然爆發(fā)的零日漏洞很有價(jià)值,。然而,它們卻很難檢測(cè)出所有可能的攻擊,,只要系統(tǒng)中存在未被發(fā)現(xiàn)的安全漏洞,,攻擊者就有可能會(huì)找到繞過(guò)WAF 規(guī)則的方法。
誤區(qū)三
企業(yè)網(wǎng)站已經(jīng)使用了HTTPS協(xié)議,,因此Web應(yīng)用系統(tǒng)是安全的,。
真相:HTTPS只保護(hù)用戶數(shù)據(jù)免受竊取和篡改,卻無(wú)法防范惡意流量等威脅,。
應(yīng)用HTTPS表示所有Web應(yīng)用流量都經(jīng)過(guò)加密,,這是防止中間人攻擊的關(guān)鍵最佳實(shí)踐,但卻無(wú)法防范攻擊者已經(jīng)建立有效連接的應(yīng)用程序級(jí)攻擊,。比如說(shuō),,如果攻擊者可以在易受攻擊的純HTTPS應(yīng)用程序中訪問(wèn)或創(chuàng)建有效的用戶賬戶,他們就可以隨意嘗試SQL注入,、權(quán)限提升及其他攻擊,,而這一切都是在安全加密的連接中進(jìn)行。
誤區(qū)四
如果Web應(yīng)用系統(tǒng)僅在企業(yè)內(nèi)部網(wǎng)絡(luò)上運(yùn)行就是安全的,。
真相:網(wǎng)絡(luò)攻擊者可以通過(guò)受攻擊的Web服務(wù)器系統(tǒng)間接攻擊Web應(yīng)用程序,即使在內(nèi)部網(wǎng)絡(luò)中也是如此。
很多人會(huì)錯(cuò)誤認(rèn)為,,沒(méi)有連接互聯(lián)網(wǎng)的內(nèi)網(wǎng)Web應(yīng)用系統(tǒng)就是安全的,,不會(huì)受到基于Web的網(wǎng)絡(luò)攻擊。實(shí)際上,,攻擊者可以利用服務(wù)器端請(qǐng)求偽造(SSRF)之類的漏洞,,以某一臺(tái)被攻陷的服務(wù)器為跳板,攻擊企業(yè)內(nèi)網(wǎng)上的應(yīng)用系統(tǒng),。特別是在云優(yōu)先環(huán)境下,,許多組織不再擁有完全物理隔離的內(nèi)部網(wǎng)絡(luò),只有私有云部署的應(yīng)用方式,,這是另一種Web應(yīng)用的安全隱患,。
誤區(qū)五
只允許通過(guò)VPN訪問(wèn)的Web應(yīng)用系統(tǒng)是安全的。
真相:VPN是保護(hù)互聯(lián)網(wǎng)隱私的強(qiáng)大工具,,但不是保護(hù)Web應(yīng)用安全的完整解決方案,。
遠(yuǎn)程工作模式大行其道,虛擬專用網(wǎng)(VPN)已變成企業(yè)普遍使用的遠(yuǎn)程訪問(wèn)工具,。盡管VPN確實(shí)提供了額外的隔離和訪問(wèn)控制,,就像內(nèi)部網(wǎng)絡(luò)一樣,但不應(yīng)該將VPN視為Web應(yīng)用系統(tǒng)的安全憑證,。如果攻擊者設(shè)法訪問(wèn)了 VPN(比如使用被盜的憑據(jù),、泄露的員工賬戶或某種社會(huì)工程伎倆),任何Web應(yīng)用程序都可能很容易受到攻擊,。
誤區(qū)六
瀏覽器內(nèi)置的攻擊防護(hù)機(jī)制可以保障應(yīng)用安全,。
真相:瀏覽器安全機(jī)制是應(yīng)用程序安全防護(hù)的補(bǔ)充,但卻無(wú)法取而代之,。
大概十年前,,因?yàn)榭缯灸_本漏洞的盛行,瀏覽器服務(wù)商嘗試將XSS過(guò)濾器直接嵌入到瀏覽器中,,這誤導(dǎo)了一大批企業(yè)用戶:新一代瀏覽器可以對(duì)Web應(yīng)用程序進(jìn)行安全防護(hù),。但實(shí)踐表明,這種保護(hù)措施的效果非常有限,,并且已從很多高版本瀏覽器中刪除,。實(shí)際上,瀏覽器安全是網(wǎng)絡(luò)安全領(lǐng)域一個(gè)完全獨(dú)立又至關(guān)重要的方面,,永遠(yuǎn)不應(yīng)依賴瀏覽器作為應(yīng)用程序的額外防線,。相反,Web開(kāi)發(fā)者應(yīng)竭力遵循公認(rèn)的行業(yè)標(biāo)準(zhǔn)和規(guī)范,,讓瀏覽器能夠正確地處理和呈現(xiàn)應(yīng)用程序,。
誤區(qū)七
Web應(yīng)用系統(tǒng)有備份,,即使發(fā)生安全事件也可以快速恢復(fù)。
真相:備份對(duì)于數(shù)據(jù)存儲(chǔ)和保持業(yè)務(wù)連續(xù)性很重要,,但卻無(wú)法減輕數(shù)據(jù)泄密造成的間接破壞和損失,。
備份一直是企業(yè)整體安全策略的關(guān)鍵組成部分,擁有良好的備份和可靠的恢復(fù)方案是無(wú)可替代的,。但是備份只能防止數(shù)據(jù)丟失和損壞,,卻無(wú)法幫助企業(yè)避免網(wǎng)絡(luò)攻擊產(chǎn)生的其他災(zāi)難性后果(系統(tǒng)停運(yùn)、商業(yè)秘密泄露和品牌商譽(yù)損失等),。因此,,備份是Web應(yīng)用安全防護(hù)計(jì)劃中不可或缺的部分,但企業(yè)在確保應(yīng)用系統(tǒng)安全性方面的要求與隨時(shí)準(zhǔn)備數(shù)據(jù)恢復(fù)一樣重要,。
誤區(qū)八
Web應(yīng)用的開(kāi)發(fā)框架是安全可靠的,,因此應(yīng)用系統(tǒng)也是安全的。
真相:高質(zhì)量的開(kāi)發(fā)框架可以防止許多安全漏洞,,但僅靠框架還遠(yuǎn)遠(yuǎn)不夠,。
Web應(yīng)用框架和模塊庫(kù)已徹底改變了Web應(yīng)用系統(tǒng)的開(kāi)發(fā)方式,提供了構(gòu)建生產(chǎn)級(jí)站點(diǎn)和應(yīng)用程序的基礎(chǔ),,會(huì)大大節(jié)約應(yīng)用開(kāi)發(fā)的時(shí)間和資源,。選擇一種安全可靠的框架固然是重要的,因?yàn)樗梢詭椭髽I(yè)避免很多類型的技術(shù)漏洞,,特別是跨站腳本(XSS)類型的漏洞,。但即使開(kāi)發(fā)人員嚴(yán)格按照規(guī)范,Web開(kāi)發(fā)框架不能識(shí)別所有應(yīng)用場(chǎng)景下的漏洞,,因此,,使用可靠的Web開(kāi)發(fā)框架只是安全編程的基礎(chǔ)。
誤區(qū)九
應(yīng)用發(fā)布前已經(jīng)在集成開(kāi)發(fā)環(huán)境(IDE)中進(jìn)行了安全檢查,,所以是安全的,。
真相:靜態(tài)代碼安全檢查只是確保整體應(yīng)用程序安全性的手段之一。
新一代Web開(kāi)發(fā)工具通常會(huì)集成代碼安全檢查工具,,有時(shí)甚至作為免費(fèi)插件,。應(yīng)用這種工具的好處是,可以提升開(kāi)發(fā)人員的安全意識(shí),,減少人為錯(cuò)誤導(dǎo)致的安全隱患,。但這些工具也有其應(yīng)用局限性,只能識(shí)別有限的問(wèn)題,,并且容易出現(xiàn)誤報(bào),,將真正的警報(bào)淹沒(méi)。雖然為IDE增添面向安全的檢查工具有利于規(guī)避Web應(yīng)用的安全問(wèn)題,,但需要認(rèn)識(shí)到,,它只是確保應(yīng)用程序安全的眾多手段之一,,通過(guò)全部靜態(tài)安全檢查并不能保證應(yīng)用程序的絕對(duì)安全,還有很多地方可能出岔子,。
誤區(qū)十
Web應(yīng)用安全防護(hù)不是開(kāi)發(fā)團(tuán)隊(duì)的工作,。
真相:保障應(yīng)用程序安全是現(xiàn)代Web應(yīng)用開(kāi)發(fā)的重要組成部分,特別是應(yīng)用開(kāi)發(fā)安全運(yùn)營(yíng)(DevSecOps)模式后更是如此,。
由于應(yīng)用需求的提升,導(dǎo)致Web應(yīng)用系統(tǒng)變得更加復(fù)雜,,保護(hù)Web的應(yīng)用安全與每個(gè)人息息相關(guān),,并從開(kāi)發(fā)階段就啟動(dòng)安全策略。有效地發(fā)現(xiàn)安全漏洞并及時(shí)處理修復(fù)請(qǐng)求,,對(duì)于避免發(fā)生嚴(yán)重的安全事件和節(jié)省安全防護(hù)資源至關(guān)重要,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<