如何缓解Web应用程序威胁 缓解Web应用程序威胁的方法
程序员文章站
2022-06-28 11:52:06
企业如何缓解web应用程序威胁呢... 12-06-14...
现在几乎所有企业都会在互联网上建立网站,他们不仅通过网站提供信息,而且还通过web应用程序、博客和论坛与他们的客户进行互动。从网上零售商的互动婴儿注册表,到电子交易网站的投资计算器,或者软件供应商的互动支持论坛,企业每天都会产生新的web应用程序来使获取信息。
以业务为中心的web互动迅速发展也带来了新的信息安全威胁,而企业以前的静态网页并没有这些威胁。这些威胁主要是针对web应用程序,包括补充的web服务器、数据库和其他支持基础设施。
在本文中,我们将讨论web应用程序面临的最严重的威胁以及安全团队应该如何保护应用程序。
web应用程序面临的紧迫威胁
cenzic、惠普、imperva、veracode、whitehat security以及verizon等供应商都评估了当今企业面临的web应用程序威胁,其中最常见的两种web应用程序威胁是跨站脚本(xss)和sql注入攻击。这两种攻击已经存在多年了,但web应用程序仍然容易受到它们的困扰。
鉴于这两种攻击的广泛影响范围以及丰富的攻击工具,企业必须加强web应用程序安全性来降低攻击风险。虽然新的web应用程序威胁也已经出现,但是大多数攻击仍然是利用这些最基本的薄弱点。
如何让web应用程序更加安全
安全团队可以采用一些基本的方法来加强web应用程序的安全性,包括改善web应用程序开发和部署新工具来帮助管理web应用程序面临的新信息安全风险。这些方法应该配合使用,而不是单独使用,同时部署其他安全控制。
改善web应用程序开发来提高web应用程序的安全性应该作为任何软件或安全开发生命周期的一部分。在软件开发生命周期(sdlc)方面有很多资源,例如微软以及美国国土安全部网络安全处提供的资源。开放web应用程序安全项目(owasp)也提供了开发指南,包括development guide 2010,其中讨论了安全web应用程序开发的方法。作为软件开发生命周期的一部分,用户可能需要定期检查web应用程序面对的最普遍的威胁,并且定期更新威胁列表。所有这些技巧都可以用于培训开发人员以改善应用程序,确保最小化安全漏洞,更快发现漏洞和更快修复漏洞。
另外,缓解web应用程序威胁的其他重要方法包括部署新工具来帮助管理web应用程序安全。这些工具可能并不是真正意义上的新工具,但是对于很多企业而言,web应用程序防火墙和web应用程序安全扫描仪等产品从来没有列入考虑范围,因为他们能够规避规定使用这些产品的合规要求,或者说因为web威胁从来不是他们的重点关注问题。
然而,这些和其他相关的新兴web防御技术可以成功地阻止web应用程序层攻击以及扫描web应用程序漏洞。web应用程序安全扫描仪可以涵盖在你的软件开发生命周期测试阶段,或者作为一个独立的项目,以积极地评估你的web应用程序的安全状态。web应用程序防火墙能够对攻击web应用程序的网络流量进行检查,阻止最常见的攻击。但是web应用程序防火墙和web应用程序安全扫描仪并不能阻止或者检测所有攻击或者漏洞,这些工具需要不断更新以发现新威胁。
这些工具扩展你现有安全控制,但同时你应该了解紧迫的威胁如何绕过很多传统的安全控制。例如,如果你允许http通过端口80到你的防火墙再到web服务器,你的防火墙通常无法判断该网络流量是否是合法http流量,或者是否有用于sql注入攻击的潜在恶意sql代码。但web应用程序防火墙可以检测http流量,发现和(多数情况下)阻止大多数sql注入攻击。请记住,没有哪个单一的安全工具或者控制方法可以保护所有企业的web应用程序,而结合使用web应用程序防火墙和web安全扫描能够提供坚实的保护,来抵御最常见的xss和sql攻击。
结论
尽管新web应用程序能让企业与客户进行互动,改善与客户的关系,但这些web应用程序也带来了新的信息安全风险。传统安全控制本身通常无法抵御这些web应用程序威胁,不过,我们对传统控制进行扩展,将web应用程序安全融入软件开发生命周期,并部署新的web应用程序安全工具,可以帮助减小这些威胁的风险。那些没有使用这些技术或者没有计划这样做的企业应该仔细想想:这些应用可能会扩大他们潜在的web安全威胁。对于当今企业信息安全计划而言,保护web系统免受新型威胁已经成为重要且优先的事项
techtarget中国
以业务为中心的web互动迅速发展也带来了新的信息安全威胁,而企业以前的静态网页并没有这些威胁。这些威胁主要是针对web应用程序,包括补充的web服务器、数据库和其他支持基础设施。
在本文中,我们将讨论web应用程序面临的最严重的威胁以及安全团队应该如何保护应用程序。
web应用程序面临的紧迫威胁
cenzic、惠普、imperva、veracode、whitehat security以及verizon等供应商都评估了当今企业面临的web应用程序威胁,其中最常见的两种web应用程序威胁是跨站脚本(xss)和sql注入攻击。这两种攻击已经存在多年了,但web应用程序仍然容易受到它们的困扰。
鉴于这两种攻击的广泛影响范围以及丰富的攻击工具,企业必须加强web应用程序安全性来降低攻击风险。虽然新的web应用程序威胁也已经出现,但是大多数攻击仍然是利用这些最基本的薄弱点。
如何让web应用程序更加安全
安全团队可以采用一些基本的方法来加强web应用程序的安全性,包括改善web应用程序开发和部署新工具来帮助管理web应用程序面临的新信息安全风险。这些方法应该配合使用,而不是单独使用,同时部署其他安全控制。
改善web应用程序开发来提高web应用程序的安全性应该作为任何软件或安全开发生命周期的一部分。在软件开发生命周期(sdlc)方面有很多资源,例如微软以及美国国土安全部网络安全处提供的资源。开放web应用程序安全项目(owasp)也提供了开发指南,包括development guide 2010,其中讨论了安全web应用程序开发的方法。作为软件开发生命周期的一部分,用户可能需要定期检查web应用程序面对的最普遍的威胁,并且定期更新威胁列表。所有这些技巧都可以用于培训开发人员以改善应用程序,确保最小化安全漏洞,更快发现漏洞和更快修复漏洞。
另外,缓解web应用程序威胁的其他重要方法包括部署新工具来帮助管理web应用程序安全。这些工具可能并不是真正意义上的新工具,但是对于很多企业而言,web应用程序防火墙和web应用程序安全扫描仪等产品从来没有列入考虑范围,因为他们能够规避规定使用这些产品的合规要求,或者说因为web威胁从来不是他们的重点关注问题。
然而,这些和其他相关的新兴web防御技术可以成功地阻止web应用程序层攻击以及扫描web应用程序漏洞。web应用程序安全扫描仪可以涵盖在你的软件开发生命周期测试阶段,或者作为一个独立的项目,以积极地评估你的web应用程序的安全状态。web应用程序防火墙能够对攻击web应用程序的网络流量进行检查,阻止最常见的攻击。但是web应用程序防火墙和web应用程序安全扫描仪并不能阻止或者检测所有攻击或者漏洞,这些工具需要不断更新以发现新威胁。
这些工具扩展你现有安全控制,但同时你应该了解紧迫的威胁如何绕过很多传统的安全控制。例如,如果你允许http通过端口80到你的防火墙再到web服务器,你的防火墙通常无法判断该网络流量是否是合法http流量,或者是否有用于sql注入攻击的潜在恶意sql代码。但web应用程序防火墙可以检测http流量,发现和(多数情况下)阻止大多数sql注入攻击。请记住,没有哪个单一的安全工具或者控制方法可以保护所有企业的web应用程序,而结合使用web应用程序防火墙和web安全扫描能够提供坚实的保护,来抵御最常见的xss和sql攻击。
结论
尽管新web应用程序能让企业与客户进行互动,改善与客户的关系,但这些web应用程序也带来了新的信息安全风险。传统安全控制本身通常无法抵御这些web应用程序威胁,不过,我们对传统控制进行扩展,将web应用程序安全融入软件开发生命周期,并部署新的web应用程序安全工具,可以帮助减小这些威胁的风险。那些没有使用这些技术或者没有计划这样做的企业应该仔细想想:这些应用可能会扩大他们潜在的web安全威胁。对于当今企业信息安全计划而言,保护web系统免受新型威胁已经成为重要且优先的事项
techtarget中国
上一篇: 如何打造自己的超级防火墙
下一篇: 80安全-关于WEB服务器的安全问题浅淡