ku酷游官网-ku酷游网络股份有限公司

　　这些因素中的任何一个都可能成为攻击者的目标。随着Web应用扩展到电子商务、电子政务等领,Web应用安全逐渐成为一个重要的课题。根据2.1来自Web应用部署的安全威胁Gartner的调查统计,在服务器与网络层的防护技术已来自Web应用部署的安全威胁包括由于Web服务成熟的情况下,信息安全攻击有75%都是发生在Web器操作系统、数据库系统以及Web服务器软件自身安全应用层,而且这种攻击数量趋势正在快速增长。不同隐患带来的安全风险。许多信息系统的运维人员缺少于一般的应用软件,Web应用是通过80或443端口对对Web应用服务器和数据库系统等进行安全设置和及外开放服务的,无法受到防火墙的保护。因此,只有加时更新的维护管理。

　　强Web应用自身的安全,才能从根本上解决Web应用2.1.1来自Web服务器操作系统、数据库系统的安安全问题。全威胁

　　操作系统和后台数据库系统常因安全漏洞及配置2Web应用安全威胁分析问题,导致攻击者、病毒利用这些缺陷进行攻击,而引

　　W应用安全依赖于支持它的其他安全技术,包有操作系统使用默认管理账号如、等,使用badminroot

　　常用的Web服务器软件,如IIS、Apache等,本身安全策略设置存在缺陷可使攻击者访问目录列表、获取可执行页面的源代码、绕过输入验证等,直接威胁Web应用系统的安全。如Web应用服务权限设置不当,导致黑客上传ASP木马获得服务器的webshell,将Web服务器配置成允许任意用户从任意路径访问,导致存储在Web服务器上的一些敏感信息,如口令、源代码或客户信息,泄露。

　　目前大多数Web应用系统的开发者对安全相关知识缺乏一定的认识,即使经验丰富的开发人员也可能无法编写出安全的代码。因此,Web应用程序的编写人员在编程过程中通常对用户输入等缺少必要的安全性检查,使得攻击者能够利用编程漏洞发起攻击,最常见的攻击类型有SQL注入攻击、跨站脚本攻击、信息泄露攻击等。

　　SQL注入攻击是通过在URL、表格域或其他的输入域中输入自己构造的SQL命令,来实现通过浏览器执行任意SQL语句,从而实现最终获取某种权限的攻击技术。SQL注入攻击是应用系统中最常见,同时也是危害最大的一类攻击方式。

　　跨站脚本攻击是攻击者利用应用程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

　　信息泄露攻击是攻击者通过探测Web页来寻找引起异常的各种情况的一种颇有成效的攻击方式。

　　其他常见的利用Web应用安全漏洞发起的攻击行为还有,恶意文件执行攻击,利用应用系统已有的上传

　　功能,如文件上传、图像上传等来上传恶意文件,通过访问这些文件完全控制信息系统,Cookie欺骗攻击,攻击者通过修改存放在客户端的cookie来达到欺骗服务器认证的目的,身份验证绕过攻击,由于某些网页缺少访问权限限制,造成攻击者可绕过应用系统的身份验证和会话管理,直接读取系统信息。

　　缺少完善的网络安全防护策略,未形成安全事件处理流程和灾难恢复计划等都会使Web应用所处的网络环境面临安全威胁。比如网络中存在的拒绝服务攻击、网页篡改攻击等,都会影响到Web应用的正常运行。

　　拒绝服务攻击,DenialofService(DoS)是以干扰甚至中断业务系统的运行为目的,分布的僵尸机器被匿名攻击者集结起来,对任何一个Internet/Intranet上的目标发动请求攻击。

　　网页篡改攻击有两种形式,一种是Web应用系统被入侵,即Web页面确实被篡改了,另一种被称为页面劫持,攻击者劫持了网络访问并发送欺骗页面给访问者,从而造成页面被篡改的表象。

　　结合目前Web应用面临的威胁现状,可以从Web应用系统的设计、建设、运行维护和终止整个生命周期出发提出实施Web应用安全防御,采取预防、检测和监控措施相结合的方式对Web应用分阶段、有重点地展开安全防范。

　　该阶段应在对Web应用系统进行详细调研和分析的基础上,根据系统规模、访问量、部署模式的不同提

　　出符合实际的安全需求,并通过开展风险评估活动来确定Web应用系统可能面临的风险状况,从而进行相应设计和规划。包括应用系统的部署及环境,应用系统的角色、功能和数据流控制等的设计。

　　该阶段的主要工作是编程人员进行代码编写。为编写出规范和严谨的代码,在开发团队中应制定安全编码相关指南,开展通用和特有的安全编程培训,帮助程序员提高Web应用程序安全意识和编写安全代码的经验。同时,在该阶段中应引入单元性代码安全测试的思想,在开发团队内部成员间定期开展代码安全审查,以帮助开发人员及早发现和修补代码安全漏洞。

　　在Web应用正式投入运行前,应由独立的第三方安全机构对Web应用的安全性进行综合评估,包括对应用程序进行代码安全审查以及对应用的部署及环境进行安全审核。安全审核的主要目的是检验在设计阶段定义的安全措施是否在Web应用的建设过程中被正确实施。

　　安全机构的审查人员会利用代码分析工具,白盒测试,与Web应用扫描系统,黑盒测试,相结合对Web应用进行安全性检查,找出应用程序中存在的安全漏洞并提出应对措施建议。开发团队应根据严重性级别对安全漏洞进行修复。

　　针对应用部署及环境进行安全审核的目的则是降低Web应用可能遭受的攻击面,降低因部署及环境,如服务器和数据库系统的安全性而影响到整个Web应用安全的风险。

　　能及其部署环境等都会发生改变,使得某些安全性方面重新面临威胁。另一方面,新的攻击技术在不断出现,也给Web应用带来新的安全威胁。此阶段的目标就是要保障Web应用系统持续、正常地运行,从定期安全评估和加固、实时监控以及应急响应服务等多层面采取完整的防护措施。在此阶段,渗透测试是常用的安全评估手段之一。通过渗透测试可以发现Web应用系统中存在的系统漏洞、代码漏洞和网络防护缺陷等,能够让管理人员直观地认识到Web系统存在的安全问题。

　　该阶段是Web应用系统生命周期的最后环节。在该阶段中应采取安全的方法清除Web应用系统中的敏感信息,防止系统相关计算机介质和设备中的敏感信息泄露。

　　本文结合作者在信息系统安全测评工作中的经验,对Web应用的安全现状展开深入分析,并提出了从生命周期出发进行安全防护的应对措施。但Web应用安全形势并非静止不变,随着Web技术的发展和更新,Web攻击手段也在不断发展,针对这些最新的安全