ku酷游官网-ku酷游网络股份有限公司

　　随着Web应用越来越广泛，针对Web应用程序的攻击也逐渐增多，如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝服务攻击、改变网页内容等，Web应用安全防护已成为等级保护工作中的重点。研究表明，大多数的安全漏洞来自于软件自身，并且已经超过网络、操作系统的漏洞数量。

　　Web应用系统具有相对复杂的架构，从系统角度来看，Web应用系统中的服务器和客户端，可以分成三个层面：应用层、支撑技术和中间件以及底层的计算机资源。Web应用防护的主要目标包括以下两个方面：

　　信息安全：保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。

　　服务安全：保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用。

　　DDoS：借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的能力。

　　缺少认证机制或者认证机制配置不当：在Web应用程序权限设置不正确、不完整或甚至缺少授权检查，可能会允许攻击者访问敏感信息或未授权访问登录用户的信息。这些问题很常见，实际上所有Web应用程序在UI中使用验证函数级别访问权限。如果请求不验证，攻击者能够伪造请求，以访问未经授权的功能。

　　敏感数据泄漏：大多数Web应用程序没有正确地保护敏感数据，例如认证证书等，攻击者可以窃取或修改这些数据，可能会导致敏感数据泄漏。

　　源码泄露：当Web应用程序的后端环境代码暴露给不涉及应用程序开发的用户时，会发生源代码泄露问题。源代码泄露使攻击者能够通过读取代码和检查逻辑缺陷，以及查看硬编码的用户名/密码对或者API密钥来发现这个应用程序的不足以及漏洞。

　　目录遍历：文件名和路径公开相关的是Web服务器中的目录显示功能，此功能在Web服务器上默认提供。当没有默认网页时，在网站上显示Web服务器用户列表中的文件和目录。

　　利用已知的漏洞组件：漏洞组件加入被溢出，使用这些脆弱性组建的应用程序可能会影响应用程序的安全性，导致应用程序被攻击的范围和影响扩大。

　　7）确保Web应用程序正确处理用户输入，并且始终为所有不存在/不允许的资源返回通用响应，以便混淆攻击者。

　　身份鉴别安全控制点主要关注用户身份鉴别的功能，主要包括专用的登录控制模块、采用两种或两种以上组合的鉴别技术等。

　　① 对于采用两种或两种以上组合的鉴别方式，可以基于数字证书的UKEY等方式，以实现双重的身份认证，强化身份认证功能。

　　② Web应用程序应该建立安全策略配置功能，可以实现统一的Web用户安全策略配置，也可以针对每个账户进行单独的安全策略配置。

　　基于角色访问控制的一个重要特征是支持三条安全准则：最小特权，即通过给用户仅配置完成工作所需权限实现最小特权；职责分离，即通过角色静态、动态的互斥实现职责分离；数据抽象，即通过对操作的封装实现数据抽象。

　　① 对于权限可以继续地进行细粒度的控制，例如通过控制模块及数据展示可以实现更加细粒度的权限控制要求，角户如果具有模块级权限，就可以看到该模块页面。

　　② 可以在基于角色访问控制的基础上，为应用系统的功能菜单和操作分配安全标记，安全标记由级别和范畴集组成。其中，级别为资源的重要程度；范畴为资源可被使用的范围。

　　通信保密性主要关注通信过程中的会话，要求采用加密技术来实现初始化会话验证以及对整个通信报文或会话进行加密。

　　① Web 应用安全一般要保证通信过程数据完整性需要使用 https 协议来实现，一般Web 服务器具有此类型的证书。

　　② SSL 要求客户端与服务器之间的所有发送的数据都被发送端加密、接收端解密，同时还应检查数据的完整性。

　　Web 应用防火墙提供了应用级的网站安全综合解决方案，是集Web 防护、网页保护、应用交付于一体的 Web 整体安全防护设备的产品，可以提供针对Web特有入侵方式的加强防护，如DDoS防护、SQL注入、XML注入、XSS等，以保障用户核心应用与业务持续稳定地运行。

　　Web 应用防火墙可以在事前自动发现新增资产、评估漏洞及是否有保护策略；构建L2～L7层纵深防御体系，屏蔽防护短板且具备联动和关联分析能力；事后进行行为审计，深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表。

　　目前，多数公安网安部门以及部分第三方服务提供商建设了云安全防御平台，在提供Web应用实时深度监控和防御的同时，实现对Web应用程序的攻击分析、智能扫描、云端加固、防御告警、敏感信息泄露防护等功能，为Web应用提供全方位的防护解决方案。主要可以实现以下功能：

　　安全监控：为用户提供了自定义时段内的安全概况、防护监控、攻击类型与风险占比、防御日志等重要信息，包括站点受攻击次数、时段、数量、危害，攻击者的分布、来源、渠道、手段等，还可以对攻击过程进行检索与排查，对防御日志进行排序与查看，从而掌握网站的安全概况。

　　攻击分析：采用可视化、图形化呈现，可以直观及时地了解攻击者与被攻击对象的多角度信息，包括坐标、地理位置、网络渠道、时段等信息，安全管理人员通过分析结论而采取相应措施。全球地区组合图表的使用进一步提升了攻击方式、攻击渠道、攻击时段的多视角展现，对于每次攻击可以逐条追溯来源、手段以及具体的攻击代码。

　　智能防御：通过大量的攻防模拟与机器学习模型对终端进行持续升级，使得受保护的门户网站具备特征匹配校验与攻击智能分析双重安全保护，不但将请求中存在风险的参数、字符以及文件进行智能清洗与攻击阻断，确保只有安全的网络请求才能到达Web应用程序内部，同时也只允许安全的正常内容返回到用户浏览器端。

　　应用扫描：可以准确识别安装防护系统之前与之后存在于服务器上，因其他应用程序或未修补系统漏洞而造成的病毒传染与木马后门等。

　　云端加固：可以将最新的应用层风险特征码与拦截库在云端自动识别生成，推送至用户服务器中；还将终端风险提报给专业的安全实验室进行漏洞测试，有针对性地编制并下发防御补丁，使得应用在防御常见风险攻击的同时，还可防御零日漏洞、偏门攻击等。

　　攻击告警：可在第一时间掌握攻击来源、攻击威胁、攻击频率，并可即时采取相应的防范措施。用户在不打开系统的情况下，仍可以第一时间通过邮件、短信或者微信接收到应用攻击提醒与安全提示。

　　是指由电信运营商提供的针对拒绝服务攻击的防护，以针对攻击源的流量清洗和压制为主要手段，是一种弃卒保帅的手段，避免全站服务对所有互联网用户彻底无法访问，确保源站的稳定可靠。DDoS 近源防护是对超过自身带宽存储和自身 DDoS 防御能力之外的超大流量的补充性缓解措施。返回搜狐，查看更多