現(xiàn)在幾乎所有企業(yè)都會(huì)在互聯(lián)網(wǎng)上建立網(wǎng)站，他們不僅通過(guò)網(wǎng)站提供信息，而且還通過(guò)Web應(yīng)用程序、博客和論壇與他們的客戶(hù)進(jìn)行互動(dòng)。從網(wǎng)上零售商的互動(dòng)?jì)雰鹤?cè)表，到電子交易網(wǎng)站的投資計(jì)算器，或者軟件供應(yīng)商的互動(dòng)支持論壇，企業(yè)每天都會(huì)產(chǎn)生新的Web應(yīng)用程序來(lái)使獲取信息。

以業(yè)務(wù)為中心的Web互動(dòng)迅速發(fā)展也帶來(lái)了新的信息安全威脅，而企業(yè)以前的靜態(tài)網(wǎng)頁(yè)并沒(méi)有這些威脅。這些威脅主要是針對(duì)Web應(yīng)用程序，包括補(bǔ)充的Web服務(wù)器、數(shù)據(jù)庫(kù)和其他支持基礎(chǔ)設(shè)施。

在本文中，我們將討論Web應(yīng)用程序面臨的最嚴(yán)重的威脅以及安全團(tuán)隊(duì)?wèi)?yīng)該如何保護(hù)應(yīng)用程序。

Web應(yīng)用程序面臨的緊迫威脅

Cenzic、惠普、Imperva、Veracode、Whitehat Security以及Verizon等供應(yīng)商都評(píng)估了當(dāng)今企業(yè)面臨的Web應(yīng)用程序威脅，其中最常見(jiàn)的兩種Web應(yīng)用程序威脅是跨站腳本（XSS）和SQL注入攻擊。這兩種攻擊已經(jīng)存在多年了，但Web應(yīng)用程序仍然容易受到它們的困擾。

鑒于這兩種攻擊的廣泛影響范圍以及豐富的攻擊工具，企業(yè)必須加強(qiáng)Web應(yīng)用程序安全性來(lái)降低攻擊風(fēng)險(xiǎn)。雖然新的Web應(yīng)用程序威脅也已經(jīng)出現(xiàn)，但是大多數(shù)攻擊仍然是利用這些最基本的薄弱點(diǎn)。

如何讓W(xué)eb應(yīng)用程序更加安全

安全團(tuán)隊(duì)可以采用一些基本的方法來(lái)加強(qiáng)Web應(yīng)用程序的安全性，包括改善web應(yīng)用程序開(kāi)發(fā)和部署新工具來(lái)幫助管理Web應(yīng)用程序面臨的新信息安全風(fēng)險(xiǎn)。這些方法應(yīng)該配合使用，而不是單獨(dú)使用，同時(shí)部署其他安全控制。

改善Web應(yīng)用程序開(kāi)發(fā)來(lái)提高Web應(yīng)用程序的安全性應(yīng)該作為任何軟件或安全開(kāi)發(fā)生命周期的一部分。在軟件開(kāi)發(fā)生命周期（SDLC）方面有很多資源，例如微軟以及美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全處提供的資源。開(kāi)放Web應(yīng)用程序安全項(xiàng)目（OWASP）也提供了開(kāi)發(fā)指南，包括Development Guide 2010，其中討論了安全Web應(yīng)用程序開(kāi)發(fā)的方法。作為軟件開(kāi)發(fā)生命周期的一部分，用戶(hù)可能需要定期檢查Web應(yīng)用程序面對(duì)的最普遍的威脅，并且定期更新威脅列表。所有這些技巧都可以用于培訓(xùn)開(kāi)發(fā)人員以改善應(yīng)用程序，確保最小化安全漏洞，更快發(fā)現(xiàn)漏洞和更快修復(fù)漏洞。

另外，緩解Web應(yīng)用程序威脅的其他重要方法包括部署新工具來(lái)幫助管理web應(yīng)用程序安全。這些工具可能并不是真正意義上的新工具，但是對(duì)于很多企業(yè)而言，Web應(yīng)用程序防火墻和Web應(yīng)用程序安全掃描儀等產(chǎn)品從來(lái)沒(méi)有列入考慮范圍，因?yàn)樗麄兡軌蛞?guī)避規(guī)定使用這些產(chǎn)品的合規(guī)要求，或者說(shuō)因?yàn)閣eb威脅從來(lái)不是他們的重點(diǎn)關(guān)注問(wèn)題。

然而，這些和其他相關(guān)的新興Web防御技術(shù)可以成功地阻止web應(yīng)用程序?qū)庸粢约皰呙鑧eb應(yīng)用程序漏洞。Web應(yīng)用程序安全掃描儀可以涵蓋在你的軟件開(kāi)發(fā)生命周期測(cè)試階段，或者作為一個(gè)獨(dú)立的項(xiàng)目，以積極地評(píng)估你的web應(yīng)用程序的安全狀態(tài)。Web應(yīng)用程序防火墻能夠?qū)鬢eb應(yīng)用程序的網(wǎng)絡(luò)流量進(jìn)行檢查，阻止最常見(jiàn)的攻擊。但是Web應(yīng)用程序防火墻和Web應(yīng)用程序安全掃描儀并不能阻止或者檢測(cè)所有攻擊或者漏洞，這些工具需要不斷更新以發(fā)現(xiàn)新威脅。

這些工具擴(kuò)展你現(xiàn)有安全控制，但同時(shí)你應(yīng)該了解緊迫的威脅如何繞過(guò)很多傳統(tǒng)的安全控制。例如，如果你允許HTTP通過(guò)端口80到你的防火墻再到web服務(wù)器，你的防火墻通常無(wú)法判斷該網(wǎng)絡(luò)流量是否是合法HTTP流量，或者是否有用于SQL注入攻擊的潛在惡意SQL代碼。但Web應(yīng)用程序防火墻可以檢測(cè)HTTP流量，發(fā)現(xiàn)和（多數(shù)情況下）阻止大多數(shù)SQL注入攻擊。請(qǐng)記住，沒(méi)有哪個(gè)單一的安全工具或者控制方法可以保護(hù)所有企業(yè)的web應(yīng)用程序，而結(jié)合使用Web應(yīng)用程序防火墻和web安全掃描能夠提供堅(jiān)實(shí)的保護(hù)，來(lái)抵御最常見(jiàn)的XSS和SQL攻擊。

結(jié)論

盡管新web應(yīng)用程序能讓企業(yè)與客戶(hù)進(jìn)行互動(dòng)，改善與客戶(hù)的關(guān)系，但這些web應(yīng)用程序也帶來(lái)了新的信息安全風(fēng)險(xiǎn)。傳統(tǒng)安全控制本身通常無(wú)法抵御這些web應(yīng)用程序威脅，不過(guò)，我們對(duì)傳統(tǒng)控制進(jìn)行擴(kuò)展，將web應(yīng)用程序安全融入軟件開(kāi)發(fā)生命周期，并部署新的web應(yīng)用程序安全工具，可以幫助減小這些威脅的風(fēng)險(xiǎn)。那些沒(méi)有使用這些技術(shù)或者沒(méi)有計(jì)劃這樣做的企業(yè)應(yīng)該仔細(xì)想想：這些應(yīng)用可能會(huì)擴(kuò)大他們潛在的Web安全威脅。對(duì)于當(dāng)今企業(yè)信息安全計(jì)劃而言，保護(hù)web系統(tǒng)免受新型威脅已經(jīng)成為重要且優(yōu)先的事項(xiàng)。