web在應用中的安全性問題
文章出處:http:// 作者:開發(fā)部 人氣: 發(fā)表時間:2015年12月24日
部署在Internet上的WEB應用毫無疑問每時每刻都在遭受著各種考驗,有些是出自惡意的破壞者,有些是來自無心的攻擊者(中了病毒或是木馬的菜鳥),還有一些是來自系統(tǒng)內部的出于好奇或是有目的的惡意訪問。下面是計算機安全學會CSI協(xié)同舊金山聯(lián)邦調查局開展的計算機犯罪和安全調查提供的數(shù)字:
90%的被調查者在過去12月中探測到有計算機漏洞
74%的被調查者稱其Internet連接遭受頻繁攻擊,而40%的被調查者探測到有來自外部的系統(tǒng)滲透;
75%的被調查者估計他們在過去所受的攻擊的一部分可能來自心懷不滿的雇員。
毫無疑問,安全問題正在成為計算機領域的關鍵問題,作為具有最多訪問方式和最大的網絡基礎的WEB應用,其面臨的安全考驗更是嚴峻。
據(jù)知,國內的公司很少會專門為自己的WEB項目進行安全性測試,而且,大部分公司也不知道著手進行安全性測試。
一般來說,一個WEB應用包括WEB服務器運行的操作系統(tǒng)、WEB服務器、WEB應用邏輯、數(shù)據(jù)庫幾個部分,其中任何一個部分出現(xiàn)安全漏洞,都會導致整個系統(tǒng)的安全性問題。
對操作系統(tǒng)來說,最關鍵的操作系統(tǒng)的漏洞,例如Unix上的緩沖區(qū)溢出漏洞、Windows上的RPC漏洞、緩沖區(qū)溢出漏洞、安全機制漏洞等等;
對WEB服務器來說,WEB服務器從早期僅提供對靜態(tài)HTML和圖片進行訪問發(fā)展到現(xiàn)在對動態(tài)請求的支持,早已是非常龐大的系統(tǒng),即使發(fā)展多年的Apache也難逃經常被發(fā)現(xiàn)安全漏洞的缺陷,更不要說千瘡百孔的IIS了;
對應用邏輯來說,根據(jù)其實現(xiàn)的語言不同、機制不同、由于編碼、框架本身的漏洞或是業(yè)務設計時的不完善,都可能導致安全上的問題;
對數(shù)據(jù)庫來說,數(shù)據(jù)庫注入攻擊一直是數(shù)據(jù)庫廠商和網站開發(fā)者的噩夢。
除此之外,領測國際認為安全問題還存在于管理等各個方面,不完善的管理制度、缺乏安全意識的員工都會是內部的突破口,同樣,一些開發(fā)工具生成的備份文件和注釋也會成為Cracker發(fā)送攻擊的參考資料。
對WEB的安全性測試是一個很大的題目,首先取決于要達到怎樣的安全程度。不要期望網站可以達到100%的安全,須知,即使是美國國防部,也不能保證自己的網站100%安全。對于一般的用于實現(xiàn)業(yè)務的網站,達到這樣的期望是比較合理的:
1、能夠對密碼試探工具進行防范;
2、能夠防范對cookie攻擊等常用攻擊手段;
3、敏感數(shù)據(jù)保證不用明文傳輸;
4、能防范通過文件名猜測和查看HTML文件內容獲取重要信息;
5、能保證在網站收到工具后在給定時間內恢復,重要數(shù)據(jù)丟失不超過1個小時;
最后補充一點,瀏覽器的漏洞也可能會導致網站的不安全。