web在應用中的安全性問(wèn)題

文章出處：http://psychicreadingswithdeb.com 作者：開(kāi)發(fā)部 人氣： 發(fā)表時(shí)間：2015年12月24日

部署在Internet上的WEB應用毫無(wú)疑問(wèn)每時(shí)每刻都在遭受著(zhù)各種考驗，有些是出自惡意的破壞者，有些是來(lái)自無(wú)心的攻擊者（中了病毒或是木馬的菜鳥(niǎo)），還有一些是來(lái)自系統內部的出于好奇或是有目的的惡意訪(fǎng)問(wèn)。下面是計算機安全學(xué)會(huì )CSI協(xié)同舊金山聯(lián)邦調查局開(kāi)展的計算機犯罪和安全調查提供的數字：

　　90%的被調查者在過(guò)去12月中探測到有計算機漏洞

　　74%的被調查者稱(chēng)其Internet連接遭受頻繁攻擊，而40%的被調查者探測到有來(lái)自外部的系統滲透；

　　75%的被調查者估計他們在過(guò)去所受的攻擊的一部分可能來(lái)自心懷不滿(mǎn)的雇員。

　　毫無(wú)疑問(wèn)，安全問(wèn)題正在成為計算機領(lǐng)域的關(guān)鍵問(wèn)題，作為具有最多訪(fǎng)問(wèn)方式和最大的網(wǎng)絡(luò )基礎的WEB應用，其面臨的安全考驗更是嚴峻。

　　據知，國內的公司很少會(huì )專(zhuān)門(mén)為自己的WEB項目進(jìn)行安全性測試，而且，大部分公司也不知道著(zhù)手進(jìn)行安全性測試。

　　一般來(lái)說(shuō)，一個(gè)WEB應用包括WEB服務(wù)器運行的操作系統、WEB服務(wù)器、WEB應用邏輯、數據庫幾個(gè)部分，其中任何一個(gè)部分出現安全漏洞，都會(huì )導致整個(gè)系統的安全性問(wèn)題。

　　對操作系統來(lái)說(shuō)，最關(guān)鍵的操作系統的漏洞，例如Unix上的緩沖區溢出漏洞、Windows上的RPC漏洞、緩沖區溢出漏洞、安全機制漏洞等等；

　　對WEB服務(wù)器來(lái)說(shuō)，WEB服務(wù)器從早期僅提供對靜態(tài)HTML和圖片進(jìn)行訪(fǎng)問(wèn)發(fā)展到現在對動(dòng)態(tài)請求的支持，早已是非常龐大的系統，即使發(fā)展多年的Apache也難逃經(jīng)常被發(fā)現安全漏洞的缺陷，更不要說(shuō)千瘡百孔的IIS了；

　　對應用邏輯來(lái)說(shuō)，根據其實(shí)現的語(yǔ)言不同、機制不同、由于編碼、框架本身的漏洞或是業(yè)務(wù)設計時(shí)的不完善，都可能導致安全上的問(wèn)題；

　　對數據庫來(lái)說(shuō)，數據庫注入攻擊一直是數據庫廠(chǎng)商和網(wǎng)站開(kāi)發(fā)者的噩夢(mèng)。

　　除此之外，領(lǐng)測國際認為安全問(wèn)題還存在于管理等各個(gè)方面，不完善的管理制度、缺乏安全意識的員工都會(huì )是內部的突破口，同樣，一些開(kāi)發(fā)工具生成的備份文件和注釋也會(huì )成為Cracker發(fā)送攻擊的參考資料。

　　對WEB的安全性測試是一個(gè)很大的題目，首先取決于要達到怎樣的安全程度。不要期望網(wǎng)站可以達到100%的安全，須知，即使是美國國防部，也不能保證自己的網(wǎng)站100%安全。對于一般的用于實(shí)現業(yè)務(wù)的網(wǎng)站，達到這樣的期望是比較合理的：

　　1、能夠對密碼試探工具進(jìn)行防范；

　　2、能夠防范對cookie攻擊等常用攻擊手段；

　　3、敏感數據保證不用明文傳輸；

　　4、能防范通過(guò)文件名猜測和查看HTML文件內容獲取重要信息；

　　5、能保證在網(wǎng)站收到工具后在給定時(shí)間內恢復，重要數據丟失不超過(guò)1個(gè)小時(shí)；

　　最后補充一點(diǎn)，瀏覽器的漏洞也可能會(huì )導致網(wǎng)站的不安全。