隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，越來越多的業(yè)務(wù)應(yīng)用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺上，這吸引了網(wǎng)絡(luò)犯罪團伙的強烈關(guān)注，以Web攻擊為代表的應(yīng)用層安全威脅開始凸顯。通過利用網(wǎng)站系統(tǒng)和Web服務(wù)程序的安全漏洞，攻擊者可以輕松獲取企業(yè)Web應(yīng)用系統(tǒng)及服務(wù)器設(shè)備的控制權(quán)限，從而進行網(wǎng)頁篡改、數(shù)據(jù)竊取等破壞活動，嚴(yán)重?fù)p害企業(yè)的業(yè)務(wù)發(fā)展。

　　保障Web應(yīng)用安全已經(jīng)成為行業(yè)普遍認(rèn)知。但研究人員發(fā)現(xiàn)，目前很多企業(yè)對Web應(yīng)用安全防護還存在許多認(rèn)知誤區(qū)，這隨時可能引發(fā)嚴(yán)重的安全問題和事故。

　　誤區(qū)一

　　我們只是普通的企業(yè)組織，我們的Web應(yīng)用系統(tǒng)不會被攻擊。

　　真相：大多數(shù)網(wǎng)絡(luò)攻擊是自動化的、沒有特定目標(biāo)的，因此每個企業(yè)都可能成為攻擊者的目標(biāo)。

　　不管是大型企業(yè)，還是中小企業(yè)用戶，普遍都認(rèn)為壞事只會發(fā)生在其他機構(gòu)。許多組織抱著僥幸心理，以為自己不會受到網(wǎng)絡(luò)攻擊，因此無需操心Web應(yīng)用程序安全。但事實是，現(xiàn)在的網(wǎng)絡(luò)攻擊大都是由有組織的犯罪團伙發(fā)起，它們每天都在全球網(wǎng)絡(luò)上進行自動攻擊嗅探，一旦機器人程序發(fā)現(xiàn)了可被利用的安全漏洞（比如Log4Shell），其所在的企業(yè)就在劫難逃。每個企業(yè)都應(yīng)該為防范Web應(yīng)用攻擊做好充分的準(zhǔn)備和預(yù)案。

　　誤區(qū)二

　　部署WAF就可以阻止針對Web應(yīng)用系統(tǒng)的攻擊。

　　真相：WAF并不能成為Web應(yīng)用系統(tǒng)防御的唯一防線，攻擊者會專門針對WAF尋找相應(yīng)的繞過策略。

　　部署Web應(yīng)用防火墻（WAF）就能夠保證Web應(yīng)用安全是目前最常見的認(rèn)知誤區(qū)之一。WAF可以被看成是Web版的網(wǎng)絡(luò)防火墻，它可以過濾HTTP流量以檢測并阻止可能存在的攻擊企圖。WAF還常常用作負(fù)載均衡系統(tǒng)，提供額外的應(yīng)用安全能力，對于臨時阻止突然爆發(fā)的零日漏洞很有價值。然而，它們卻很難檢測出所有可能的攻擊，只要系統(tǒng)中存在未被發(fā)現(xiàn)的安全漏洞，攻擊者就有可能會找到繞過WAF 規(guī)則的方法。

　　誤區(qū)三

　　企業(yè)網(wǎng)站已經(jīng)使用了HTTPS協(xié)議，因此Web應(yīng)用系統(tǒng)是安全的。

　　真相：HTTPS只保護用戶數(shù)據(jù)免受竊取和篡改，卻無法防范惡意流量等威脅。

　　應(yīng)用HTTPS表示所有Web應(yīng)用流量都經(jīng)過加密，這是防止中間人攻擊的關(guān)鍵最佳實踐，但卻無法防范攻擊者已經(jīng)建立有效連接的應(yīng)用程序級攻擊。比如說，如果攻擊者可以在易受攻擊的純HTTPS應(yīng)用程序中訪問或創(chuàng)建有效的用戶賬戶，他們就可以隨意嘗試SQL注入、權(quán)限提升及其他攻擊，而這一切都是在安全加密的連接中進行。

　　誤區(qū)四

　　如果Web應(yīng)用系統(tǒng)僅在企業(yè)內(nèi)部網(wǎng)絡(luò)上運行就是安全的。

　　真相：網(wǎng)絡(luò)攻擊者可以通過受攻擊的Web服務(wù)器系統(tǒng)間接攻擊Web應(yīng)用程序，即使在內(nèi)部網(wǎng)絡(luò)中也是如此。

　　很多人會錯誤認(rèn)為，沒有連接互聯(lián)網(wǎng)的內(nèi)網(wǎng)Web應(yīng)用系統(tǒng)就是安全的，不會受到基于Web的網(wǎng)絡(luò)攻擊。實際上，攻擊者可以利用服務(wù)器端請求偽造（SSRF）之類的漏洞，以某一臺被攻陷的服務(wù)器為跳板，攻擊企業(yè)內(nèi)網(wǎng)上的應(yīng)用系統(tǒng)。特別是在云優(yōu)先環(huán)境下，許多組織不再擁有完全物理隔離的內(nèi)部網(wǎng)絡(luò)，只有私有云部署的應(yīng)用方式，這是另一種Web應(yīng)用的安全隱患。

　　誤區(qū)五

　　只允許通過VPN訪問的Web應(yīng)用系統(tǒng)是安全的。

　　真相：VPN是保護互聯(lián)網(wǎng)隱私的強大工具，但不是保護Web應(yīng)用安全的完整解決方案。

　　遠程工作模式大行其道，虛擬專用網(wǎng)（VPN）已變成企業(yè)普遍使用的遠程訪問工具。盡管VPN確實提供了額外的隔離和訪問控制，就像內(nèi)部網(wǎng)絡(luò)一樣，但不應(yīng)該將VPN視為Web應(yīng)用系統(tǒng)的安全憑證。如果攻擊者設(shè)法訪問了 VPN（比如使用被盜的憑據(jù)、泄露的員工賬戶或某種社會工程伎倆），任何Web應(yīng)用程序都可能很容易受到攻擊。

　　誤區(qū)六

　　瀏覽器內(nèi)置的攻擊防護機制可以保障應(yīng)用安全。

　　真相：瀏覽器安全機制是應(yīng)用程序安全防護的補充，但卻無法取而代之。

　　大概十年前，因為跨站腳本漏洞的盛行，瀏覽器服務(wù)商嘗試將XSS過濾器直接嵌入到瀏覽器中，這誤導(dǎo)了一大批企業(yè)用戶：新一代瀏覽器可以對Web應(yīng)用程序進行安全防護。但實踐表明，這種保護措施的效果非常有限，并且已從很多高版本瀏覽器中刪除。實際上，瀏覽器安全是網(wǎng)絡(luò)安全領(lǐng)域一個完全獨立又至關(guān)重要的方面，永遠不應(yīng)依賴瀏覽器作為應(yīng)用程序的額外防線。相反，Web開發(fā)者應(yīng)竭力遵循公認(rèn)的行業(yè)標(biāo)準(zhǔn)和規(guī)范，讓瀏覽器能夠正確地處理和呈現(xiàn)應(yīng)用程序。

　　誤區(qū)七

　　Web應(yīng)用系統(tǒng)有備份，即使發(fā)生安全事件也可以快速恢復(fù)。

　　真相：備份對于數(shù)據(jù)存儲和保持業(yè)務(wù)連續(xù)性很重要，但卻無法減輕數(shù)據(jù)泄密造成的間接破壞和損失。

　　備份一直是企業(yè)整體安全策略的關(guān)鍵組成部分，擁有良好的備份和可靠的恢復(fù)方案是無可替代的。但是備份只能防止數(shù)據(jù)丟失和損壞，卻無法幫助企業(yè)避免網(wǎng)絡(luò)攻擊產(chǎn)生的其他災(zāi)難性后果（系統(tǒng)停運、商業(yè)秘密泄露和品牌商譽損失等）。因此，備份是Web應(yīng)用安全防護計劃中不可或缺的部分，但企業(yè)在確保應(yīng)用系統(tǒng)安全性方面的要求與隨時準(zhǔn)備數(shù)據(jù)恢復(fù)一樣重要。

　　誤區(qū)八

　　Web應(yīng)用的開發(fā)框架是安全可靠的，因此應(yīng)用系統(tǒng)也是安全的。

　　真相：高質(zhì)量的開發(fā)框架可以防止許多安全漏洞，但僅靠框架還遠遠不夠。

　　Web應(yīng)用框架和模塊庫已徹底改變了Web應(yīng)用系統(tǒng)的開發(fā)方式，提供了構(gòu)建生產(chǎn)級站點和應(yīng)用程序的基礎(chǔ)，會大大節(jié)約應(yīng)用開發(fā)的時間和資源。選擇一種安全可靠的框架固然是重要的，因為它可以幫助企業(yè)避免很多類型的技術(shù)漏洞，特別是跨站腳本（XSS）類型的漏洞。但即使開發(fā)人員嚴(yán)格按照規(guī)范，Web開發(fā)框架不能識別所有應(yīng)用場景下的漏洞，因此，使用可靠的Web開發(fā)框架只是安全編程的基礎(chǔ)。

　　誤區(qū)九

　　應(yīng)用發(fā)布前已經(jīng)在集成開發(fā)環(huán)境（IDE）中進行了安全檢查，所以是安全的。

　　真相：靜態(tài)代碼安全檢查只是確保整體應(yīng)用程序安全性的手段之一。

　　新一代Web開發(fā)工具通常會集成代碼安全檢查工具，有時甚至作為免費插件。應(yīng)用這種工具的好處是，可以提升開發(fā)人員的安全意識，減少人為錯誤導(dǎo)致的安全隱患。但這些工具也有其應(yīng)用局限性，只能識別有限的問題，并且容易出現(xiàn)誤報，將真正的警報淹沒。雖然為IDE增添面向安全的檢查工具有利于規(guī)避Web應(yīng)用的安全問題，但需要認(rèn)識到，它只是確保應(yīng)用程序安全的眾多手段之一，通過全部靜態(tài)安全檢查并不能保證應(yīng)用程序的絕對安全，還有很多地方可能出岔子。

　　誤區(qū)十

　　Web應(yīng)用安全防護不是開發(fā)團隊的工作。

　　真相：保障應(yīng)用程序安全是現(xiàn)代Web應(yīng)用開發(fā)的重要組成部分，特別是應(yīng)用開發(fā)安全運營（DevSecOps）模式后更是如此。

　　由于應(yīng)用需求的提升，導(dǎo)致Web應(yīng)用系統(tǒng)變得更加復(fù)雜，保護Web的應(yīng)用安全與每個人息息相關(guān)，并從開發(fā)階段就啟動安全策略。有效地發(fā)現(xiàn)安全漏洞并及時處理修復(fù)請求，對于避免發(fā)生嚴(yán)重的安全事件和節(jié)省安全防護資源至關(guān)重要。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<