现在几乎所有企业都会在互联网上建立网站,他们不仅通过网站提供信息,而且还通过Web应用程序、博客和论坛与他们的客户进行互动。从网上零售商的互动婴儿注册表,到电子交易网站的投资计算器,或者软件供应商的互动支持论坛,企业每天都会产生新的Web应用程序来使获取信息。
以业务为中心的Web互动迅速发展也带来了新的信息安全威胁,而企业以前的静态网页并没有这些威胁。这些威胁主要是针对Web应用程序,包括补充的Web服务器、数据库和其他支持基础设施。
在本文中,我们将讨论Web应用程序面临的最严重的威胁以及安全团队应该如何保护应用程序。
Web应用程序面临的紧迫威胁
Cenzic、惠普、Imperva、Veracode、Whitehat Security以及Verizon等供应商都评估了当今企业面临的Web应用程序威胁,其中最常见的两种Web应用程序威胁是跨站脚本(XSS)和SQL注入攻击。这两种攻击已经存在多年了,但Web应用程序仍然容易受到它们的困扰。
鉴于这两种攻击的广泛影响范围以及丰富的攻击工具,企业必须加强Web应用程序安全性来降低攻击风险。虽然新的Web应用程序威胁也已经出现,但是大多数攻击仍然是利用这些最基本的薄弱点。
如何让Web应用程序更加安全
安全团队可以采用一些基本的方法来加强Web应用程序的安全性,包括改善Web应用程序开发和部署新工具来帮助管理Web应用程序面临的新信息安全风险。这些方法应该配合使用,而不是单独使用,同时部署其他安全控制。
改善Web应用程序开发来提高Web应用程序的安全性应该作为任何软件或安全开发生命周期的一部分。在软件开发生命周期(SDLC)方面有很多资源,例如微软以及美国国土安全部网络安全处提供的资源。开放Web应用程序安全项目(OWASP)也提供了开发指南,包括Development Guide 2010,其中讨论了安全Web应用程序开发的方法。作为软件开发生命周期的一部分,用户可能需要定期检查Web应用程序面对的最普遍的威胁,并且定期更新威胁列表。所有这些技巧都可以用于培训开发人员以改善应用程序,确保最小化安全漏洞,更快发现漏洞和更快修复漏洞。
