WEB应用共享平台给我们的生活带来了便利。然而,安全问题却越来越突出。如今,很多攻击都针对WEB应用。不少网站也容易遭到攻击。我们必须妥善解决这一隐患。
WEB应用攻击现状
如今基于WEB应用层面的攻击相当常见。据Gartner调查,超75%的攻击行为都来源于此,并非网络层面。中国互联网应急中心统计,2009年大陆地区不少zf网页被篡改,数量有52225个。这表明WEB应用面临着严峻的安全形势,大量攻击都想通过这个途径入侵。
网站脆弱性情况
数据表明,三分之二的网页站点十分脆弱,很容易遭到攻击。在2009年8月,公安部对国内政府网站展开检查。结果发现,40%的网站存在严重安全漏洞。像SQL注入以及跨站脚本漏洞等都包含在内。一旦网站被篡改并添加了敏感内容,所产生的影响极大。甚至有可能引发政治事件。所以,网站的脆弱性必须得到重视。
机密数据外泄风险
在线业务系统存有企业资料与公众资料。这些资料涉及企业秘密和个人隐私。一旦数据泄露。企业利益会受损。个人利益也会受损。单位还可能面临法律纠纷。比如企业客户信息泄露。客户可能遭受骚扰。企业声誉也会受损。这不是小事。
现有安全保护措施
企业在WEB应用各层面采用技术保障安全。用户安装防病毒软件保护客户端机器。通信层运用SSL技术加密数据,确保传输安全。防火墙以及IDS/IPS可阻止不必要暴露的端口与非法访问。还有身份认证机制用于授权访问。这些举措在一定程度上保障安全。
现有保护的不足
即便采取了防病毒保护、防火墙以及IDS/IPS等措施。企业仍需让部分通讯通过防火墙。WEB应用属于软件。软件必然存在漏洞。恶意用户会利用这些漏洞偷窃重要信息。恶意用户会利用这些漏洞操控重要信息。恶意用户会利用这些漏洞破坏重要信息。网站常常在被入侵后才发现有程序漏洞。这表明现有保护存在覆盖不到的地方。
主动防御新技术
要在攻击前主动发现WEB应用程序漏洞,就需要主动防御。利用WEB应用弱点扫描技术来进行防护。本文还对B/S架构WEB应用系统典型漏洞等展开了研究。提出了新的面向WEB的漏洞检测技术。该技术能完整提取AJAX资源。还能有效识别验证码。为安全防护提供了新方法。
大家认为这种新的漏洞检测技术能否有效解决WEB应用的安全问题?记得点赞并分享。