| 首页 产品介绍 热点讨论 历史回顾 资料下载 相关推荐 | 使用 Rational AppScan 保证Web应用的安全性第一部分:
Web 安全与 Rational AppScan 入门
本文将从对Web应用现状的分析入手,通过列举常见的攻击手段,阐明Web应用目前面临的挑战,同时,通过对 Rational AppScan 平台的介绍,协助企业制定Web应用安全解决方案,为企业的Web应用披上盔甲。在第一部分,将介绍Web安全与 Rational AppScan 的入门知识。在后续的 第二部分 将介绍如何使用 Rational AppScan 应对Web应用攻击。
同时,请不要错过多媒体课堂“ Rational AppScan: 全面检测Web安全漏洞的利器”,深入了解 Rational AppScan 。
前言
当今世界, Internet (因特网)已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断的完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据 Gartner 的最新调查,信息安全攻击有 75% 都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。然而现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。
本文将从对Web应用现状的分析入手,通过列举常见的攻击手段,阐明Web应用目前面临的挑战,同时,通过对 Rational AppScan 平台的介绍,协助企业制定Web应用安全解决方案,为企业的Web应用披上盔甲。
Web 应用的基础概念
在讨论Web应用安全之前,先简单介绍一下Web应用基础概念,这样便于理解为什么Web应用是脆弱的,容易受到攻击。
1 、 什么是Web应用 Web 应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用 HTTP 协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信 。 2 、Web应用的架构 尽管不同的企业会有不同的Web环境搭建方式,一个典型的Web应用通常是标准的三层架构模型,如图 1 所示。
在这种最常见的模型中,客户端是第一层;使用动态Web内容技术的部分属于中间层;数据库是第三层。用户通过Web浏览器发送请求(request)给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。
当讨论起Web应用安全,我们经常会听到这样的回答:
在企业Web应用的各个层面,都会使用不同的技术来确保安全性。为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到企业Web服务器的传输安全,通信层通常会使用 SSL (安全套接层)技术加密数据;企业会使用防火墙和 IDS (入侵诊断系统) /IPS (入侵防御系统)来保证仅允许特定的访问,不必要暴露的端口和非法的访问,在这里都会被阻止;即使有防火墙,企业依然会使用身份认证机制授权用户访问Web应用。 但是,即便有防病毒保护、防火墙和 IDS/IPS ,企业仍然不得不允许一部分的通讯经过防火墙,毕竟Web应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web应用必须的 80 和 443 端口,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。这里需要注意的是,Web应用是由软件构成的,那么,它一定会包含缺陷(bugs),这些 bug 就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。 因此可以看出,企业的回答,并不能真正保证企业的应用安全:
只要访问可以顺利通过企业的防火墙,Web应用就毫无保留的呈现在用户面前。只有加强Web应用自身的安全,才是真正的Web应用安全解决之道。
原文地址:http://www.ibm.com/vrm/newsletter_10104_2516_57211_email_DYN_1IN/xchen94266440
|
进一步购买意向
