| 出版日期:2003-08-11 总期号:1240 本年期号:59 |
|
 |
谁来保护网络应用程序
赵峰 很多企业在使用B2B应用程序和电子商务网站时,没有考虑应用程序代码潜在的安全性问题,这是令人担忧的,因为恶意的网络攻击者可能通过提交URL来访问禁止进入的页面;也可能通过利用程序中的代码造成缓冲区溢出,来获得特殊的系统权限;也可能在网络浏览器中植入恶意指令和脚本,随后在Web服务器上运行。然而这些仅仅是灾难的开始,攻击者最后可能进入后端的系统数据库,然后获取诸如信用卡号等重要信息。 有两类产品可以解决网络应用程序的安全问题,第一类是应用程序扫描器(AVS)。AVS可以帮助企业找到网络应用程序安全上的薄弱环节,在开发过程或是质量保证阶段应用AVS,可以帮助应用程序的开发者从基础上构造安全的系统。AVS也可以扫描已经投入使用的应用程序来检测安全上的隐患,并发现不正确配置或是需要打补丁的操作系统。 第二类产品通常被称作网络应用程序防火墙,它们可以用来作为Web服务器前端的网关,解码流入的信息并使用严格的安全准则进行过滤,从而阻止任何非标准的请求(有可能是恶意的请求)到达Web服务器。下面介绍AVS和网络应用程序防火墙保护网络应用程序安全的机制。 应用程序扫描器AVS 使用AVS包括两个方面:首先,AVS扫描应用程序服务器,来检测是否存在不正确的配置和没有及时安装的补丁;接下来,AVS会检查应用程序的代码本身。扫描工具通常是为网络管理员和安全部门所使用,但是开发商们正在将这类工具的使用范围推广到软件开发者。Sanctum公司的Orrin说:“这样做的目的是在软件的生命周期中更早地进行安全测试。想象一下,如果IT部门发现了缓冲区溢出等问题,他们又能做些什么呢?而软件开发小组可以在软件上市前修补诸如缓冲区溢出等安全漏洞”。专家们建议管理员,应该经常对网络应用程序进行安全扫描,越是重要的应用程序,越应该进行更为频繁的安全扫描。 网络应用程序防火墙 网络应用程序防火墙能够实时保护网络应用程序,使其免受基于网络和基于应用程序的攻击。从网络角度来看,网络应用程序防火墙起着安全代理的作用——阻断了HTTP和HTTPS的连接并阻止了对其后的服务器其他端口的访问。有些网络应用程序防火墙还能让管理员在遭受黑客工具扫描时,将Web服务器进行伪装。 使用网络应用程序防火墙分为两个阶段:第一个阶段,防火墙处于学习模式,在这种模式下,防火墙检测应用程序的行为,管理员可在实验室或是正在运行的应用程序上运行防火墙,此时防火墙被动地监视网络通信以掌握应用程序的行为特征并准备正确合理的安全准则;在完成学习模式后,防火墙进入保护模式,分析正在运行的应用程序所产生的通信流量,阻挡网络攻击并向管理员发出警报,从而对网络应用程序进行安全保护。 |
||||||||||||||||||||||||||
