随着企业数字化转型的深入,越来越多的业务应用系统部署在互联网平台上,引起了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁日益凸显。开始出现。攻击者利用网站系统和Web服务程序中的安全漏洞,很容易获得对企业Web应用系统和服务器设备的控制权限,从而进行网页篡改、数据窃取等破坏性活动,严重损害业务发展企业的。保障Web应用安全已经成为业界共识。但研究人员发现,很多企业对Web应用安全保护还存在很多误解,随时可能导致严重的安全问题和事故。误区一:我们只是普通的企业组织,我们的Web应用系统不会受到攻击。事实:大多数网络攻击都是自动进行且没有针对性的,因此每个企业都可能成为攻击者的目标。无论是大型企业还是中小型企业用户,普遍认为坏事只会发生在其他组织身上。许多组织认为他们免受网络攻击是安全的,因此不需要担心Web应用程序的安全性。但事实是,目前的网络攻击大多是由有组织的犯罪团伙发起的。他们每天对全球网络进行自动攻击嗅探。一旦机器人程序发现了可利用的安全漏洞(如Log4Shell),其业务就完蛋了。每个企业都应该为防止Web应用程序攻击做好充分的准备和计划。误区二部署WAF可以防止对Web应用系统的攻击。真相:WAF不可能是Web应用系统的唯一防线,攻击者会专门为WAF寻找相应的绕过策略。部署Web应用程序防火墙(WAF)可以确保Web应用程序安全是最常见的误解之一。WAF可以看作是网络防火墙的Web版本,它可以过滤HTTP流量以检测和阻止可能的攻击企图。WAF也经常被用作负载均衡系统,提供额外的应用安全能力,这对于暂时防止零日漏洞的突然爆发是有价值的。然而,他们很难检测到所有可能的攻击,只要系统中存在未被发现的安全漏洞,攻击者就有可能找到绕过WAF规则的方法。误区三企业网站已经使用HTTPS协议,Web应用系统是安全的。真相:HTTPS只能保护用户数据不被窃取和篡改,不能防止恶意流量等威胁。应用HTTPS意味着所有Web应用程序流量都被加密,这是防止中间人攻击的关键最佳实践,但不能防止攻击者已经建立有效连接的应用程序级攻击。例如,如果攻击者可以在易受攻击的纯HTTPS应用程序中访问或创建有效的用户帐户,他们就可以通过安全的加密连接行为随意尝试SQL注入、权限提升和其他攻击。误区四如果Web应用系统只运行在企业内部网络上,是安全的。真相:网络攻击者可以通过受损的Web服务器系统间接攻击Web应用程序,甚至在内部网络中也是如此。很多人错误地认为,不与互联网相连的内网Web应用系统是安全的,不会受到基于Web的网络的攻击。事实上,攻击者可以利用服务器端请求伪造(SSRF)等漏洞,以被攻陷的服务器为跳板,攻击企业内网的应用系统。尤其是在云优先的环境下,很多组织不再拥有物理上完全隔离的内部网络,只采用私有云部署,这对Web应用来说又是一个安全隐患。误区5:只允许通过VPN访问的Web应用程序是安全的。事实:VPN是保护Internet隐私的强大工具,但它并不是保护Web应用程序的完整解决方案。远程工作风靡一时,虚拟专用网络(VPN)已成为企业常用的远程访问工具。虽然VPN确实提供了额外的隔离和访问控制,就像内部网络一样,但不应将VPN视为Web应用程序系统的安全凭证。如果攻击者设法获得对VPN的访问权限(例如使用窃取的凭据、受损的员工帐户或某种社会工程技巧),则任何Web应用程序都可能容易受到攻击。误区六浏览器内置的攻击防护机制可以保障应用安全。真相:浏览器安全性是对应用程序安全性的补充,但不能取代它。大约十年前,由于跨站脚本漏洞的盛行,浏览器服务商试图将XSS过滤器直接嵌入到浏览器中,误导了大量企业用户:新一代浏览器可以为Web应用提供安全保护。但是实践表明,这种保护作用非常有限,已经被很多高级浏览器去掉了。事实上,浏览器安全是Web安全的一个完全独立且至关重要的方面,不应将浏览器作为应用程序的额外防线。相反,Web开发人员应该努力遵循允许浏览器正确处理和呈现应用程序的公认行业标准和规范。误区七:Web应用系统都有备份,即使发生安全事件也可以快速恢复。事实:备份对于数据存储和业务连续性很重要,但它们无法减轻数据泄露造成的附带损害和损失。备份一直是企业整体安全策略的重要组成部分,拥有良好的备份和可靠的恢复计划是无可替代的。但备份只能防止数据丢失和损坏,而不能帮助企业避免网络攻击带来的其他灾难性后果(系统停机、商业秘密泄露、品牌声誉受损等)。因此,备份是Web应用安全保护计划中不可或缺的一部分,但企业对保障应用系统安全的需求与时刻准备好数据恢复同样重要。误区八Web应用的开发框架是安全可靠的,应用系统也是安全的。真相:一个高质量的开发框架可以防止很多安全漏洞,但光有框架是不够的。Web应用框架和模块库彻底改变了Web应用系统的开发方式,为构建生产级站点和应用提供了基础,将大大节省应用开发的时间和资源。选择一个安全可靠的框架当然很重要,因为它可以帮助企业避免很多类型的技术漏洞,尤其是跨站脚本(XSS)类型的漏洞。但即使开发者严格遵守规范,Web开发框架也无法识别所有应用场景中的漏洞。因此,使用可靠的Web开发框架只是安全编程的基础。误区九、应用在发布前已经在集成开发环境(IDE)中进行了安全检查,是安全的。真相:静态代码安全检查只是确保整体应用程序安全的一种方法。新一代的Web开发工具通常带有集成的代码安全检查工具,有时甚至是免费插件。使用该工具的好处是可以提高开发人员的安全意识,减少人为失误带来的安全风险。但这些工具也有其应用局限性,只能识别有限数量的问题,并且容易出现误报,淹没真正的警报。虽然在IDE中加入面向安全的检查工具有助于避免Web应用程序的安全问题,但需要认识到这只是保证应用程序安全的众多手段之一。通过所有静态安全检查并不能保证应用程序的绝对安全。有很多事情可能会出错。误区10Web应用安全保护不是开发团队的工作。真相:保护应用程序是现代Web应用程序开发的重要组成部分,尤其是在应用程序开发安全操作(DevSecOps)模型之后。由于应用需求的提高,Web应用系统变得更加复杂,保护Web应用安全与每个人都息息相关,安全策略应该从开发阶段就启动。有效发现安全漏洞并及时处理修复请求,对于避免重大安全事件的发生、节省安全防护资源至关重要。
