2020年，CVE Details的數(shù)據(jù)顯示，平均每天發(fā)現(xiàn)50個(gè)新的漏洞。因此，采取防護(hù)措施保護(hù)Web應(yīng)用程序?qū)ζ髽I(yè)安全的至關(guān)重要。本文將探索七種最佳實(shí)踐給予Web應(yīng)用程序最安全的保護(hù)。

背景

據(jù)IBM報(bào)告稱，一次安全漏洞的平均成本為 386 萬美元。他們對(duì)攻擊媒介的分析表明，16% 的入侵源于第三方軟件中的漏洞。Verizon 《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》的數(shù)據(jù)顯示，近五分之二 (39%) 的數(shù)據(jù)泄露是由網(wǎng)絡(luò)應(yīng)用程序泄露造成的。

多年來，Web 應(yīng)用程序變得越來越復(fù)雜。隨著SaaS業(yè)務(wù)的出現(xiàn)，越來越多的數(shù)據(jù)存儲(chǔ)在云端。相比以往，物理服務(wù)器變得越來越少見，大多數(shù)企業(yè)使用云服務(wù)器取代了物理服務(wù)器。因?yàn)椋?/span>

• 云服務(wù)器節(jié)約了硬件成本，比物理服務(wù)器維護(hù)成本低；
• 使用云服務(wù)器可輕松且經(jīng)濟(jì)高效地托管其 Web 應(yīng)用程序。

然而，云服務(wù)器已成為企業(yè)在保護(hù)其 Web 應(yīng)用程序的同時(shí)需要保護(hù)的對(duì)象。另外，我們也將CRM工具、電子郵件營銷工具或網(wǎng)絡(luò)分析工具等營銷工具連接到網(wǎng)絡(luò)應(yīng)用程序。雖然這些工具為業(yè)務(wù)的開展提供了便利性，但它們也成為黑客攻擊的潛在目標(biāo)。

對(duì)于Web應(yīng)用程序時(shí)，SQL注入、跨站腳本(XSS)攻擊和身份驗(yàn)證漏洞仍然是黑客利用Web應(yīng)用程序最喜歡的攻擊載體。雖然不能百分百確定預(yù)防每一次攻擊，但主動(dòng)遵循Web應(yīng)用程序安全最佳實(shí)踐可有效防護(hù)Web應(yīng)用安全威脅！

但什么是Web應(yīng)用程序安全，以及哪些Web應(yīng)用程序安全最佳實(shí)踐可以立即發(fā)揮作用呢？

什么是Web應(yīng)用程序安全？

Web 應(yīng)用程序是運(yùn)行在Web 服務(wù)器上軟件程序（這意味著它不限于傳統(tǒng)桌面軟件等單個(gè)設(shè)備）。Web應(yīng)用程序安全包括所有與保護(hù)Web應(yīng)用程序、服務(wù)和服務(wù)器免受網(wǎng)絡(luò)攻擊和威脅有關(guān)的內(nèi)容。這需要從您現(xiàn)有的程序和策略到您部署的技術(shù)來減少不法分子可能利用的漏洞。

動(dòng)態(tài)網(wǎng)站的興起帶動(dòng)了Web 2.0的發(fā)展。動(dòng)態(tài)網(wǎng)站方便用戶與網(wǎng)站實(shí)現(xiàn)互動(dòng)，讓他們更容易地輸入自己的信息或在網(wǎng)站內(nèi)搜索。這時(shí)候Web應(yīng)用程序安全的重要性才真正顯現(xiàn)。如果用戶可以與一個(gè)網(wǎng)站進(jìn)行交互并輸入敏感信息，如用戶名、密碼等，那么黑客也可以輸入惡意代碼，如果配置不當(dāng)，黑客就可以竊取該網(wǎng)站。這時(shí)候諸如SQL注入、XSS和 LFI等所有重大漏洞就出現(xiàn)了。

為什么Web應(yīng)用程序安全很重要？

未實(shí)施Web應(yīng)用程序安全可能會(huì)有以下后果：

數(shù)據(jù)泄露

如果您的客戶信任您的數(shù)據(jù)，那么您有責(zé)任確保他們的數(shù)據(jù)安全地存儲(chǔ)在您的應(yīng)用程序中。這包括確保您的Web應(yīng)用程序中沒有導(dǎo)致數(shù)據(jù)泄露的漏洞。最近有一個(gè)例子可以說明公司未做好保護(hù)數(shù)據(jù)安全的后果，看看福特就知道了。福特的網(wǎng)站存在漏洞，導(dǎo)致員工和客戶數(shù)據(jù)泄露。理想情況下，擁有一個(gè)正確配置的客戶管理系統(tǒng)可以防止這個(gè)漏洞。

資金損失

不采取必要措施保護(hù)您的Web應(yīng)用程序可能會(huì)導(dǎo)致大量服務(wù)中斷和停機(jī)，從而導(dǎo)致銷售和收入損失。想象一下，一家電子商務(wù)網(wǎng)站因數(shù)據(jù)泄露而停機(jī)數(shù)小時(shí)——這可能會(huì)對(duì)他們的業(yè)務(wù)產(chǎn)生毀滅性的影響。保險(xiǎn)公司 Hiscox 透露，黑客攻擊導(dǎo)致企業(yè)平均損失 200,000美元。

信譽(yù)流失

隨著數(shù)據(jù)泄露、勒索軟件攻擊和網(wǎng)絡(luò)黑客事件頻繁發(fā)生，用戶比以往任何時(shí)候都更加關(guān)注網(wǎng)絡(luò)安全。對(duì)于用戶來說，網(wǎng)絡(luò)安全正成為他們?cè)?span lang="EN-US">Web應(yīng)用程序上分享個(gè)人信息之前考慮的因素之一。黑客攻擊可能會(huì)嚴(yán)重?fù)p害品牌形象和用戶信任，在某些情況下甚至?xí)?dǎo)致業(yè)務(wù)終止。

合規(guī)與處罰

在數(shù)據(jù)和隱私泄露之后，政府對(duì)不遵守安全標(biāo)準(zhǔn)的公司變得更加嚴(yán)格。 GDPR、HIPAA、PCI、ISO/IEC 27001 和更多此類安全規(guī)定已開始生效，以確保企業(yè)不會(huì)在保護(hù)用戶隱私的安全性方面做出妥協(xié)。不嚴(yán)格執(zhí)行Web 應(yīng)用程序安全策略可能會(huì)觸犯以上法規(guī)條例，從而面臨巨額罰款、處罰和訴訟。

七大Web應(yīng)用程序安全最佳實(shí)踐

關(guān)于Web應(yīng)用安全的重要一點(diǎn)是確保它能全天候工作，不斷地自我改造，并且不影響客戶服務(wù)。首先，通過對(duì)您的Web應(yīng)用程序進(jìn)行Web應(yīng)用程序安全測(cè)試來進(jìn)行深入的安全態(tài)勢(shì)檢查。

以下是一些最佳的安全策略，可以讓您有效地維護(hù)Web應(yīng)用程序。

1.?? 執(zhí)行全面的安全審計(jì)

確保您遵循Web應(yīng)用程序安全最佳實(shí)踐并識(shí)別系統(tǒng)中的安全漏洞的最好方法是定期進(jìn)行安全審計(jì)。這將幫助您掌握隱藏在Web應(yīng)用程序中的潛在安全漏洞，并確保免受目標(biāo)攻擊。

為了獲得全面又客觀的結(jié)果，您可以選擇專業(yè)的第三方測(cè)試團(tuán)隊(duì)來進(jìn)行滲透測(cè)試。通常采用三種審計(jì)類型：黑盒安全審計(jì)、白盒安全審計(jì)和灰盒安全審計(jì)來完成測(cè)試，幫助您快速識(shí)別漏洞，并修復(fù)已發(fā)現(xiàn)的漏洞。

2.?? 確保數(shù)據(jù)安全加密

每當(dāng)有人訪問你的Web應(yīng)用程序時(shí)，他們可能會(huì)在您的網(wǎng)站上傳輸機(jī)密信息，這些信息需要被保護(hù)以防被竊聽，確保在訪問者的瀏覽器和服務(wù)器之間傳輸?shù)臄?shù)據(jù)是加密的。這就是SSL/TLS發(fā)揮作用的地方。SSL/TLS通過安全的HTTPS協(xié)議對(duì)您的網(wǎng)站訪問者與您的網(wǎng)站服務(wù)器之間發(fā)生的所有通信進(jìn)行加密。顯然，此類加密技術(shù)對(duì)于維護(hù)敏感用戶數(shù)據(jù)的機(jī)密性和完整性都是不錯(cuò)的實(shí)踐。

除了動(dòng)態(tài)數(shù)據(jù)需要加密之外，靜態(tài)數(shù)據(jù)同樣需要加密，以防止服務(wù)端干預(yù)。如果內(nèi)部員工、正式員工或系統(tǒng)管理員復(fù)制或完全刪除您的驅(qū)動(dòng)器，那么您的所有安全屏障都將變得毫無用處。保護(hù)靜態(tài)數(shù)據(jù)的一些最佳實(shí)踐包括：

1. 實(shí)施Web應(yīng)用防火墻，僅允許合法用戶的訪問，并阻斷各種惡意的請(qǐng)求。
2. 在存儲(chǔ)敏感數(shù)據(jù)之前，先用最強(qiáng)的算法加密。
3. 將數(shù)據(jù)存儲(chǔ)在單獨(dú)服務(wù)器上的受密碼保護(hù)的安全數(shù)據(jù)庫中。
4. 采用基礎(chǔ)設(shè)施安全策略。

3.?? 實(shí)時(shí)安全監(jiān)控

一個(gè)Web應(yīng)用防火墻可以實(shí)時(shí)監(jiān)控您的Web應(yīng)用程序的安全狀況。WAF可幫助您實(shí)時(shí)阻止網(wǎng)站或Web應(yīng)用程序中任何看似惡意的活動(dòng)，例如：SQL注入，XSS攻擊或DDoS 攻擊。

但是，在某些情況下，WAF可能會(huì)出現(xiàn)誤報(bào)或錯(cuò)過安全威脅的跡象的情況。因此，除了WAF，您可能還需要使用其他監(jiān)控軟件，如銳成UCM證書管理系統(tǒng)，定期掃描，實(shí)時(shí)SSL證書監(jiān)控，并給予安全預(yù)警。

4.?? 遵循正確的日志記錄實(shí)踐

并非所有的安全漏洞風(fēng)險(xiǎn)都足以引起掃描程序或防火墻的注意。為了解決這個(gè)問題，需要遵循正確的日志記錄實(shí)踐。這將確保您了解在什么時(shí)間發(fā)生了什么事，情況是如何發(fā)生的以及同時(shí)發(fā)生的其他事情的詳細(xì)信息。

為了獲取與安全事件或相關(guān)的數(shù)據(jù)，需要使用正確的日志工具來記錄。日志工具也為防火墻和安全掃描程序提供了很好的反饋機(jī)制。日志記錄還可以確保在出現(xiàn)漏洞的情況下，讓查詢?cè)蚝凸粽叩娜蝿?wù)變得更容易。如果沒有正確的日志記錄，事故發(fā)生后就難以取證。

5.?? 持續(xù)檢查常見Web漏洞

為此，遵循OWASP安全編碼規(guī)范，務(wù)必掌握并定期測(cè)試您的Web應(yīng)用程序，檢查常見安全漏洞，保證它們能夠抵御此類威脅。因?yàn)檫@些常見漏洞，如注入攻擊、身份驗(yàn)證漏洞、跨站點(diǎn)腳本攻擊和敏感數(shù)據(jù)泄露會(huì)對(duì)Web應(yīng)用程序構(gòu)成嚴(yán)重威脅。

6.?? 實(shí)施安全加固措施

下面這些組件需要在默認(rèn)設(shè)置之外進(jìn)行安全加固:

• 最大腳本執(zhí)行時(shí)間：腳本執(zhí)行時(shí)間定義了特定腳本在服務(wù)器上可以運(yùn)行的時(shí)間。使用較小數(shù)量作為最大執(zhí)行時(shí)間可以減少攻擊者的可能性。
• 禁用模塊：禁用Web服務(wù)器上未被使用的模塊或擴(kuò)展包，這樣可以減少攻擊面。
• 添加內(nèi)容安全策略：有效的內(nèi)容策略通過指定可信的重定向url來防止重定向惡意軟件接管惡意感染。

7.?? 定期漏洞掃描及更新

正如開篇所說，每天都會(huì)發(fā)現(xiàn)50多個(gè)新漏洞，而黑客可以通過這些漏洞快速識(shí)別哪些是易攻擊的程序。此外，所有Web應(yīng)用程序的服務(wù)器都應(yīng)該采用最新的安全版本，您可通過手動(dòng)檢測(cè)或自動(dòng)化工具更新程序，并確保隨時(shí)了解最新的安全漏洞，為您的Web應(yīng)用啟動(dòng)保護(hù)措施。

小結(jié)

網(wǎng)絡(luò)趨勢(shì)迅猛發(fā)展，忽視Web應(yīng)用程序安全可能會(huì)給企業(yè)造成經(jīng)濟(jì)損失和聲譽(yù)損害。但值得慶幸的是，保護(hù)應(yīng)用程序安全不再是一個(gè)非常棘手的事情，只要遵循Web應(yīng)用安全最佳實(shí)踐，主動(dòng)采取Web安全策略和有效的防護(hù)措施來確保敏感的數(shù)據(jù)信息、Web應(yīng)用、以及信息系統(tǒng)等資產(chǎn)，免受攻擊與侵害。