提升Web应用安全性的第一步是抛弃那些常见的错误想法,浏览以下几点误区会帮您避免走上歧路。
许多公司都持续关注Web应用安全,这并不让人感到意外。目前绝大多数行业的公司都使用web app来发布产品和为顾客提供服务。他们需要快速地更新app,可实现app的敏捷开发并不总是一帆风顺。鉴于日益严峻的网络安全威胁,我们需要更好地保持app的安全性。
一旦你能识别那些不切实际的谬论,你就有了更大的把握去写出对项目而言真正有效的安全程序。
误区一:我们做了入侵测试,这还不够吗?
入侵测试有很多好处,它能查明在小的脆弱部分(如微小的代码漏洞和员工违反安全协议)遭受攻击时你的网络中能被攻击者利用的关键缺陷。但它无法防御对网络和数据而言威胁极大的初始攻击。
当安全团队得知将有入侵测试时通常会提前做准备,这种做法潜在性地导致人们对公司app安全性的盲目乐观态度。与标明日期的入侵测试不同,恶意攻击可不会做出提前警告。
误区二:如果我们保护好外围网络,我们的app就是安全的。
一个常见的误解是外围安全措施如防火墙,反恶意软件和入侵侦测可以完全保护web应用。不幸的是,先进的SQL注入和海量访问攻击可以轻松突破这些外围安全措施。
攻击者可以利用外围网络之外易受攻击的web应用和节点等漏洞,比如移动端或物联网设备。
即使一个应用缺陷仅能给攻击者一次机会窗口,也会潜在威胁公司的整个网络。
像防火墙那样的工具虽然很重要,可它们离全方位保护还差的很远。
误区三:在应用未上线前安全问题不用过分考虑
web app在开发的任何阶段都需要安全防护。
事实是筹划和测试站点时同样可能面临对其他网站具有威胁的漏洞。
关键是确保早期并不完善的app版本不会对黑客提供入口(拥有自动化工具的攻击者可以发现这些初级版本的app)。
误区四:我们更注重商业软件,所以web app安全不是我们处理的问题
人们从开发app的公司获得的app还有许多漏洞。即使是商业软件也包含了开源或第三方的代码,这些代码可能存在威胁其他代码的漏洞。
误区五:我们无需担心安全问题:因为我们的站点很小,不容易成为目标
这个误区尤其危害公司应用的安全状况。无论是初级的脚本攻击者还是经验丰富的黑客组织,利用自动化工具可以轻松侦测网站和web app的漏洞。这种状况下小目标无法保证不受攻击。
若您想了解更多web app的安全威胁并强化应用的安全防御,请访问我们的链接:https://www.immun.io/account-takeover-how-hacking-happens-in-2016
注:此文为译文
原文链接:https://dzone.com/articles/five-myths-of-web-application-security