當討論起Web應用安全,我們經常會聽到這樣的回答:
“我們使用了防火墻”、“我們使用了網絡脆弱掃描工具”、“我們使用了 SSL 技術”、“我們每個季度都會進行滲透測試”……所以,“我們的應用是安全的”。現實真是如此嗎?讓我們壹起來看壹下 Web 應用安全的全景圖。
圖 2: 信息安全全景
在企業 Web 應用的各個層面,都會使用不同的技術來確保安全性。為了保護客戶端機器的安全,用戶會安裝防病毒軟件;為了保證用戶數據傳輸到企業 Web 服務器的傳輸安全,通信層通常會使用 SSL(安全套接層)技術加密數據;企業會使用防火墻和 IDS(入侵診斷系統)/IPS(入侵防禦系統)來保證僅允許特定的訪問,不必要暴露的端口和非法的訪問,在這裏都會被阻止;即使有防火墻,企業依然會使用身份認證機制授權用戶訪問 Web 應用。
但是,即便有防病毒保護、防火墻和 IDS/IPS,企業仍然不得不允許壹部分的通訊經過防火墻,畢竟 Web 應用的目的是為用戶提供服務,保護措施可以關閉不必要暴露的端口,但是 Web 應用必須的 80 和 443 端口,是壹定要開放的。可以順利通過的這部分通訊,可能是善意的,也可能是惡意的,很難辨別。這裏需要註意的是,Web 應用是由軟件構成的,那麽,它壹定會包含缺陷(bugs),這些 bug 就可以被惡意的用戶利用,他們通過執行各種惡意的操作,或者偷竊、或者操控、或者破壞 Web 應用中的重要信息。
因此可以看出,企業的回答,並不能真正保證企業的應用安全:
a.網絡脆弱性掃描工具,由於它僅僅用來分析網絡層面的漏洞,不了解應用本身,所以不能徹底提高Web應用安全性;
b.防火墻可以阻止對重要端口的訪問,但是 80 和 443 端口始終要開放,我們無法判斷這兩個端口中通訊數據是善意的訪問還是惡意的攻擊;
c.SSL 可以加密數據,但是它僅僅保護了在傳輸過程中數據的安全性,並沒有保護Web應用本身;
d.每個季度的滲透測試,無法滿足處於不斷變更之中的應用。
只要訪問可以順利通過企業的防火墻,Web應用就毫無保留的呈現在用戶面前。只有加強Web應用自身的安全,才是真正的Web應用安全解決之道。