信息化觀察網(wǎng)

本文來自安全牛。

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，越來越多的業(yè)務應用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺上，這吸引了網(wǎng)絡(luò)犯罪團伙的強烈關(guān)注，以Web攻擊為代表的應用層安全威脅開始凸顯。通過利用網(wǎng)站系統(tǒng)和Web服務程序的安全漏洞，攻擊者可以輕松獲取企業(yè)Web應用系統(tǒng)及服務器設(shè)備的控制權(quán)限，從而進行網(wǎng)頁篡改、數(shù)據(jù)竊取等破壞活動，嚴重損害企業(yè)的業(yè)務發(fā)展。

保障Web應用安全已經(jīng)成為行業(yè)普遍認知。但研究人員發(fā)現(xiàn)，目前很多企業(yè)對Web應用安全防護還存在許多認知誤區(qū)，這隨時可能引發(fā)嚴重的安全問題和事故。

誤區(qū)一

我們只是普通的企業(yè)組織，我們的Web應用系統(tǒng)不會被攻擊。

真相：大多數(shù)網(wǎng)絡(luò)攻擊是自動化的、沒有特定目標的，因此每個企業(yè)都可能成為攻擊者的目標。

不管是大型企業(yè)，還是中小企業(yè)用戶，普遍都認為壞事只會發(fā)生在其他機構(gòu)。許多組織抱著僥幸心理，以為自己不會受到網(wǎng)絡(luò)攻擊，因此無需操心Web應用程序安全。但事實是，現(xiàn)在的網(wǎng)絡(luò)攻擊大都是由有組織的犯罪團伙發(fā)起，它們每天都在全球網(wǎng)絡(luò)上進行自動攻擊嗅探，一旦機器人程序發(fā)現(xiàn)了可被利用的安全漏洞（比如Log4Shell），其所在的企業(yè)就在劫難逃。每個企業(yè)都應該為防范Web應用攻擊做好充分的準備和預案。

誤區(qū)二

部署WAF就可以阻止針對Web應用系統(tǒng)的攻擊。

真相：WAF并不能成為Web應用系統(tǒng)防御的唯一防線，攻擊者會專門針對WAF尋找相應的繞過策略。

部署Web應用防火墻（WAF）就能夠保證Web應用安全是目前最常見的認知誤區(qū)之一。WAF可以被看成是Web版的網(wǎng)絡(luò)防火墻，它可以過濾HTTP流量以檢測并阻止可能存在的攻擊企圖。WAF還常常用作負載均衡系統(tǒng)，提供額外的應用安全能力，對于臨時阻止突然爆發(fā)的零日漏洞很有價值。然而，它們卻很難檢測出所有可能的攻擊，只要系統(tǒng)中存在未被發(fā)現(xiàn)的安全漏洞，攻擊者就有可能會找到繞過WAF規(guī)則的方法。

誤區(qū)三

企業(yè)網(wǎng)站已經(jīng)使用了HTTPS協(xié)議，因此Web應用系統(tǒng)是安全的。

真相：HTTPS只保護用戶數(shù)據(jù)免受竊取和篡改，卻無法防范惡意流量等威脅。

應用HTTPS表示所有Web應用流量都經(jīng)過加密，這是防止中間人攻擊的關(guān)鍵最佳實踐，但卻無法防范攻擊者已經(jīng)建立有效連接的應用程序級攻擊。比如說，如果攻擊者可以在易受攻擊的純HTTPS應用程序中訪問或創(chuàng)建有效的用戶賬戶，他們就可以隨意嘗試SQL注入、權(quán)限提升及其他攻擊，而這一切都是在安全加密的連接中進行。

誤區(qū)四

如果Web應用系統(tǒng)僅在企業(yè)內(nèi)部網(wǎng)絡(luò)上運行就是安全的。

真相：網(wǎng)絡(luò)攻擊者可以通過受攻擊的Web服務器系統(tǒng)間接攻擊Web應用程序，即使在內(nèi)部網(wǎng)絡(luò)中也是如此。

很多人會錯誤認為，沒有連接互聯(lián)網(wǎng)的內(nèi)網(wǎng)Web應用系統(tǒng)就是安全的，不會受到基于Web的網(wǎng)絡(luò)攻擊。實際上，攻擊者可以利用服務器端請求偽造（SSRF）之類的漏洞，以某一臺被攻陷的服務器為跳板，攻擊企業(yè)內(nèi)網(wǎng)上的應用系統(tǒng)。特別是在云優(yōu)先環(huán)境下，許多組織不再擁有完全物理隔離的內(nèi)部網(wǎng)絡(luò)，只有私有云部署的應用方式，這是另一種Web應用的安全隱患。

誤區(qū)五

只允許通過VPN訪問的Web應用系統(tǒng)是安全的。

真相：VPN是保護互聯(lián)網(wǎng)隱私的強大工具，但不是保護Web應用安全的完整解決方案。

遠程工作模式大行其道，虛擬專用網(wǎng)（VPN）已變成企業(yè)普遍使用的遠程訪問工具。盡管VPN確實提供了額外的隔離和訪問控制，就像內(nèi)部網(wǎng)絡(luò)一樣，但不應該將VPN視為Web應用系統(tǒng)的安全憑證。如果攻擊者設(shè)法訪問了VPN（比如使用被盜的憑據(jù)、泄露的員工賬戶或某種社會工程伎倆），任何Web應用程序都可能很容易受到攻擊。

誤區(qū)六

瀏覽器內(nèi)置的攻擊防護機制可以保障應用安全。

真相：瀏覽器安全機制是應用程序安全防護的補充，但卻無法取而代之。

大概十年前，因為跨站腳本漏洞的盛行，瀏覽器服務商嘗試將XSS過濾器直接嵌入到瀏覽器中，這誤導了一大批企業(yè)用戶：新一代瀏覽器可以對Web應用程序進行安全防護。但實踐表明，這種保護措施的效果非常有限，并且已從很多高版本瀏覽器中刪除。實際上，瀏覽器安全是網(wǎng)絡(luò)安全領(lǐng)域一個完全獨立又至關(guān)重要的方面，永遠不應依賴瀏覽器作為應用程序的額外防線。相反，Web開發(fā)者應竭力遵循公認的行業(yè)標準和規(guī)范，讓瀏覽器能夠正確地處理和呈現(xiàn)應用程序。

誤區(qū)七

Web應用系統(tǒng)有備份，即使發(fā)生安全事件也可以快速恢復。

真相：備份對于數(shù)據(jù)存儲和保持業(yè)務連續(xù)性很重要，但卻無法減輕數(shù)據(jù)泄密造成的間接破壞和損失。

備份一直是企業(yè)整體安全策略的關(guān)鍵組成部分，擁有良好的備份和可靠的恢復方案是無可替代的。但是備份只能防止數(shù)據(jù)丟失和損壞，卻無法幫助企業(yè)避免網(wǎng)絡(luò)攻擊產(chǎn)生的其他災難性后果（系統(tǒng)停運、商業(yè)秘密泄露和品牌商譽損失等）。因此，備份是Web應用安全防護計劃中不可或缺的部分，但企業(yè)在確保應用系統(tǒng)安全性方面的要求與隨時準備數(shù)據(jù)恢復一樣重要。

誤區(qū)八

Web應用的開發(fā)框架是安全可靠的，因此應用系統(tǒng)也是安全的。

真相：高質(zhì)量的開發(fā)框架可以防止許多安全漏洞，但僅靠框架還遠遠不夠。

Web應用框架和模塊庫已徹底改變了Web應用系統(tǒng)的開發(fā)方式，提供了構(gòu)建生產(chǎn)級站點和應用程序的基礎(chǔ)，會大大節(jié)約應用開發(fā)的時間和資源。選擇一種安全可靠的框架固然是重要的，因為它可以幫助企業(yè)避免很多類型的技術(shù)漏洞，特別是跨站腳本（XSS）類型的漏洞。但即使開發(fā)人員嚴格按照規(guī)范，Web開發(fā)框架不能識別所有應用場景下的漏洞，因此，使用可靠的Web開發(fā)框架只是安全編程的基礎(chǔ)。

誤區(qū)九

應用發(fā)布前已經(jīng)在集成開發(fā)環(huán)境（IDE）中進行了安全檢查，所以是安全的。

真相：靜態(tài)代碼安全檢查只是確保整體應用程序安全性的手段之一。

新一代Web開發(fā)工具通常會集成代碼安全檢查工具，有時甚至作為免費插件。應用這種工具的好處是，可以提升開發(fā)人員的安全意識，減少人為錯誤導致的安全隱患。但這些工具也有其應用局限性，只能識別有限的問題，并且容易出現(xiàn)誤報，將真正的警報淹沒。雖然為IDE增添面向安全的檢查工具有利于規(guī)避Web應用的安全問題，但需要認識到，它只是確保應用程序安全的眾多手段之一，通過全部靜態(tài)安全檢查并不能保證應用程序的絕對安全，還有很多地方可能出岔子。

誤區(qū)十

Web應用安全防護不是開發(fā)團隊的工作。

真相：保障應用程序安全是現(xiàn)代Web應用開發(fā)的重要組成部分，特別是應用開發(fā)安全運營（DevSecOps）模式后更是如此。

由于應用需求的提升，導致Web應用系統(tǒng)變得更加復雜，保護Web的應用安全與每個人息息相關(guān)，并從開發(fā)階段就啟動安全策略。有效地發(fā)現(xiàn)安全漏洞并及時處理修復請求，對于避免發(fā)生嚴重的安全事件和節(jié)省安全防護資源至關(guān)重要。