有很多人都认可“没有Web,就没有Internet”。Web 服务是一种可以用来解决跨越网络应用集成问题的开发模式,这种模式为实现“软件作为服务”提供了技术保障。观看了赵明同学设计的网络拓扑结后,我只能说这个哥们的胆子是在太大了,在没有任何防御手段前,就干利用一台负载均衡器直接挂接在Internet上,看来他抽烟还是抽的少。而“软件作为服务”实质上是一种提供软件服务的机制,这种机制可以在网络上暴露可编程接口,并通过这些接口来共享站点开放出来的功能。可是在很多情况下,Web应用程序及 Web站点往往易遭受到各种各样的攻击,数据在网络传输过程中也很容易被窃取或盗用。
Web的外围防御何等重要
Web服务的安全涉及了很多内容,我们可以从他可能受到的攻击上看,例如对WEB应用程序的破坏、绕过验证与Session验证、获取管理权限、获取资源、针对主机漏洞与WEB安全漏洞攻击、跨站脚本攻击及SQL注射攻击等等。另外,硬件与物理环境的错误,也都会导致资源无法被客户端访问到。安全面的Web安全防御要从以下几个方面入手,构建出一个安全的防御架构:?
资源保护:对于重要资源,如数据库中或文件系统上的数据;物理环境,如UPS供电、磁盘冗余、双机冗余;Internet访问接口的访问控制,数据的授权与认证访问。?
威胁和威胁建模:所有类型的威胁包括网络威胁、主机威胁、与应用的威胁;重点放在Web应用的威胁,如:SQL注入、跨网站脚本、输入篡改、劫获会话等;掌握威胁建模的方法与步骤,使你能系统地全面地了解Web应用可能的威胁。?
程序缺陷与服务漏洞:包括操作系统在某方面的弱点或特性,以及它有可能造成威胁的发生。网络、主机或应用程序编写过程中可能存在缺陷。
攻击与对策:100%的安全是不存在的,当某人或者设备采取的危害资源的行为之后,应对威胁、减小危险的安全措施。最后是应急响应、犯罪证据的取证,以及灾难恢复工作的执行效率。