随着对Web2.0开发和部署的日益深化,企业、开发人员和用户都对基于Web 的应用抱有很高的期望。Web2.0确实包括了许多优点,包括一些新型的应用程序、成本节约和更精简的架构等。但Web2..0也带来了些许不太令人喜爱的东西:新的安全性威胁。
保护Web2.0服务及其用户避免在线的网络攻击应当成为任何利用下一代Web技术企业的重要目标。为此,笔者推荐如下九条增强Web2.0安全性的锦囊妙计,而且保证其简易可行:
1.检查Web应用程序的漏洞:那些自己创建Web2.0应用程序、链接、工具的企业通常并没有进行严格的测试,有的甚至是草率的。应当鼓励开发人员设计更聪明的程序,并要检查其程序中漏洞,用以避免被潜在的攻击者所利用。
2.保持计算机的最新:此处指的是使计算机软件能够及时更新。一定要保障激活微软的Windows更新、Mac OS更新、即时通信(IM)程序、VoIP应用程序以及其它Web2.0程序的及时更新。这是防范Web2.0漏洞和在线攻击的最简易方法之一。
3.安装防御工具:企业可以考虑部署内容监视和过滤技术,可以使用URL过滤器、应用程序过滤器、应用程序控制和其它的能够阻止Web2.0威胁的工具。企业应当建立Web2.0技术使用的可接受策略,并采取措施管理博客所带来的威胁。还应当决定如何应对知识产权、商业秘密以及Web2.0应用程序所引起的其它法律问题。
4.禁止示例代码的使用。Web2.0的开发人员,迫于尽快开发应用程序的压力,经常求助于示例代码,以应对特定的程序设计难题。这种做法隐藏的问题是,这种共享的代码可能会包括安全漏洞,而开发人员可能并没有认识到。
5.将安全逻辑建立在服务器上:为了提高装载和执行速度,许多基于Web的应用程序将安全性交给客户端。这种方法中存在问题是,攻击者们能够通过其自己设计的软件绕过客户端,并进而直接攻击未受保护的服务器。管理员应当考虑到这种方案的后果,应当认识到安全性永远高于速度,因此请将安全机制建立在服务器上吧。
6.像攻击者那样思考:开发或修改Web2.0应用程序的企业需要像攻击者那样思考。这意味着企业需要研究最新的攻击方法和许多大型企业正用来保障其Web2.0应用程序安全的方法措施。
7.先下手为强:由于经常在Web2.0中发现漏洞,因此及时更新是至关重要的。用户不应当指望Web 2.0厂商和服务供应商发出警告,用户必须保持前瞻性。这意味着管理员必须定期检查应用程序和相关工具的漏洞,并研究主要安全厂商所发布的公告。
8.执行安全审核:安全审核总是一个好主意,不过Web2.0应用程序的日益漫延造就了一些新的并通常是隐藏的漏洞,安全审核变得更加关键。
9.对单位的职工进行教育:雇员特别是IT工作人员,需要清楚地知道由Web2.0引起的安全威胁。可以采取雇员手册、标语、时事通讯、网站、交互式游戏等方式来教育工作人员,使每个人都警惕并防范Web2.0的危险。
虽然Web2.0的安全性有待于进一步提高,但企业在实施过程中完全可以采取多样化的技术手段来使其更加稳健,更加安全。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
新libSSH漏洞可获取服务器root访问权限
隐蔽近五年的libSSH漏洞可让恶意攻击者通过SSH服务器进程轻松获取对设备的管理控制。 NCC集团安全顾问P […]
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]
-
2018:自动化攻击加剧,拿什么来保障安全最后一公里?
自动化攻击的新趋势,给2018年企业的安全防护带来了前所未有的巨大挑战。对于越来越智能、呈现自主决策和军团化的自动化攻击,企业需要重新审视现有的安全防御响应系统,来保障最后一公里的安全。
-
Google Docs钓鱼攻击是如何运作的?
Google Docs钓鱼攻击使用OAuth令牌,影响了超过一百万Gmail用户。在本文中,专家Nick Lewis解释了它是如何运作的,以及如何防御这种攻击。