Web应用的日益普及和Web攻击的与日俱增,让Web安全问题备受关注。但对于正常流量中的危险分子,传统的安全产品根本无能为力,此时,我们该靠什么来保护Web应用?Web应用防火墙无疑是最佳之选。但Web应用防火墙究竟是什么?它和传统的安全产品有什么不同?应用起来又有要注意什么?请看《走出Web应用防火墙认识误区》系列文章。本文为系列一。
如今,电子政务、电子商务、运营商的增值业务、社交网站等Web应用已经逐渐渗透到人们日常的工作和生活之中,随之而来的Web安全问题也逐渐彰显。如果不保障Web应用的安全,轻则名誉受损、客户投诉,重则可能引起法律纠纷、商业损失等问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。
Web应用日渐普及
如今,Web应用日益普及,表现出以下几大特点:
- 特点一,发展迅速。每秒钟都有一个网页相关的应用产生,而且截止到11月,我国已经有323万个网站。
- 特点二,交互性应用。以前,Web应用通常都是网页浏览,但现在越来越多的应用将Web作为自己的舞台,例如聊天、网购、炒股、社交网络等。统计数据表明,网民中有1.42亿人会进行网络购物,占总人数的33.8%;1.28亿会进行网上支付,占总人数的30.5%;而1.22亿人会用到网上银行,占总人数的29.1%。
- 特点三,用户创造内容。例如现在的微博应用,用户不仅使用浏览器观看网页,自己也变成Web应用的主角。
- 特点四,远程用户接入。例如通过笔记本电脑进行远程接入。
- 特点五,移动终端。随着3G普及,移动接入互联网的内容越来越多,形式也越来越丰富。
Web攻击事件频发
2010年3月,谷歌公司高级副总裁公开发表声明,称“一群黑客对使用Gmail服务的人权活动分子的电子邮箱进行了有组织的、高水平的攻击”。2010年1月,搜索引擎“百度”遭到黑客攻击,导致其网站长时间无法正常访问。2009年11月,国防部网站上线3个月遭230万次攻击……越来越多的Web攻击开始映入我们的眼帘。
CNCERT/CC国家互联网应急中心对网络安全事件报告类型的统计表明,2010年1-6月,57.57%的安全事件是恶意代码(含网页挂马),漏洞事件占25.96%,而网页仿冒事件占15.48%,拒绝服务攻击占0.98%。
来自Gartner的数据表明,当前网络上75%的攻击是针对Web应用的,这些攻击可能导致网站遭受声誉损失、经济损失甚至政治影响。
这些数据清楚地告诉我们一个事实:Web安全事件正在变得越来越多。
应用与安全的距离
为什么Web攻击越来越多?在Web安全方面,我们还有哪些问题需要面对?
- 问题一,应用和安全的鸿沟。安全专家不了解Web应用的特点,而应用开发者和QA 不了解安全重点,这也是导致Web应用安全的根本原因
- 问题二,应用安全的复杂性。Web应用异常复杂,可能涉及不同的操作系统、不同的开发工具、不同的应用程序、不同的软硬件供应商、严重的兼容性问题,如果对此没有足够的了解,是无法从根本上解决问题的。
- 问题三,对已知漏洞的防护延迟。由于采用一成不变的低效的“消防演习”模式,补丁总是不够及时而且容易出错,对于“零日攻击”毫无办法。
- 问题四,现有安全措施的局限性。现有攻击特点是大部分攻击在应用层,针对Web网站的恶意攻击绝大部分都将其封装为HTTP请求,许多类型的攻击并不篡改网页,黑客往往会将攻击隐藏在SSL内,攻击手段发展迅猛,对于这些,防火墙、IPS、网页防篡改等安全产品经常无能为力。
WAF助力Web安全
越来越多的应用开始基于Web应用,越来越多的系统漏洞可以被利用,而传统防火墙和IPS等安全设备对此却无能为力。此时,我们应该靠谁来保护Web应用的安全?Web应用防火墙(Web Application Firewall,简称WAF)应运而生。
Web应用防火墙致力于为Web站点和Web服务器提供强大的应用层安全防护。例如梭子鱼网络有限公司的梭子鱼WEB应用防火墙,就可以保护Web应用安全漏洞,帮助企业合规达标,如PCI DSS(支付卡行业数据安全标准),能够防止在线信用卡交易的数据窃取及欺诈行为,防止因服务突然中断而给用户造成的经济损失,确保用户业务在安全底线之上稳定运行。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
被忽视的Web安全漏洞:如何识别和解决?
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
-
渗透测试人员必备技能:实施渗透测试的HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。
-
SSL采购季(二):如何选购最佳SSL?
如果你的企业有意采购SSL,那么本系列文章可以给一个很好的方向。在之前一篇文章中,我们简要介绍了SSL定义及其工作原理;在本文中,我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。
-
SSL采购季(一):SSL定义及其工作原理
如果你的企业有意采购SSL,那么本系列文章可以给一个很好的方向。在本文中,我们将先简要介绍SSL定义及其工作原理;在下一篇文章中,我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。