Web应用安全防护的十大误区 (2)
日期: 2022-09-22 20:59:19
作者:
点击数:
返回
真相:HTTPS只保护用户数据免受窃取和篡改,却无法防范恶意流量等威胁。
应用HTTPS表示所有Web应用流量都经过加密,这是防止中间人攻击的关键最佳实践,但却无法防范攻击者已经建立有效连接的应用程序级攻击。比如说,如果攻击者可以在易受攻击的纯HTTPS应用程序中访问或创建有效的用户账户,他们就可以随意尝试SQL注入、权限提升及其他攻击,而这一切都是在安全加密的连接中进行。
误区四
如果Web应用系统仅在企业内部网络上运行就是安全的。
真相:网络攻击者可以通过受攻击的Web服务器系统间接攻击Web应用程序,即使在内部网络中也是如此。
很多人会错误认为,没有连接互联网的内网Web应用系统就是安全的,不会受到基于Web的网络攻击。实际上,攻击者可以利用服务器端请求伪造(SSRF)之类的漏洞,以某一台被攻陷的服务器为跳板,攻击企业内网上的应用系统。特别是在云优先环境下,许多组织不再拥有完全物理隔离的内部网络,只有私有云部署的应用方式,这是另一种Web应用的安全隐患。
误区五
只允许通过VPN访问的Web应用系统是安全的。
真相:VPN是保护互联网隐私的强大工具,但不是保护Web应用安全的完整解决方案
远程工作模式大行其道,虚拟专用网(VPN)已变成企业普遍使用的远程访问工具。尽管VPN确实提供了额外的隔离和访问控制,就像内部网络一样,但不应该将VPN视为Web应用系统的安全凭证。如果攻击者设法访问了 VPN(比如使用被盗的凭据、泄露的员工账户或某种社会工程伎俩),任何Web应用程序都可能很容易受到攻击。
误区六
浏览器内置的攻击防护机制可以保障应用安全。
真相:浏览器安全机制是应用程序安全防护的补充,但却无法取而代之。
大概十年前,因为跨站脚本漏洞的盛行,浏览器服务商尝试将XSS过滤器直接嵌入到浏览器中,这误导了一大批企业用户:新一代浏览器可以对Web应用程序进行安全防护。但实践表明,这种保护措施的效果非常有限,并且已从很多高版本浏览器中删除。实际上,浏览器安全是网络安全领域一个完全独立又至关重要的方面,永远不应依赖浏览器作为应用程序的额外防线。相反,Web开发者应竭力遵循公认的行业标准和规范,让浏览器能够正确地处理和呈现应用程序。
