Web应用安全防护的十大误区 (3)
日期: 2022-09-22 20:59:19
作者:
点击数:
返回
误区七
Web应用系统有备份,即使发生安全事件也可以快速恢复。
真相:备份对于数据存储和保持业务连续性很重要,但却无法减轻数据泄密造成的间接破坏和损失。
备份一直是企业整体安全策略的关键组成部分,拥有良好的备份和可靠的恢复方案是无可替代的。但是备份只能防止数据丢失和损坏,却无法帮助企业避免网络攻击产生的其他灾难性后果(系统停运、商业秘密泄露和品牌商誉损失等)。因此,备份是Web应用安全防护计划中不可或缺的部分,但企业在确保应用系统安全性方面的要求与随时准备数据恢复一样重要。
误区八
Web应用的开发框架是安全可靠的,因此应用系统也是安全的。
真相:高质量的开发框架可以防止许多安全漏洞,但仅靠框架还远远不够。
Web应用框架和模块库已彻底改变了Web应用系统的开发方式,提供了构建生产级站点和应用程序的基础,会大大节约应用开发的时间和资源。选择一种安全可靠的框架固然是重要的,因为它可
以帮助企业避免很多类型的技术漏洞,特别是跨站脚本(XSS)类型的漏洞。但即使开发人员严格按照规范,Web开发框架不能识别所有应用场景下的漏洞,因此,使用可靠的Web开发框架只是安全编程的基础。
误区九
应用发布前已经在集成开发环境(IDE)中进行了安全检查,所以是安全的。
真相:静态代码安全检查只是确保整体应用程序安全性的手段之一。
新一代Web开发工具通常会集成代码安全检查工具,有时甚至作为免费插件。应用这种工具的好处是,可以提升开发人员的安全意识,减少人为错误导致的安全隐患。但这些工具也有其应用局限性,只能识别有限的问题,并且容易出现误报,将真正的警报淹没。虽然为IDE增添面向安全的检查工具有利于规避Web应用的安全问题,但需要认识到,它只是确保应用程序安全的众多手段之一,通过全部静态安全检查并不能保证应用程序的绝对安全,还有很多地方可能出岔子。
误区十
Web应用安全防护不是开发团队的工作。
