Web应用安全测试与防护全解析
在Web应用的安全领域,测试工作绝不能仅仅局限于按部就班地检查可能存在的漏洞清单。实际上,离散的Web应用漏洞常常会被串联起来,攻击者借此获取比单个漏洞所能提供的更多权限。在设计自己的Web应用安全时,必须牢记:每一个潜在的小缺陷,都可能引发更大的安全危机。而且,对手只需找到一个漏洞,而我们却要考虑所有可能的情况。
网站安全检查清单
为确保Web应用安全,可参考以下检查清单:
|类别|检查项|
| ---- | ---- |
|网络| - 在Web应用和不可信网络之间建立边界防火墙、筛选路由器或其他过滤设备
- 配置防火墙/路由器,仅允许必要的入站流量到Web应用(通常仅为HTTP和/或SSL)
- 配置防火墙/路由器,仅允许必要的出站流量从Web应用流出(通常丢弃TCP SYN数据包以防止服务器发起出站连接)
- 在防火墙/网关上启用适当的拒绝服务对策(例如,Cisco “rate limit” 命令)
- 配置负载均衡器,使其不泄露内部网络信息
- 可选择实施网络入侵检测系统(NIDS)来检测常见的TCP/IP攻击;如果实施了NIDS,应提供适当的日志审查策略和资源
- 定期进行网络漏洞扫描,确保不存在网络或系统级别的漏洞|
|Web服务器| - 应用最新的供应商软件补丁
- 配置服务器,不泄露服务器软件信息(例如,更改横幅信息)
- 配置服务器,禁止反向代理
- 禁用所有服务器上不必要的网络服务
- 在适当的地方实施操作系统和服务器供应商特定的安全配置
- 禁用或删除不必要的用户或组(例如,Guest)
