文章内容

如何应对WEB攻击的防护盲点(1)

发布时间: 2012/7/7 15:34:11

WEB攻击的数量逐年上升，占了大部分攻击事件比例。WEB安全已经推到了前沿浪尖，无论是政府还是企业都迫切解决这个棘手的问题，Gartner统计：目前75%攻击转移到应用层。原有的传统防御设备已经不能满足企业对网络攻击的防御。WEB应用技术在积极发展的同时需要强有力的安全保障，所以WAF是应形势需求诞生的产品，它走上应用安全的舞台，是一个必然的趋势。

Web漏洞归类

众所周知，WEB服务系统实际不是一个单一的软件，它由OS+Database+WEB服务软件（比如：IIS、Apache）+脚本程序（比如：Jscript、PHP代码文件）构成，所以要考虑它最基本的依赖，那就是OS和Database、WEB服务软件自身的安全，这个可以通过安全加固服务来实现，而最核心的应用程序代码是不能用同样的手段来解决，这也是WEB安全问题的主要来源。

WEB 应用安全漏洞与操作系统或者网络设备的漏洞是不同的，这是因为编写代码者是不同的，产生的代码也是不同的，所以国外有成立正门的WEB安全组织来归类一些漏洞，让开发人员、安全厂家、第三方专家等能用一种一致的语言来讨论WEB安全问题。比较有名的是OWASP的TOP10漏洞，还有Web Application Security Consortium (WASC)归类的Thread Classification，如下表：