補丁與漏洞
補丁是用于修補程序漏洞的代碼片段程序,用于對操作系統(tǒng)或應用程序實現(xiàn)附加功能或修補安全漏洞。人們日漸意識到,通過網(wǎng)絡服務器和應用程序下載并安裝補丁是維護網(wǎng)站安全的關鍵,尤其是發(fā)現(xiàn)軟件漏洞存在巨大安全隱患時。而近年來一些軟件漏洞因疏于安裝補丁,成為了黑客主要的攻擊目標,這也再次強調了安裝補丁的重要性。話雖如此,任何運維人員想要為一直運行的設備安裝補丁都不是一件簡單的事,而且成本也不低。
漏洞指的是計算機系統(tǒng)(操作系統(tǒng)和應用程序)的缺陷,攻擊者可以通過這些缺陷進行非法入侵,實施惡意行為。但并非所有漏洞都具有相應的補丁,此時運維人員應當對其它補救辦法有所了解,例如修改系統(tǒng)配置、對用戶進行培訓,以減少系統(tǒng)漏洞的暴露。
為緩解問題,運維人員應為減少暴露系統(tǒng)漏洞而制定系統(tǒng)的記錄程序,及時安裝補丁。這些步驟固然關鍵,但也不能忽視補丁以外的其它風險。
網(wǎng)絡應用安全風險
網(wǎng)絡應用方面,各運維人員面對的挑戰(zhàn)不盡相同。風險大小很大程度上取決于其所從事的行業(yè)、安全方面的投入、軟件開發(fā)人員的經(jīng)驗及其使用的方法和技術。除運維人員以外,一些常見的內外部因素,也可能對網(wǎng)絡應用程序的安全風險帶來影響。其中包括:
· 上市時間短促
迫于管理、市場和營銷團隊的壓力,急于發(fā)布程序和不斷增加功能設置導致對程序安全缺陷進行檢測的時間被壓縮,缺陷沒有充分暴露出來。
· 遺留應用程序
老的應用程序在前期開發(fā)階段就有可能存在潛在安全漏洞,而新版本并未修復老版本的問題。
· 網(wǎng)絡依賴
關鍵任務流程對互聯(lián)網(wǎng)服務依賴程度強,從而增加應用程序暴露安全漏洞的危險。
· 標準化缺失
無論是內部設計、外包設計還是兩者共同完成的網(wǎng)絡應用程序,由于人為錯誤,有時都無法做到標準化。
· 安全意識缺乏
在軟件開發(fā)生命周期,安全問題偶爾會被忽視或不夠重視。
是什么讓網(wǎng)絡應用程序漏洞如此普遍?其中一種理論認為是網(wǎng)絡應用程序代碼不成熟所致。例如,黑客可以利用網(wǎng)絡程序的解釋和驗證漏洞(可能是軟件開發(fā)生命周期的一部分)入侵其界面。還有理論認為,網(wǎng)絡應用程序使用的協(xié)議和服務越多(如:HTTP, HTTPS和SOAP),黑客可利用的漏洞越多。雖然人們已經(jīng)努力尋找網(wǎng)絡協(xié)議漏洞的解決方案、增強防火墻和IDS/IPS系統(tǒng),可在網(wǎng)絡應用程序方面卻并未能做到如此細致的保護。
以下幾個方面,都是網(wǎng)絡應用程序吸引黑客的原因。比較典型的是,黑客認為網(wǎng)絡服務器的信息有價值——敏感內容,或者有可用作進入其他網(wǎng)絡之跳板的信息。相比傳統(tǒng)程序,黑客更喜歡入侵網(wǎng)絡應用程序,這是其本質決定的。因為大部分網(wǎng)絡應用程序都與數(shù)據(jù)庫相連,這些數(shù)據(jù)庫可能包含客戶或財務信息——故黑客將攻擊網(wǎng)絡應用程序作為入侵數(shù)據(jù)庫的途徑。
無論服務器補丁打得多好,潛在可被利用的漏洞都是不可避免的。如下所列就是一些常見的漏洞:
· Security misconfigurations安全配置錯誤
· Lack of sufficient validation缺乏必要驗證
· Cross-site request forgery (CSRF)偽造跨站請求
· Cross-site scripting (XSS)跨站腳本攻擊
· SQL InjectionSQL注入攻擊
· Insufficient use of transport layer encryption傳輸層加密不足
· Backdoors (e.g. exposed management interfaces, legacy users still in the system, etc.)后門(例如:暴露管理界面,前一用戶仍在系統(tǒng)中逗留等等)
一般的網(wǎng)絡應用服務器管理任務也會產生安全問題。使用默認配置,弱口令,運行不必要服務程序等都是明顯的安全風險。但目前,這種問題在某些運維人員工作中依舊普遍存在,好在這些錯誤都能夠輕易被修復。
如何降低風險?
為降低上述安全風險,可以采取以下步驟:
(1)為服務器安裝補丁!
良好的服務器安全保障需要及時為它安裝補丁。
(2)安裝服務器安全軟件!
一般來說,給服務器安裝補丁還遠遠不夠,強烈推薦安裝基于操作系統(tǒng)的服務器安全軟件。找出網(wǎng)絡應用程序中潛在的安全漏洞非常關鍵,一款名叫云鎖www.yunsuo.com.cn服務器安全工具可以幫助運維人員對服務器進行防護。
Conclusion結論
如今,隨著黑客將攻擊網(wǎng)絡應用程序和網(wǎng)絡服務器作為從后臺數(shù)據(jù)庫獲取敏感數(shù)據(jù)的主要途徑,運維人員實現(xiàn)切實有效的安全政策變得尤為重要。
網(wǎng)絡安全意識和良好的編碼習慣(如:登入前進行用戶輸入驗證)是個好的開端,同時多重編碼方法也必不可少。采用數(shù)據(jù)庫審查、網(wǎng)絡活動監(jiān)測工具以及網(wǎng)絡應用掃描器(如Acunetix網(wǎng)絡漏洞掃描器)等方案也能有效發(fā)現(xiàn)異常行為,從而降低漏洞風險。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!