确保网络应用安全

当谈到网络应用安全性的时候，许多企业仅仅扫描系统漏洞就应付了事，这样是错误的。本文中列出了您需要操心的三大网络应用安全问题。

基于网络的应用是恶意和非法进入组织机构网络的最佳入口。因此你需要了解入侵是如何发生，学习如何在他人找到网络安全防护漏洞之前修补破绽，保护自己的网络。

当谈到网络应用安全性的时候，许多企业仅仅扫描系统漏洞就应付了事。这样是错误的：不要依靠网络平台的系统安全性分析来确认应用是否安全。这是两个截然不同的领域，对 于任何一个网络应用，你都需要分别对待。以下是你需要查找的三大网络应用安全漏洞。

身份验证
身份验证机制是网络应用安全性最重要的阶段，即使使用SSL或者强大的两次验证机制（如用户ID和复杂的密码）也是如此。存在缺陷的凭证管理任务，包括密码修改、用户信息更 新和其他相关的功能，能够削弱验证的效果。因此即使使用者拥有有效的会话令牌，依然需要重新验证所有的帐号管理任务。

对于大部分网络应用，用户验证包括用户ID和密码两部分。强大的验证方法随处可见，既有基于软件或者硬件的密码验证，也有生物学验证方法。

这些方法为应用增加了成本，但你仍然应该坚持将成本归入开发过程。如果你在劝说当权者时遇到阻力，可以考虑用这个案例来说服他：联邦储蓄保险公司（FDIC）在大约一年以 前就宣布，由于身份窃贼问题的严重化，网上银行有义务进行多重验证（如硬件/软件加密和生物学验证），对传统的两重验证进行补充。

访问控制
访问控制是网络应用使用验证方法来接受或者拒绝对内容和功能的访问的过程。以下是两种主要的访问控制方法。

路径挖掘：恶意用户会将相关路径信息（如https://your_website.com/target_dir/target_file）作为对素材的直接申请进行路径挖掘攻击。此类攻击企图访问一般无法 直接访问的文件。借助网络浏览器、系统呼叫和shell命令，URL使用黑客工具进行袭击。

客户端缓存：默认情况下，大部分的网页浏览器都会缓存网络页面。入侵者可以访问缓存信息访问安全地址。用户频繁使用公用或者共享计算机通过网络应用访问信息。因 此，网络应用应该包括有限制缓存敏感信息的功能，以防止在浏览器中缓存用户信息。

未授权的输入
网络应用响应用户的HTTP请求，袭击者修改HTTP的请求（例如，URL，对后端数据库进行查询的字符串，表单域，隐藏域等）来绕过网站的安全机制。最常见的袭击后果是跨站脚本 ，缓存溢出以及资料隐码（SQL injection）。

单纯依靠客户端机制验证输入的网站只考虑到了网站的性能和可用性。入侵者能够轻易的绕过检验机制，使得缺乏保护的网络应用要面对恶意的输入。

黑客们使用工具生成自己的HTTP请求来绕过网络浏览器的验证机制。服务器端的检查是防止此类利用HTTP请求进行入侵的必需的手段。

应采取的措施
如果网络应用本身存在许多固有的不安全性，包含如此多的危险，那么如何确保安全？答案相对来说很简单。

在应用建立的过程中，编码文档的建立以及独立的编码审查就是成功实现安全的关键。记录每行语句，并寻求擅长应用安全的第三方对系统以及升级应用所使用的控制方式进行评 估。

如果您的网络应用已经在线发布，并且忘记做安全工作，那么也不算太晚——你依然能够保护应用的安全。即使在实施之前进行过大范围的编码审查，你还应该继续进行查找安全 裂缝和缺陷的测试和应用维护。

在进行网络应用安全测试时，您有多种选择。如果您不知道应该如何进行，可以搜索网络应用安全工具mySimon，您会知道应该如何开始工作。

结语
如果您实施某个应用，人们（包括公司内部人员以及外部人员）会帮您测试应用。在全部应用实施之前，以及主要应用进行修改之时，都要继续进行应用缺陷和渗透性测试。系统 安全检查只能提供关于平台安全的信息。您需要采取额外措施，来确保应用的安全。