您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

企业为何要重视Web应用安全?

时间:2023-01-17 13:13:56  来源:  作者:互联网资讯看板

Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后台的数据库及其他动态内容通信。

它的一般“表现形式”就是Web应用程序,即是一种可以通过Web访问的应用程序,程序的最大好处是用户很容易访问应用程序,而且用户只需要有浏览器即可,不需要再安装其他软件。现在,很多企业员工的日常工作都是通过浏览器进入相应的Web应用程序来完成。

而且,Web应用程序通常以软件即服务(SaaS)的形式出现,是全球企业的基石。SaaS 解决方案也彻底改变了企业的运营和提供服务的方式,并且是几乎所有行业(从金融和银行到医疗保健和教育)的基本工具。

但是,随着企业数字化转型的深入,越来越多的业务应用系统被部署到互联网平台上,这吸引了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁开始凸显。

通过利用网站系统和Web应用程序的安全漏洞,攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限,从而进行网页篡改、数据窃取等破坏活动,严重损害企业的业务发展。

例如,Web应用程序常见的安全漏洞有以下这些漏洞:

1、SQL 注入

攻击者利用漏洞在企业的数据库中执行恶意代码,可能会窃取或转储企业的所有数据,并通过后门服务器访问内部系统上的其他所有内容。

2、XSS(跨站点脚本)

在这里,黑客可以针对应用程序的用户并使他们能够进行攻击,例如安装特洛伊木马和键盘记录器、接管用户帐户、进行网络钓鱼活动或身份盗用,尤其是在与社会工程一起使用时。

3、路径遍历

这些可以允许攻击者读取系统上保存的文件,允许他们读取源代码、敏感的受保护系统文件并捕获配置文件中保存的凭据,甚至可能导致远程代码执行。影响范围从恶意软件执行到攻击者获得对受感染计算机的完全控制。

4、身份验证中断

这是会话管理和凭据管理中弱点的总称,攻击者伪装成用户并使用劫持的会话ID 或被盗的登录凭据来访问用户帐户,并使用其权限来利用 Web 应用程序漏洞。

5、安全配置错误

这些漏洞可能包括未修补的缺陷、过期的页面、未受保护的文件或目录、过时的软件或在调试模式下运行软件。

实际上,保障Web应用安全已经成为行业的普遍认知。但研究人员发现,目前也有很多企业对Web应用安全防护还存在许多认知误区,这随时可能引发严重的安全问题和事故。

例如,一些企业认为自己只是普通的企业组织,所使用的Web应用程序不会被攻击。但事实上,大多数网络攻击是自动化的、没有特定目标的,因此每个企业(不管是大企业还是小企业)都可能成为攻击者的目标。

因为现在的网络攻击大都是由有组织的犯罪团伙发起,它们每天都在全球网络上进行自动攻击嗅探,一旦机器人程序发现了可被利用的安全漏洞(比如Log4Shell),其所在的企业就在劫难逃。每个企业都应该为防范Web应用攻击做好充分的准备和预案。

再如,一些企业认为其网站已经使用了HTTPS协议,因此Web应用程序应是安全的,但HTTPS只保护用户数据免受窃取和篡改,却无法防范恶意流量等威胁;

一些企业认为如果Web应用程序仅在企业内部网络上运行就是安全的。但事实是,网络攻击者可以通过受攻击的Web服务器系统间接攻击Web应用程序,即使在内部网络中也是如此;

一些企业认为只允许通过VPN访问的Web应用程序是安全的,但实际是,VPN是保护互联网隐私的强大工具,但不是保护Web应用安全的完整解决方案,如果攻击者设法访问了 VPN(比如使用被盗的凭据、泄露的员工账户或某种社会工程伎俩),任何Web应用程序都可能很容易受到攻击。

此外,一些企业还认为部署WAF(Web应用防护系统)就可以阻止针对Web应用程序的攻击,但是,WAF并不能成为Web应用系统防御的唯一防线,攻击者会专门针对WAF寻找相应的绕过策略。

WAF可以过滤HTTP流量以检测并阻止可能存在的攻击企图,对于临时阻止突然爆发的零日漏洞很有价值。但它们却很难检测出所有可能的攻击,只要系统中存在未被发现的安全漏洞,攻击者就有可能会找到绕过WAF 规则的方法。

总之,由于应用需求的提升,导致Web应用程序变得更加复杂,使得Web面临的电子欺骗、篡改、否认、信息泄露、拒绝服务、特权升级等安全威胁的风险也有所增加,因此,企业很有必要重视Web应用安全,确保员工的办公安全、企业的数据资产安全。



Tags:Web   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后...【详细内容】
2023-01-17  Tags: Web  点击:(0)  评论:(0)  加入收藏
新浪科技讯 北京时间1月12日下午消息,据报道,微软联合创始人比尔·盖茨(Bill Gates)对一些热门科技概念发表了看法。他透露自己不太看好Web3和元宇宙,但认为人工智能“颇具...【详细内容】
2023-01-12  Tags: Web  点击:(8)  评论:(0)  加入收藏
在本文中,我们将学习如何在Python中使用three.js库,而无需编写任何一行 JavaScript。我们将使用PyWeb3D,这是一个额外的层,旨在与Brython的three.js轻松交互。 1、什么是PyWeb3D...【详细内容】
2023-01-11  Tags: Web  点击:(10)  评论:(0)  加入收藏
来源 | forbes编译 | Dali@iNFTnews.com“Web3”和“元宇宙”或许是2022年最热门的流行语了。在营销行话中、在广告中、在新闻报道中,Web3和元宇宙这两个概念总是被捆绑在一...【详细内容】
2023-01-11  Tags: Web  点击:(14)  评论:(0)  加入收藏
听到泡沫破碎的声音之后。来源|AI蓝媒汇ID:lanmeih001作者|伊柒编辑|魏晓加密货币玩家冯凌在2022年的最后一条朋友圈,定格在31日晚九点半。“一个寒冷且缺乏信心的冬天。”他...【详细内容】
2023-01-09  Tags: Web  点击:(14)  评论:(0)  加入收藏
WebAssembly (WASM) 在过去几年一直是一个流行词。 这是一项引起广泛关注但在实践中应用较少的技术。 我一直很好奇它的现状,所以我调查并总结了我的发现。 其中一些可能会让...【详细内容】
2023-01-07  Tags: Web  点击:(16)  评论:(0)  加入收藏
前提概要 在大规模互联网应用中,负载均衡设备是必不可少的组成部分,源于互联网应用的高并发和大流量的冲击压力场景下,通常会在服务端部署多个无状态的应用服务器和若干有状态...【详细内容】
2023-01-07  Tags: Web  点击:(5)  评论:(0)  加入收藏
编译|褚杏娟 核子可乐有一种普遍性认知:只要可以,大型平台厂商一定希望每个人都只为他们自己的平台编写专有应用程序。但现在的厂商们还做不到这一点,所以 Web 就天然获得了市场...【详细内容】
2023-01-05  Tags: Web  点击:(21)  评论:(0)  加入收藏
WebRTC vs WebSocket1.什么是WebRTC?WebRTC 是一组 JavaScript API,可以在两个浏览器之间建立点对点连接, 实现音频和视频等数据的传输,也可以用它创建有语音/视频通话功能的应...【详细内容】
2023-01-04  Tags: Web  点击:(29)  评论:(0)  加入收藏
对于Web 3.0科技来说,2022年是行业逻辑切换的一年。被寄予了改变生产关系和将所有权归还用户的厚望的Web 3.0科技,正在从理想主义走向实用主义。随着用户在线时间越来越长,Web...【详细内容】
2023-01-04  Tags: Web  点击:(22)  评论:(0)  加入收藏
▌简易百科推荐
Web应用是由动态脚本、编译过的代码等组合而成。它通常架设在Web服务器上,用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过因特网和企业的Web应用交互,由Web应用和企业后...【详细内容】
2023-01-17  互联网资讯看板     Tags:Web   点击:(0)  评论:(0)  加入收藏
除非各位已经得到了自己需要的安全功能,否则无论主机有多快、多划算都是无关紧要的。如果各位已经租赁了独立服务器这种安全性超高的类型,那么就不太需要担心这一问题—&...【详细内容】
2023-01-16  IDC行业观察者  搜狐号  Tags:网络安全   点击:(4)  评论:(0)  加入收藏
现在,勒索软件组织已经开始专门针对数据中心备份服务器攻击,因此企业应该大力保护这些备份服务器,以保障业务的正常开展。以下是保护备份服务器的九个步骤:一)及时打补丁一定要确...【详细内容】
2023-01-05    51CTO  Tags:服务器   点击:(5)  评论:(0)  加入收藏
宝塔面板系统是一款非常好用的网站服务器管理控制面板,可以让大家不用记Linux系统的命令,就可以轻松的管理Linux服务器,可视化界面操作,非常方便。从官网了解到宝塔面板目前拥有...【详细内容】
2022-12-29   嘻呱互联   网易号  Tags:   点击:(7)  评论:(0)  加入收藏
Linux Kernel 本地权限提升漏洞,Linux Kernel的io_uring 子系统中存在释放后重用漏洞,拥有低权限的本地攻击者可以利用该漏洞将权限提升到ROOT权限。处置建议 参考以下命令...【详细内容】
2022-12-21  网络安全晴雨表  今日头条  Tags:Linux Kernel   点击:(35)  评论:(0)  加入收藏
SSH 是一种广泛使用的协议,用于安全地访问 Linux 服务器。大多数用户使用默认设置的 SSH 连接来连接到远程服务器。但是,不安全的默认配置也会带来各种安全风险。具有开放 S...【详细内容】
2022-12-08  Docker中午社区  今日头条  Tags:暴力破解   点击:(33)  评论:(0)  加入收藏
编译简单就是把代码跑一哈,然后我们的代码 .java文件 就被编译成了 .class 文件反编译就是针对编译生成的 jar/war 包 里面的 .class 文件 逆向还原回来,可以看到你的代码写的...【详细内容】
2022-11-20  老诚不bug  今日头条  Tags:代码混淆   点击:(67)  评论:(0)  加入收藏
引言当RedTeam拿下了一台服务器并获取到系统较高权限,但不知道服务器的凭证时,RedTeam会采用怎样的技术获取系统凭证呢?又或者,在RedTeam拿下一台服务器,为达到长久控制的目的而...【详细内容】
2022-11-09  安全狗   企鹅号  Tags:渗透   点击:(50)  评论:(0)  加入收藏
本月带给大家的是网站绕过认证漏洞。为了更好地确保业务管理系统的安全防护,基本上每一系统软件都是会存有各式各样的认证功能。普遍的几类认证功能就包含账户密码认证、验证...【详细内容】
2022-11-02  网站安全服务器安全   网易号  Tags:网站安全   点击:(28)  评论:(0)  加入收藏
在我对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网...【详细内容】
2022-10-18  网站安全服务器安全   网易号  Tags:网站漏洞   点击:(23)  评论:(0)  加入收藏
站内最新
站内热门
站内头条