Web应用安全威胁与防护措施，【一篇文章搞懂】

作者：秋刀鱼在做梦 | 2024-07-19 11:30:46

踩

web应用安全威胁

4. XML外部实体

XML外部实体注入(通常被称为XML External Entity，XXE)可以让攻击者通过Web应用的漏洞，干扰应用对于XML数据的处理。此类攻击往往会导致诸如拒绝服务、数据泄露、服务器端请求伪造等问题。

我们可以通过实施服务器端的输入验证，修补和升级所有XML处理器，以及使用SAST工具来分析源代码等方法，来有效地防止XML外部实体注入。

5.受损的访问控制

从概念上说，访问控制机制就是要确定用户是否可以执行，与之身份和权限相符的操作。而当用户可以在其预期权限之外执行某项操作时，那么就出现了访问控制的破坏。

受损的访问控制通常会导致：未经授权的信息泄露、数据被直接修改或破坏、以及业务功能偏离预期用途等情况。我们可以通过在受信任的服务器端代码中、或无服务器的API中，强制使用完备的访问控制机制，来防止攻击者修改元数据(metadata)，或绕过正常的访问控制检查。

鉴于Web应用在当下激烈竞争与快速发展的商业环境中尤为重要，我们可以通过如下七种针对Web应用的安全性防护措施与实践，来协助企业保护系统与数据。

1.定义并采用合适的网络安全框架

网络安全框架包括一系列文档和指南，它定义了企业在管理网络安全风险，以及减少漏洞的过程中，需要遵循的各种优秀实践。这里主要强调的是“合适才是最好的”。我们需要对企业所处的行业，当前开展的业务进行调研。在此基础上，通过利用专业知识和业界现有的安全标准，为本企业准备详细的计划与适合的安全策略。

2.跟踪您的资产并进行威胁评估

如今，大多数企业都会通过在线运维的方式，对诸如：Web应用、网站、Web服务、API、以及基于云的软件即服务(SaaS)等IT资产，进行管理。因此在此类IT环境中，他们需要与内、外部的各种系统持续进行通信。同时，许多功能性的接口都会被暴露出来。

对此，企业需要实施关键性网络安全计划便是资产发现。该环节可帮助运维人员找到各种Web资产，以便他们按需保护目标组件，并制定出相应的安全策略。可以说，一旦创建了所有重要Web资产的列表，他们即可开始执行威胁评估，以识别出针对当前应用的潜在威胁，进而制定出有效的缓解计划。

3.遵守安全编码标准

据软件工程研究所的统计，大约有90%的软件安全问题，都是由软件设计或代码中的缺陷引起的。诚然，开发人员的主要工作是让应用程序能够正常运行，但是如果忽略了安全编码，则会无形中留下各种安全漏洞和被攻击的后门。

可见，我们需要实施安全的编码标准，以确保软件和应用得到保护，并免受安全漏洞的影响。在实际项目中，我们可以在软件开发生命周期(SDLC)的早期阶段引入安全性，并通过遵循OWASP的安全编码规范、以及SEI CERT编码标准，这两种时下流行的安全编码标准，以避免在后期测试和部署阶段，花费时间和精力去填补各种安全漏洞。