针对web应用存在哪些安全威胁提出相应的安全防护措施

针对web应用存在哪些安全威胁提出相应的安全防护措施

应用安全防护解决思路：应用安全问题本质上源于软件质量问题。但应用相较传统的软件，具有其独特性。应用往往是某个机构所独有的应用，对其存在的漏洞，已知的通用漏洞签名缺乏有效性；需要频繁地变更以满足业务目标，从而使得很难维持有序的开发周期；需要全面考虑客户端与服务端的复杂交互场景，而往往很多开发者没有很好地理解业务流程；人们通常认为开发比较简单，缺乏经验的开发者也可以胜任。针对应用安全，理想情况下应该在软件开发生命周期遵循安全编码原则，并在各阶段采取相应的安全措施。然而，多数网站的实际情况是：大量早期开发的应用，由于历史原因，都存在不同程度的安全问题。对于这些已上线、正提供生产的应用，由于其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难施行或者需要较长的整改周期。针对这种现状，专业的安全防护工具是一种合理的选择。应用防火墙（以下简称）正是这类专业工具，提供了一种安全运维控制手段：基于对流量的双向分析，为应用提供实时的防护。与传统防火墙设备相比较，最显著的技术差异性体现在：对有本质的理解：能完整地解析，包括报文头部、参数及载荷。支持各种编码（如、压缩）；提供严格的协议验证；提供限制；支持各类字符集编码；具备过滤能力。提供应用层规则：应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。提供专用的应用层规则，且具备检测变形攻击的能力，如检测加密流量中混杂的攻击。提供正向安全模型（白名单）：仅允许已知有效的输入通过，为应用提供了一个外部的输入验证机制，安全性更为可靠。提供会话防护机制：协议最大的弊端在于缺乏一个可靠的会话管理机制。为此进行有效补充，防护基于会话的攻击类型，如篡改及会话劫持攻击。如何正确选择并非对服务器提供保护的“盒子”都是。事实上，一个真正满足需求的应该具有二维的防护体系：纵向提供纵深防御：通过建立协议层次、信息流向等纵向结构层次，构筑多种有效防御措施阻止攻击并发出告警。横向：满足合规要求；缓解各类安全威胁（包括网络层面、基础架构及应用层面）；降低服务响应时间、显著改善终端用户体验，优化业务资源和提高应用系统敏捷性。在选择产品时，建议参考以下步骤：结合业务需求明确安全策略目标，从而定义清楚产品必须具备的控制能力评估每一家厂商产品可以覆盖的风险类型测试产品功能、性能及可伸缩性评估厂商的技术支持能力评估内部维护团队是否具备维护、管理产品的必需技能权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品服务产生的直接支出，还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息