補丁是用于修補程序漏洞的代碼片段程序,用于對操作系統或應用程序實現附加功能或修補安全漏洞。人們日漸意識到,通過網絡服務器和應用程序下載并安裝補丁是維護網站安全的關鍵,尤其是發現軟件漏洞存在巨大安全隱患時。而近年來一些軟件漏洞因疏于安裝補丁,成為了黑客主要的攻擊目標,這也再次強調了安裝補丁的重要性。話雖如此,任何運維人員想要為一直運行的設備安裝補丁都不是一件簡單的事,而且成本也不低。
漏洞指的是計算機系統(操作系統和應用程序)的缺陷,攻擊者可以通過這些缺陷進行非法入侵,實施惡意行為。但并非所有漏洞都具有相應的補丁,此時運維人員應當對其它補救辦法有所了解,例如修改系統配置、對用戶進行培訓,以減少系統漏洞的暴露。
為緩解問題,運維人員應為減少暴露系統漏洞而制定系統的記錄程序,及時安裝補丁。這些步驟固然關鍵,但也不能忽視補丁以外的其它風險。
網絡應用安全風險
網絡應用方面,各運維人員面對的挑戰不盡相同。風險大小很大程度上取決于其所從事的行業、安全方面的投入、軟件開發人員的經驗及其使用的方法和技術。除運維人員以外,一些常見的內外部因素,也可能對網絡應用程序的安全風險帶來影響。其中包括:
· 上市時間短促
迫于管理、市場和營銷團隊的壓力,急于發布程序和不斷增加功能設置導致對程序安全缺陷進行檢測的時間被壓縮,缺陷沒有充分暴露出來。
· 遺留應用程序
老的應用程序在前期開發階段就有可能存在潛在安全漏洞,而新版本并未修復老版本的問題。
· 網絡依賴
關鍵任務流程對互聯網服務依賴程度強,從而增加應用程序暴露安全漏洞的危險。
· 標準化缺失
無論是內部設計、外包設計還是兩者共同完成的網絡應用程序,由于人為錯誤,有時都無法做到標準化。
· 安全意識缺乏
在軟件開發生命周期,安全問題偶爾會被忽視或不夠重視。
是什么讓網絡應用程序漏洞如此普遍?其中一種理論認為是網絡應用程序代碼不成熟所致。例如,黑客可以利用網絡程序的解釋和驗證漏洞(可能是軟件開發生命周期的一部分)入侵其界面。還有理論認為,網絡應用程序使用的協議和服務越多(如:HTTP, HTTPS和SOAP),黑客可利用的漏洞越多。雖然人們已經努力尋找網絡協議漏洞的解決方案、增強防火墻和IDS/IPS系統,可在網絡應用程序方面卻并未能做到如此細致的保護。
以下幾個方面,都是網絡應用程序吸引黑客的原因。比較典型的是,黑客認為網絡服務器的信息有價值——敏感內容,或者有可用作進入其他網絡之跳板的信息。相比傳統程序,黑客更喜歡入侵網絡應用程序,這是其本質決定的。因為大部分網絡應用程序都與數據庫相連,這些數據庫可能包含客戶或財務信息——故黑客將攻擊網絡應用程序作為入侵數據庫的途徑。
無論服務器補丁打得多好,潛在可被利用的漏洞都是不可避免的。如下所列就是一些常見的漏洞:
· Security misconfigurations安全配置錯誤
· Lack of sufficient validation缺乏必要驗證
· Cross-siterequest forgery (CSRF)偽造跨站請求
· Cross-site scripting (XSS)跨站腳本攻擊
· SQL InjectionSQL注入攻擊
· Insufficient use of transport layer encryption傳輸層加密不足
· Backdoors (e.g. exposed management interfaces, legacy users still in the system, etc.)后門(例如:暴露管理界面,前一用戶仍在系統中逗留等等)
一般的網絡應用服務器管理任務也會產生安全問題。使用默認配置,弱口令,運行不必要服務程序等都是明顯的安全風險。但目前,這種問題在某些運維人員工作中依舊普遍存在,好在這些錯誤都能夠輕易被修復。
如何降低風險?
為降低上述安全風險,可以采取以下步驟:
(1)為服務器安裝補丁!
良好的服務器安全保障需要及時為它安裝補丁。
(2)安裝服務器安全軟件!
一般來說,給服務器安裝補丁還遠遠不夠,強烈推薦安裝基于操作系統的服務器安全軟件。找出網絡應用程序中潛在的安全漏洞非常關鍵,一款名叫云鎖www.yunsuo.com.cn服務器安全工具可以幫助運維人員對服務器進行防護。
Conclusion結論
如今,隨著黑客將攻擊網絡應用程序和網絡服務器作為從后臺數據庫獲取敏感數據的主要途徑,運維人員實現切實有效的安全政策變得尤為重要。
網絡安全意識和良好的編碼習慣(如:登入前進行用戶輸入驗證)是個好的開端,同時多重編碼方法也必不可少。采用數據庫審查、網絡活動監測工具以及網絡應用掃描器(如Acunetix網絡漏洞掃描器)等方案也能有效發現異常行為,從而降低漏洞風險。
京公網安備 11010502049343號