随着企业数字化转型的深入,越来越多的业务应用系统被部署到互联网平台上,这吸引了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁开始凸显。通过利用网站系统和Web服务程序的安全漏洞,攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限,从而进行网页篡改、数据窃取等破坏活动,严重损害企业的业务发展。
保障Web应用安全已经成为行业普遍认知。但研究人员发现,目前很多企业对Web应用安全防护还存在许多认知误区,这随时可能引发严重的安全问题和事故。
误区一
我们只是普通的企业组织,我们的Web应用系统不会被攻击。
真相:大多数网络攻击是自动化的、没有特定目标的,因此每个企业都可能成为攻击者的目标。
不管是大型企业,还是中小企业用户,普遍都认为坏事只会发生在其他机构。许多组织抱着侥幸心理,以为自己不会受到网络攻击,因此无需操心Web应用程序安全。但事实是,现在的网络攻击大都是由有组织的犯罪团伙发起,它们每天都在全球网络上进行自动攻击嗅探,一旦机器人程序发现了可被利用的安全漏洞(比如Log4Shell),其所在的企业就在劫难逃。每个企业都应该为防范Web应用攻击做好充分的准备和预案。
误区二
部署WAF就可以阻止针对Web应用系统的攻击。
真相:WAF并不能成为Web应用系统防御的唯一防线,攻击者会专门针对WAF寻找相应的绕过策略。
部署Web应用防火墙(WAF)就能够保证Web应用安全是目前最常见的认知误区之一。WAF可以被看成是Web版的网络防火墙,它可以过滤HTTP流量以检测并阻止可能存在的攻击企图。WAF还常常用作负载均衡系统,提供额外的应用安全能力,对于临时阻止突然爆发的零日漏洞很有价值。然而,它们却很难检测出所有可能的攻击,只要系统中存在未被发现的安全漏洞,攻击者就有可能会找到绕过WAF 规则的方法。
误区三
企业网站已经使用了HTTPS协议,因此Web应用系统是安全的。
Web应用安全防护的十大误区
日期: 2022-09-22 20:59:19
作者:
点击数:
返回
