Web网站安全性存在的五个误解

目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。

  随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面对Web网站下手。要增强Web网站的安全性,首先要澄清五个误解。

  一、“Web网站使用了SSL加密,所以很安全”

  单靠SSL加密无法保障网站的安全。网站启用SSL加密后,表明该网站发送和接收的信息都经过了加密处理,但是SSL无法保障存储在网站里的信息的安全。许多网站采用了128位SSL加密,但还是被黑客攻破。此外,SSL也无法保护网站访问者的隐私信息。这些隐私信息直接存在网站服务器里面,这是SSL所无法保护的。

  二、“Web网站使用了防火墙,所以很安全”

  防火墙有访问过滤机制,但还是无法应对许多恶意行为。许多网上商店、拍卖网站和BBS都安装了防火墙,但依然脆弱。防火墙通过设置“访客名单”,可以把恶意访问排除在外,只允许善意的访问者进来。但是,如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。

  三、“漏洞扫描工具没发现任何问题,所以很安全”

  自1990年代初以来,漏洞扫描工具已经被广泛使用,以查找一些明显的网络安全漏洞。但是,这种工具无法对网站应用程序进行检测,无法查找程序中的漏洞。

  漏洞扫描工具生成一些特殊的访问请求,发送给Web网站,在获取网站的响应信息后进行分析。该工具将响应信息与一些漏洞进行对比,一旦发现可疑之处即报出安全漏洞。目前,新版本的漏洞扫描工具一般能发现网站90%以上的常见安全问题,但这种工具对网站应用程序也有很多无能为力的地方。

  四、“网站应用程序的安全问题是程序员造成的”

  程序员确实造成了一些问题,但有些问题程序员无法掌控。

  比如说,应用程序的源代码可能最初从其它地方获得,这是公司内部程序开发人员所不能控制的。或者,公司可能会请一些离岸的开发商作一些定制开发,与原有程序整合,这其中也可能会出现问题。或者,一些程序员会拿来一些免费代码做修改,这也隐藏着安全问题。再举一个极端的例子,可能有两个程序员来共同开发一个程序项目,他们分别开发的代码都没有问题,安全性很好,但整合在一起则可能出现安全漏洞。

  很现实地讲,软件总是有漏洞的,这种事每天都在发生。安全漏洞只是众多漏洞中的一种。加强员工的培训,确实可以在一定程度上改进代码的质量。但需要注意,任何人都会犯错误,漏洞无可避免。有些漏洞可能要经过许多年后才会被发现。

  五、“我们每年会对Web网站进行安全评估,所以很安全”

  一般而言,网站应用程序的代码变动很快。对Web网站进行一年一度的安全评估非常必要,但评估时的情况可能与当前情况有很大不同。网站应用程序只要有任何改动,都会出现安全问题的隐患。

  网站喜欢选在节假日对应用程序进行升级,圣诞节就是很典型的一个旺季。网站往往会增加许多新功能,但却忽略了安全上的考虑。如果网站不增加新功能,这又会对经营业绩产生影响。网站应该在程序开发的各个阶段都安排专业的安全人员。

(0)

相关推荐

  • Web网站安全性存在的五个误解

    目前,黑客攻击已成为一个很严重的网络问题.许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息.黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息. 随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全.但不幸的是,道高一尺,魔高一丈,黑客们已开始直接在应用层面对Web网站下手.要增强Web网站的安全性,首先要澄清五个误解. 一."Web网站使用了SSL加密,所以很安全" 单靠SSL加密无法保障网站的安全.网站启用SSL

  • VS2010发布Web网站技术攻略

    VS2010 Web网站发布详解 对VS2010来说,发布Web是一件相当容易的事情,也许就是这个原因导致网上关于发布网站具体细节的资料很少.然而这些正是初学者所需要的,下面我详细介绍一下Web网站发布的具体过程. 第一步:在解决方案资源管理器中右击Web应用程序名(例如:newsSystem)-->点击发布,如图所示: 第二步:在弹出的对话框中,发布方法选:文件系统,目标位置自定义(如:选桌面的test文件夹),勾选"发布前删除所有现有文件"单选框,然后点击发布即可.如图: 补

  • .NET CPU爆高事故事故分析某供应链WEB网站

    目录 一:背景 1. 讲故事 二:Windbg 分析 1. 查看CPU占用率 2. 查看是否 GC 触发 3. 是插入数据过多导致的吗? 4. 对问题的预判断 三:总结 一:背景 1. 讲故事 年前有位朋友加微信求助,说他的程序出现了偶发性CPU爆高,寻求如何解决,截图如下: 我建议朋友用 procdump 在 cpu 高的时候连抓两个dump,这样分析起来比较稳健,朋友也如期的成功抓到,接下来就用 windbg 一起来分析下吧. 二:Windbg 分析 1. 查看CPU占用率 先用 !tp 查

  • ASP.NET实现Web网站本地化

    1.重写InitializeCulture方法. 在Global.asax中的Application_BeginRequest获取或设置语言,每次页面的请求都首先运行这个方法,然后再运行具体页面的InitializeCulture重载方法. 附上一张图,看看页面方法和事件的执行顺序 protected override void InitializeCulture() { String curCulture = Request.QueryString["currentculture"]

  • Linux VPS配置Web网站环境一键包(LNMP/LAMP/LNMPA)

    如果我们是资深Linux用户,可能不屑于网上免费Linux Web一键包.管理面板的安装,然后自己编译或者自由的一套环境安装配置环境.但是,对于大部分用户而言,麦子个人建议还是选择较为成熟的WEB一键包或者面板安装环境. 在之前一篇"常用免费Linux VPS管理面板/一键包介绍和安装方法"文章中,麦子已经整理到当前主流的几个可视面板.一键包配置环境.相比较而言,较为常用的一键包是军哥LNMP,至今已经1.3版本,每年都有升级和更新.个人觉得其稳定性和功能还是相当满足常规项目需要的.

  • 利用MySQL加密函数保护Web网站敏感数据的方法分享

    如果您正在运行使用MySQL的Web应用程序,那么它把密码或者其他敏感信息保存在应用程序里的机会就很大.保护这些数据免受黑客或者窥探者的获取是一个令人关注的重要问题,因为您既不能让未经授权的人员使用或者破坏应用程序,同时还要保证您的竞争优势.幸运的是,MySQL带有很多设计用来提供这种类型安全的加密函数.本文概述了其中的一些函数,并说明了如何使用它们,以及它们能够提供的不同级别的安全. 双向加密 就让我们从最简单的加密开始:双向加密.在这里,一段数据通过一个密钥被加密,只能够由知道这个密钥的人来

  • 了解WEB页面工具语言XML(五)好处

    五.XML带来的好处 (1)更有意义的搜索 数据可被XML唯一的标识.没有XML,搜索软件必须了解每个数据库是如何构建的.这实际上是不可能的,因为每个数据库描述数据都是不同的.有了XML,书就可以很容易以标准的方式按照作者.标题.ISBN序号或其他的标准分类.搜索书就变得十分方便. (2)开发灵活的Web应用软件 数据一旦建立,XML能被发送到其他应用软件.对象或者中间层服务器做进一步地处理.或者它可以发送到桌面用浏览器浏览.XML和HTML.脚本.公共对象模式一起为灵活的三层Web应用软件的开

  • win2003服务器中创建Web网站虚拟目录的图文方法

    有两种方式可以实现这一目标,一种方式是在网站主目录中新建一个子目录,并把相关内容复制到这个目录中.另一种方式就是创建虚拟目录,虚拟目录既可以是本地磁盘中的任何一个目录,也可以是网络中其他计算机中的目录.相对而言,创建子目录的方式更安全高效. 虚拟目录需要在主目录的基础上进行创建,创建步骤如下所述: 第1步,在开始菜单中依次单击"管理工具"→"Internet信息服务(IIS)管理器"菜单项,打开"Internet 信息服务(IIS)管理器"窗口.

  • Linux下Web网站压力测试工具Webbench使用教程

    Webbench是一个非常简单的压力测试工具,Webbench最多可以模拟3万个并发连接去测试网站的负载能力. (1)Webbench安装 复制代码 代码如下: wget http://www.jb51.net/soft/linux/webbench-1.5.tar.gz tar zxvf webbench-1.5.tar.gz cd webbench-1.5 make make install (2)Webbench使用 复制代码 代码如下: webbench -c 1000 -t 60 ht

  • Java web网站访问量的统计

    当客户访问网站时就去读这个文件,将服务器重新启动前的计数读入,并在此基础上增加1,然后将新的计数写入到文件中. 参考代码如下: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Insert title here</title> </head> <body>

随机推荐