Web應(yīng)用安全防護(hù)容易犯錯(cuò)的十大誤區(qū)

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，越來(lái)越多的業(yè)務(wù)應(yīng)用系統(tǒng)被部署到互聯(lián)網(wǎng)平臺(tái)上，這吸引了網(wǎng)絡(luò)犯罪團(tuán)伙的強(qiáng)烈關(guān)注，以Web攻擊為代表的應(yīng)用層安全威脅開(kāi)始凸顯。通過(guò)利用網(wǎng)站系統(tǒng)和Web服務(wù)程序的安全漏洞，攻擊者可以輕松獲取企業(yè)Web應(yīng)用系統(tǒng)及服務(wù)器設(shè)備的控制權(quán)限，從而進(jìn)行網(wǎng)頁(yè)篡改、數(shù)據(jù)竊取等破壞活動(dòng)，嚴(yán)重?fù)p害企業(yè)的業(yè)務(wù)發(fā)展。

保障Web應(yīng)用安全已經(jīng)成為行業(yè)普遍認(rèn)知。但研究人員發(fā)現(xiàn)，目前很多企業(yè)對(duì)Web應(yīng)用安全防護(hù)還存在許多認(rèn)知誤區(qū)，這隨時(shí)可能引發(fā)嚴(yán)重的安全問(wèn)題和事故。

誤區(qū)一

我們只是普通的企業(yè)組織，我們的Web應(yīng)用系統(tǒng)不會(huì)被攻擊。

真相：大多數(shù)網(wǎng)絡(luò)攻擊是自動(dòng)化的、沒(méi)有特定目標(biāo)的，因此每個(gè)企業(yè)都可能成為攻擊者的目標(biāo)。

不管是大型企業(yè)，還是中小企業(yè)用戶，普遍都認(rèn)為壞事只會(huì)發(fā)生在其他機(jī)構(gòu)。許多組織抱著僥幸心理，以為自己不會(huì)受到網(wǎng)絡(luò)攻擊，因此無(wú)需操心Web應(yīng)用程序安全。但事實(shí)是，現(xiàn)在的網(wǎng)絡(luò)攻擊大都是由有組織的犯罪團(tuán)伙發(fā)起，它們每天都在全球網(wǎng)絡(luò)上進(jìn)行自動(dòng)攻擊嗅探，一旦機(jī)器人程序發(fā)現(xiàn)了可被利用的安全漏洞（比如Log4Shell），其所在的企業(yè)就在劫難逃。每個(gè)企業(yè)都應(yīng)該為防范Web應(yīng)用攻擊做好充分的準(zhǔn)備和預(yù)案。

誤區(qū)二

部署WAF就可以阻止針對(duì)Web應(yīng)用系統(tǒng)的攻擊。

真相：WAF并不能成為Web應(yīng)用系統(tǒng)防御的唯一防線，攻擊者會(huì)專門針對(duì)WAF尋找相應(yīng)的繞過(guò)策略。

部署Web應(yīng)用防火墻（WAF）就能夠保證Web應(yīng)用安全是目前最常見(jiàn)的認(rèn)知誤區(qū)之一。WAF可以被看成是Web版的網(wǎng)絡(luò)防火墻，它可以過(guò)濾HTTP流量以檢測(cè)并阻止可能存在的攻擊企圖。WAF還常常用作負(fù)載均衡系統(tǒng)，提供額外的應(yīng)用安全能力，對(duì)于臨時(shí)阻止突然爆發(fā)的零日漏洞很有價(jià)值。然而，它們卻很難檢測(cè)出所有可能的攻擊，只要系統(tǒng)中存在未被發(fā)現(xiàn)的安全漏洞，攻擊者就有可能會(huì)找到繞過(guò)WAF 規(guī)則的方法。

誤區(qū)三

企業(yè)網(wǎng)站已經(jīng)使用了HTTPS協(xié)議，因此Web應(yīng)用系統(tǒng)是安全的。

真相：HTTPS只保護(hù)用戶數(shù)據(jù)免受竊取和篡改，卻無(wú)法防范惡意流量等威脅。

應(yīng)用HTTPS表示所有Web應(yīng)用流量都經(jīng)過(guò)加密，這是防止中間人攻擊的關(guān)鍵最佳實(shí)踐，但卻無(wú)法防范攻擊者已經(jīng)建立有效連接的應(yīng)用程序級(jí)攻擊。比如說(shuō)，如果攻擊者可以在易受攻擊的純HTTPS應(yīng)用程序中訪問(wèn)或創(chuàng)建有效的用戶賬戶，他們就可以隨意嘗試SQL注入、權(quán)限提升及其他攻擊，而這一切都是在安全加密的連接中進(jìn)行。

誤區(qū)四

如果Web應(yīng)用系統(tǒng)僅在企業(yè)內(nèi)部網(wǎng)絡(luò)上運(yùn)行就是安全的。

真相：網(wǎng)絡(luò)攻擊者可以通過(guò)受攻擊的Web服務(wù)器系統(tǒng)間接攻擊Web應(yīng)用程序，即使在內(nèi)部網(wǎng)絡(luò)中也是如此。

很多人會(huì)錯(cuò)誤認(rèn)為，沒(méi)有連接互聯(lián)網(wǎng)的內(nèi)網(wǎng)Web應(yīng)用系統(tǒng)就是安全的，不會(huì)受到基于Web的網(wǎng)絡(luò)攻擊。實(shí)際上，攻擊者可以利用服務(wù)器端請(qǐng)求偽造（SSRF）之類的漏洞，以某一臺(tái)被攻陷的服務(wù)器為跳板，攻擊企業(yè)內(nèi)網(wǎng)上的應(yīng)用系統(tǒng)。特別是在云優(yōu)先環(huán)境下，許多組織不再擁有完全物理隔離的內(nèi)部網(wǎng)絡(luò)，只有私有云部署的應(yīng)用方式，這是另一種Web應(yīng)用的安全隱患。

誤區(qū)五

只允許通過(guò)VPN訪問(wèn)的Web應(yīng)用系統(tǒng)是安全的。

真相：VPN是保護(hù)互聯(lián)網(wǎng)隱私的強(qiáng)大工具，但不是保護(hù)Web應(yīng)用安全的完整解決方案。

遠(yuǎn)程工作模式大行其道，虛擬專用網(wǎng)（VPN）已變成企業(yè)普遍使用的遠(yuǎn)程訪問(wèn)工具。盡管VPN確實(shí)提供了額外的隔離和訪問(wèn)控制，就像內(nèi)部網(wǎng)絡(luò)一樣，但不應(yīng)該將VPN視為Web應(yīng)用系統(tǒng)的安全憑證。如果攻擊者設(shè)法訪問(wèn)了 VPN（比如使用被盜的憑據(jù)、泄露的員工賬戶或某種社會(huì)工程伎倆），任何Web應(yīng)用程序都可能很容易受到攻擊。

誤區(qū)六

瀏覽器內(nèi)置的攻擊防護(hù)機(jī)制可以保障應(yīng)用安全。

真相：瀏覽器安全機(jī)制是應(yīng)用程序安全防護(hù)的補(bǔ)充，但卻無(wú)法取而代之。

大概十年前，因?yàn)榭缯灸_本漏洞的盛行，瀏覽器服務(wù)商嘗試將XSS過(guò)濾器直接嵌入到瀏覽器中，這誤導(dǎo)了一大批企業(yè)用戶：新一代瀏覽器可以對(duì)Web應(yīng)用程序進(jìn)行安全防護(hù)。但實(shí)踐表明，這種保護(hù)措施的效果非常有限，并且已從很多高版本瀏覽器中刪除。實(shí)際上，瀏覽器安全是網(wǎng)絡(luò)安全領(lǐng)域一個(gè)完全獨(dú)立又至關(guān)重要的方面，永遠(yuǎn)不應(yīng)依賴瀏覽器作為應(yīng)用程序的額外防線。相反，Web開(kāi)發(fā)者應(yīng)竭力遵循公認(rèn)的行業(yè)標(biāo)準(zhǔn)和規(guī)范，讓瀏覽器能夠正確地處理和呈現(xiàn)應(yīng)用程序。

誤區(qū)七

Web應(yīng)用系統(tǒng)有備份，即使發(fā)生安全事件也可以快速恢復(fù)。

真相：備份對(duì)于數(shù)據(jù)存儲(chǔ)和保持業(yè)務(wù)連續(xù)性很重要，但卻無(wú)法減輕數(shù)據(jù)泄密造成的間接破壞和損失。

備份一直是企業(yè)整體安全策略的關(guān)鍵組成部分，擁有良好的備份和可靠的恢復(fù)方案是無(wú)可替代的。但是備份只能防止數(shù)據(jù)丟失和損壞，卻無(wú)法幫助企業(yè)避免網(wǎng)絡(luò)攻擊產(chǎn)生的其他災(zāi)難性后果（系統(tǒng)停運(yùn)、商業(yè)秘密泄露和品牌商譽(yù)損失等）。因此，備份是Web應(yīng)用安全防護(hù)計(jì)劃中不可或缺的部分，但企業(yè)在確保應(yīng)用系統(tǒng)安全性方面的要求與隨時(shí)準(zhǔn)備數(shù)據(jù)恢復(fù)一樣重要。

誤區(qū)八

Web應(yīng)用的開(kāi)發(fā)框架是安全可靠的，因此應(yīng)用系統(tǒng)也是安全的。

真相：高質(zhì)量的開(kāi)發(fā)框架可以防止許多安全漏洞，但僅靠框架還遠(yuǎn)遠(yuǎn)不夠。

Web應(yīng)用框架和模塊庫(kù)已徹底改變了Web應(yīng)用系統(tǒng)的開(kāi)發(fā)方式，提供了構(gòu)建生產(chǎn)級(jí)站點(diǎn)和應(yīng)用程序的基礎(chǔ)，會(huì)大大節(jié)約應(yīng)用開(kāi)發(fā)的時(shí)間和資源。選擇一種安全可靠的框架固然是重要的，因?yàn)樗梢詭椭髽I(yè)避免很多類型的技術(shù)漏洞，特別是跨站腳本（XSS）類型的漏洞。但即使開(kāi)發(fā)人員嚴(yán)格按照規(guī)范，Web開(kāi)發(fā)框架不能識(shí)別所有應(yīng)用場(chǎng)景下的漏洞，因此，使用可靠的Web開(kāi)發(fā)框架只是安全編程的基礎(chǔ)。

誤區(qū)九

應(yīng)用發(fā)布前已經(jīng)在集成開(kāi)發(fā)環(huán)境（IDE）中進(jìn)行了安全檢查，所以是安全的。

真相：靜態(tài)代碼安全檢查只是確保整體應(yīng)用程序安全性的手段之一。

新一代Web開(kāi)發(fā)工具通常會(huì)集成代碼安全檢查工具，有時(shí)甚至作為免費(fèi)插件。應(yīng)用這種工具的好處是，可以提升開(kāi)發(fā)人員的安全意識(shí)，減少人為錯(cuò)誤導(dǎo)致的安全隱患。但這些工具也有其應(yīng)用局限性，只能識(shí)別有限的問(wèn)題，并且容易出現(xiàn)誤報(bào)，將真正的警報(bào)淹沒(méi)。雖然為IDE增添面向安全的檢查工具有利于規(guī)避Web應(yīng)用的安全問(wèn)題，但需要認(rèn)識(shí)到，它只是確保應(yīng)用程序安全的眾多手段之一，通過(guò)全部靜態(tài)安全檢查并不能保證應(yīng)用程序的絕對(duì)安全，還有很多地方可能出岔子。

誤區(qū)十

Web應(yīng)用安全防護(hù)不是開(kāi)發(fā)團(tuán)隊(duì)的工作。

真相：保障應(yīng)用程序安全是現(xiàn)代Web應(yīng)用開(kāi)發(fā)的重要組成部分，特別是應(yīng)用開(kāi)發(fā)安全運(yùn)營(yíng)（DevSecOps）模式后更是如此。

由于應(yīng)用需求的提升，導(dǎo)致Web應(yīng)用系統(tǒng)變得更加復(fù)雜，保護(hù)Web的應(yīng)用安全與每個(gè)人息息相關(guān)，并從開(kāi)發(fā)階段就啟動(dòng)安全策略。有效地發(fā)現(xiàn)安全漏洞并及時(shí)處理修復(fù)請(qǐng)求，對(duì)于避免發(fā)生嚴(yán)重的安全事件和節(jié)省安全防護(hù)資源至關(guān)重要。

編輯：黃飛