分析Web網(wǎng)站安全需澄清的誤解

　　隨著防火墻和補(bǔ)丁管理已逐漸走向規(guī)范化，各類網(wǎng)絡(luò)設(shè)施應(yīng)該是比以往更完全。那么Web網(wǎng)站安全中需要澄清哪些誤解呢?一起來(lái)看看吧!

　　一、“Web網(wǎng)站使用了SSL加密，所以很安全”

　　單靠SSL加密無(wú)法保障網(wǎng)站的安全。網(wǎng)站啟用SSL加密后，表明該網(wǎng)站發(fā)送和接收的信息都經(jīng)過了加密處理，但是SSL無(wú)法保障存儲(chǔ)在網(wǎng)站里的信息的安全。許多網(wǎng)站采用了128位SSL加密，但還是被黑客攻破。此外，SSL也無(wú)法保護(hù)網(wǎng)站訪問者的隱私信息。這些隱私信息直接存在網(wǎng)站服務(wù)器里面，這是SSL所無(wú)法保護(hù)的。

　　二、“Web網(wǎng)站使用了防火墻，所以很安全”

　　防火墻有訪問過濾機(jī)制，但還是無(wú)法應(yīng)對(duì)許多惡意行為。許多網(wǎng)上商店、拍賣網(wǎng)站和BBS都安裝了防火墻，但依然脆弱。防火墻通過設(shè)置“訪客名單”，可以把惡意訪問排除在外，只允許善意的訪問者進(jìn)來(lái)。但是，如何鑒別善意訪問和惡意訪問是一個(gè)問題。訪問一旦被允許，后續(xù)的安全問題就不是防火墻能應(yīng)對(duì)了。

　　三、“漏洞掃描工具沒發(fā)現(xiàn)任何問題，所以很安全”

　　自1990年代初以來(lái)，漏洞掃描工具已經(jīng)被廣泛使用，以查找一些明顯的網(wǎng)絡(luò)安全漏洞。但是，這種工具無(wú)法對(duì)網(wǎng)站應(yīng)用程序進(jìn)行檢測(cè)，無(wú)法查找程序中的漏洞。

　　漏洞掃描工具生成一些特殊的訪問請(qǐng)求，發(fā)送給Web網(wǎng)站，在獲取網(wǎng)站的響應(yīng)信息后進(jìn)行分析。該工具將響應(yīng)信息與一些漏洞進(jìn)行對(duì)比，一旦發(fā)現(xiàn)可疑之處即報(bào)出安全漏洞。目前，新版本的漏洞掃描工具一般能發(fā)現(xiàn)網(wǎng)站90%以上的常見安全問題，但這種工具對(duì)網(wǎng)站應(yīng)用程序也有很多無(wú)能為力的地方。

　　四、“網(wǎng)站應(yīng)用程序的安全問題是程序員造成的”

　　程序員確實(shí)造成了一些問題，但有些問題程序員無(wú)法掌控。

　　比如說，應(yīng)用程序的源代碼可能最初從其它地方獲得，這是公司內(nèi)部程序開發(fā)人員所不能控制的�；蛘撸�公司可能會(huì)請(qǐng)一些離岸的開發(fā)商作一些定制開發(fā)，與原有程序整合，這其中也可能會(huì)出現(xiàn)問題�；蛘�，一些程序員會(huì)拿來(lái)一些免費(fèi)代碼做修改，這也隱藏著安全問題。再舉一個(gè)極端的例子，可能有兩個(gè)程序員來(lái)共同開發(fā)一個(gè)程序項(xiàng)目，他們分別開發(fā)的代碼都沒有問題，安全性很好，但整合在一起則可能出現(xiàn)安全漏洞。

　　很現(xiàn)實(shí)地講，軟件總是有漏洞的，這種事每天都在發(fā)生。安全漏洞只是眾多漏洞中的一種。加強(qiáng)員工的培訓(xùn)，確實(shí)可以在一定程度上改進(jìn)代碼的質(zhì)量。但需要注意，任何人都會(huì)犯錯(cuò)誤，漏洞無(wú)可避免。有些漏洞可能要經(jīng)過許多年后才會(huì)被發(fā)現(xiàn)。

　　五、“我們每年會(huì)對(duì)Web網(wǎng)站進(jìn)行安全評(píng)估，所以很安全”

　　一般而言，網(wǎng)站應(yīng)用程序的代碼變動(dòng)很快。對(duì)Web網(wǎng)站進(jìn)行一年一度的安全評(píng)估非常必要，但評(píng)估時(shí)的情況可能與當(dāng)前情況有很大不同。網(wǎng)站應(yīng)用程序只要有任何改動(dòng)，都會(huì)出現(xiàn)安全問題的隱患。

　　網(wǎng)站喜歡選在節(jié)假日對(duì)應(yīng)用程序進(jìn)行升級(jí)，圣誕節(jié)就是很典型的一個(gè)旺季。網(wǎng)站往往會(huì)增加許多新功能，但卻忽略了安全上的考慮。如果網(wǎng)站不增加新功能，這又會(huì)對(duì)經(jīng)營(yíng)業(yè)績(jī)產(chǎn)生影響。網(wǎng)站應(yīng)該在程序開發(fā)的各個(gè)階段都安排專業(yè)的安全人員。

【分析Web網(wǎng)站安全需澄清的誤解】相關(guān)文章：

B2B行業(yè)網(wǎng)站設(shè)計(jì)流程分析09-24

B2B網(wǎng)站應(yīng)該如何匯聚人氣分析09-24

十個(gè)步驟打造安全的個(gè)人Web服務(wù)器09-06

電子商務(wù)員輔導(dǎo)：Alexa與CISI網(wǎng)站流量指標(biāo)分析10-01

php開發(fā)高效的WEB系統(tǒng)的方法08-20

雅思閱讀容易被誤解的詞匯概括06-23

如何使用PHP開發(fā)高效的web系統(tǒng)10-19

考研英語(yǔ)30個(gè)容易被誤解的短語(yǔ)10-08

Windows更新錯(cuò)誤解決方案06-25

2017安全工程師《案例分析》模擬分析題09-14