網(wǎng)站安全攻與防的啟示錄(9)

三、WEB應用安全與數(shù)據(jù)庫安全的防護

前面我們已經(jīng)了解了黑客是如何入侵竊取我們的數(shù)據(jù)并破壞網(wǎng)站的過程，所以我們對WEB應用安全的威脅應該采取積極防御并及時解決的態(tài)度。

首先我們要了解為什么網(wǎng)站會出現(xiàn)這么多的問題這么多的漏洞：由于某些開發(fā)人員犯了非常低級的編程錯誤，比如：應用ID只能被應用使用，而不能被單獨的用戶或是其它進程使用。但是開發(fā)人員不這么做，他們給予了應用程序更多的數(shù)據(jù)訪問權(quán)限。這就類似于醫(yī)生因沒有洗手而傳播了傳染病，從而導致各種漏洞的出現(xiàn)。

我們必須接受已經(jīng)存在的應用缺陷和漏洞。通過發(fā)揮數(shù)據(jù)庫管理員的安全職責去阻止因為應用缺陷和漏洞所造成的不良后果。如果開發(fā)人員不重視應用與數(shù)據(jù)交互的安全性，堅持最小權(quán)限原則，數(shù)據(jù)庫管理員則有權(quán)在這場互動中占取主動，不給開發(fā)人員全權(quán)委托，數(shù)據(jù)庫管理員可以不允許那么多的交互被授權(quán)；為了阻止黑客的滲透攻擊從不可避免的網(wǎng)絡(luò)程序應用漏洞中占便宜，數(shù)據(jù)庫管理員也有權(quán)進行其他有效的安全控制。并且數(shù)據(jù)庫管理員應對數(shù)據(jù)庫進行加密保護，如密碼不能使用明文保存；對所有應用層和數(shù)據(jù)層通信的審計監(jiān)控將有助于快速識別和解決問題以及準確地判斷任何安全事件的范圍，直到實現(xiàn)安全風險最小化的目標。

假如出現(xiàn)數(shù)據(jù)外泄事件（如2011年年底的CSDN等網(wǎng)站的用戶數(shù)據(jù)信息泄密事件），責任也不止是在數(shù)據(jù)庫管理員身上，開發(fā)人員也需要共同承擔責任。其中一個非常重要的方面，開發(fā)人員能做的就是在用戶能輸入的地方最好過濾危險字符，這樣可以防止黑客通過諸如SQL注入攻擊獲取到數(shù)據(jù)庫的敏感信息。目前在各類行業(yè)網(wǎng)站上，各種WEB應用漏洞隨處可見，可以被黑客們檢測到（他們一般會用軟件同時掃描數(shù)千個網(wǎng)站）。

開發(fā)人員在完成一套新的應用程序后應使用安全檢測工具對其進行反復白盒測試，有條件的情況下可以請信息安全人員模擬黑客進行黑盒滲透測試，盡可能的發(fā)現(xiàn)應用程序的弱點并進行修補。如果想實現(xiàn)更完整的解決方案，更多有關(guān)的保護數(shù)據(jù)和數(shù)據(jù)庫是應當實施源代碼分析。這是一項冗長的處理過程，可以請安全服務(wù)提供商用專業(yè)的源碼審計軟件對應用程序代碼進行詳細的分析處理，這些工具會直接查找出更精確的缺陷結(jié)果。

同時應該與開發(fā)商或者安全廠商合作并確保能提供安全解決方案，這對于任何致力于部署網(wǎng)絡(luò)應用數(shù)據(jù)庫正常安全訪問的用戶都至關(guān)重要，WEB應用安全測試對于確保數(shù)據(jù)庫的安全性有至關(guān)重要的作用。

一款好的工具可以有助于加快進度并且提供更好的檢測結(jié)果和解決方案，以提供應用程序更好的的安全性，關(guān)鍵是進行反復評估以確保管理工作正常，對結(jié)果實施驗證并加固，確保風險一經(jīng)發(fā)現(xiàn)立即補救，并保證管理人員能夠了解到相關(guān)問題的存在。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]