聯(lián)系請(qǐng)致電:15378720700 河南億恩科技有限公司�,專注IDC服務(wù)13年�,華中地區(qū)最大IDC服務(wù)商�����。
BGP新機(jī)房優(yōu)惠活動(dòng)正在進(jìn)行中。�。。期待您的加入�。
三、WEB應(yīng)用安全與數(shù)據(jù)庫安全的防護(hù)
前面我們已經(jīng)了解了黑客是如何入侵竊取我們的數(shù)據(jù)并破壞網(wǎng)站的過程�,所以我們對(duì)WEB應(yīng)用安全的威脅應(yīng)該采取積極防御并及時(shí)解決的態(tài)度。
首先我們要了解為什么網(wǎng)站會(huì)出現(xiàn)這么多的問題這么多的漏洞:由于某些開發(fā)人員犯了非常低級(jí)的編程錯(cuò)誤�,比如:應(yīng)用ID只能被應(yīng)用使用,而不能被單獨(dú)的用戶或是其它進(jìn)程使用��。但是開發(fā)人員不這么做�����,他們給予了應(yīng)用程序更多的數(shù)據(jù)訪問權(quán)限�����。這就類似于醫(yī)生因沒有洗手而傳播了傳染病����,從而導(dǎo)致各種漏洞的出現(xiàn)���。
我們必須接受已經(jīng)存在的應(yīng)用缺陷和漏洞��。通過發(fā)揮數(shù)據(jù)庫管理員的安全職責(zé)去阻止因?yàn)閼?yīng)用缺陷和漏洞所造成的不良后果���。如果開發(fā)人員不重視應(yīng)用與數(shù)據(jù)交互的安全性���,堅(jiān)持最小權(quán)限原則,數(shù)據(jù)庫管理員則有權(quán)在這場(chǎng)互動(dòng)中占取主動(dòng)�,不給開發(fā)人員全權(quán)委托,數(shù)據(jù)庫管理員可以不允許那么多的交互被授權(quán)�����;為了阻止黑客的滲透攻擊從不可避免的網(wǎng)絡(luò)程序應(yīng)用漏洞中占便宜��,數(shù)據(jù)庫管理員也有權(quán)進(jìn)行其他有效的安全控制�����。并且數(shù)據(jù)庫管理員應(yīng)對(duì)數(shù)據(jù)庫進(jìn)行加密保護(hù)���,如密碼不能使用明文保存����;對(duì)所有應(yīng)用層和數(shù)據(jù)層通信的審計(jì)監(jiān)控將有助于快速識(shí)別和解決問題以及準(zhǔn)確地判斷任何安全事件的范圍,直到實(shí)現(xiàn)安全風(fēng)險(xiǎn)最小化的目標(biāo)����。
假如出現(xiàn)數(shù)據(jù)外泄事件(如2011年年底的CSDN等網(wǎng)站的用戶數(shù)據(jù)信息泄密事件),責(zé)任也不止是在數(shù)據(jù)庫管理員身上���,開發(fā)人員也需要共同承擔(dān)責(zé)任��。其中一個(gè)非常重要的方面��,開發(fā)人員能做的就是在用戶能輸入的地方最好過濾危險(xiǎn)字符����,這樣可以防止黑客通過諸如SQL注入攻擊獲取到數(shù)據(jù)庫的敏感信息���。目前在各類行業(yè)網(wǎng)站上�����,各種WEB應(yīng)用漏洞隨處可見�����,可以被黑客們檢測(cè)到(他們一般會(huì)用軟件同時(shí)掃描數(shù)千個(gè)網(wǎng)站)。
開發(fā)人員在完成一套新的應(yīng)用程序后應(yīng)使用安全檢測(cè)工具對(duì)其進(jìn)行反復(fù)白盒測(cè)試,有條件的情況下可以請(qǐng)信息安全人員模擬黑客進(jìn)行黑盒滲透測(cè)試��,盡可能的發(fā)現(xiàn)應(yīng)用程序的弱點(diǎn)并進(jìn)行修補(bǔ)���。如果想實(shí)現(xiàn)更完整的解決方案����,更多有關(guān)的保護(hù)數(shù)據(jù)和數(shù)據(jù)庫是應(yīng)當(dāng)實(shí)施源代碼分析��。這是一項(xiàng)冗長的處理過程��,可以請(qǐng)安全服務(wù)提供商用專業(yè)的源碼審計(jì)軟件對(duì)應(yīng)用程序代碼進(jìn)行詳細(xì)的分析處理��,這些工具會(huì)直接查找出更精確的缺陷結(jié)果�。
同時(shí)應(yīng)該與開發(fā)商或者安全廠商合作并確保能提供安全解決方案,這對(duì)于任何致力于部署網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)庫正常安全訪問的用戶都至關(guān)重要����,WEB應(yīng)用安全測(cè)試對(duì)于確保數(shù)據(jù)庫的安全性有至關(guān)重要的作用。
一款好的工具可以有助于加快進(jìn)度并且提供更好的檢測(cè)結(jié)果和解決方案����,以提供應(yīng)用程序更好的的安全性,關(guān)鍵是進(jìn)行反復(fù)評(píng)估以確保管理工作正常�,對(duì)結(jié)果實(shí)施驗(yàn)證并加固�,確保風(fēng)險(xiǎn)一經(jīng)發(fā)現(xiàn)立即補(bǔ)救����,并保證管理人員能夠了解到相關(guān)問題的存在。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
