非常多的現(xiàn)代企業(yè)在企業(yè)網(wǎng)站和辦公電子化上已投入了大量的精力和時(shí)間,并獲得了越來(lái)越高的回報(bào)。一方面企業(yè)網(wǎng)站作為新型的媒體發(fā)布載體,成為企業(yè)非常重要的展示平臺(tái),與此同時(shí),企業(yè)也通過(guò)網(wǎng)站平臺(tái)更多地進(jìn)行企業(yè)業(yè)務(wù)的應(yīng)用交付,如網(wǎng)頁(yè)郵箱,在線支付等。另一方面辦公自動(dòng)化是企業(yè)高效率辦公的基礎(chǔ),企業(yè)內(nèi)部嘗試通過(guò)web應(yīng)用的方式進(jìn)行企業(yè)自動(dòng)辦公化的改良,大量的信息通過(guò)網(wǎng)絡(luò)設(shè)備進(jìn)行傳遞和存儲(chǔ)。于此同時(shí),Web安全隱患也層出不窮,給企業(yè)運(yùn)營(yíng)等帶來(lái)大量不穩(wěn)定因素,于是關(guān)于“Web應(yīng)用安全”也日益成為越來(lái)越多企業(yè)研究和重視課題,既要保障網(wǎng)站不被攻擊,又要確保不會(huì)發(fā)生信息竊取等事件。國(guó)際權(quán)威機(jī)構(gòu)Forrester的統(tǒng)計(jì)數(shù)據(jù)表明,67%的攻擊是通過(guò)應(yīng)用層的攻擊。通常而言,最簡(jiǎn)單的網(wǎng)頁(yè)瀏覽,也有可能造成威脅,比如,點(diǎn)擊了受感染的網(wǎng)址,或者,由于打開(kāi)的網(wǎng)頁(yè)上裝載有惡意代碼,在不知不覺(jué)中,造成了個(gè)人帳號(hào)的丟失,甚至后臺(tái)服務(wù)器系統(tǒng)漏洞的開(kāi)啟。典型的Web攻擊包括:SQL注入式攻擊,跨站腳本攻擊,網(wǎng)頁(yè)置換,信息竊取,拒絕服務(wù)攻擊,僵尸網(wǎng)絡(luò)或者很多攻擊手段的集合。
眾所周知各種應(yīng)用都是基于代碼進(jìn)行開(kāi)發(fā)的,代碼質(zhì)量直接影響了Web應(yīng)用的使用效果和安全體驗(yàn),而獨(dú)立的安全代碼其實(shí)是應(yīng)用安全的重中之重。遺憾的是,現(xiàn)如今,快速的應(yīng)用開(kāi)發(fā),多變的應(yīng)用環(huán)境造成了安全往往被忽視,基于Web應(yīng)用的攻擊數(shù)量呈井噴式爆發(fā),所以在面臨無(wú)法全面思考Web應(yīng)用安全的窘境下,考量并采用一款合適的具有綜合性Web應(yīng)用安全產(chǎn)品,可以避免企業(yè)受到Web攻擊的威脅。
解析針對(duì)OWASP TOP10 應(yīng)用漏洞綜合防護(hù) 的10大策略
開(kāi)源web應(yīng)用安全項(xiàng)目(OWASP)是一個(gè)開(kāi)放的社區(qū)組織。專(zhuān)注于討論應(yīng)用程序,代碼開(kāi)發(fā)的威脅討論,Top 10項(xiàng)目的目標(biāo)是通過(guò)找出企業(yè)組織所面臨的最嚴(yán)重的十大風(fēng)險(xiǎn)來(lái)提高人們對(duì)應(yīng)用程序安全的關(guān)注度。2010年版本的OWASP Top 10標(biāo)記了近八年來(lái)對(duì)于應(yīng)用程序安全風(fēng)險(xiǎn)重要性的認(rèn)知。TOP10中羅列的是十大最有可能發(fā)生的應(yīng)用漏洞,而不是具體某一種攻擊行為,是國(guó)際非常權(quán)威的關(guān)于web應(yīng)用安全的統(tǒng)計(jì)參考數(shù)據(jù),了解它們可以幫助企業(yè)更好地去規(guī)避Web應(yīng)用安全風(fēng)險(xiǎn)。梭子魚(yú)Web應(yīng)用防火墻對(duì)于其中提到的所有高風(fēng)險(xiǎn)問(wèn)題都具有獨(dú)特的策略,并具有綜合性,有效的幫助企業(yè)規(guī)避OWASP TOP10,使您面對(duì)Web應(yīng)用安全隱患游刃有余。
綜上所述,梭子魚(yú)WEB應(yīng)用防火墻(WAF),通過(guò)專(zhuān)業(yè)的下一代應(yīng)用交付控制平臺(tái)集成安全,擴(kuò)展性能和應(yīng)用加速功能強(qiáng),從而為Web應(yīng)用提供高強(qiáng)度的安全性和穩(wěn)定性。應(yīng)用層防火墻有效的保護(hù)Web 網(wǎng)站/服務(wù)器免受眾多的已知或未知攻擊,諸如跨站腳本攻(XSS),SQL注入式攻擊(SQL Injection)和跨站請(qǐng)求偽造(CSRF)等協(xié)議和應(yīng)用層攻擊。通過(guò)統(tǒng)一訪問(wèn)控制引擎, 網(wǎng)絡(luò)管理員在不修改后臺(tái)程序的前提下,可創(chuàng)建超細(xì)顆粒度的訪問(wèn)策略,為3A認(rèn)證(認(rèn)證/授權(quán)/統(tǒng)計(jì))提統(tǒng)一的策略控制。集成的負(fù)載均衡功能,讓企業(yè)在網(wǎng)絡(luò)不斷擴(kuò)展的今天,輕松應(yīng)對(duì)增添后臺(tái)服務(wù)器,平衡服務(wù)器流量等問(wèn)題。應(yīng)用加速功能,如SSL 卸載,緩存,壓縮和連接池等功能確保企業(yè)Web應(yīng)用流暢,高速。
