由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。本技术手册为你全面解析Web应用程序安全问题,提供保证Web应用程序安全的方法和技巧。
相信大家都或多或少的听过关于各种Web应用安全漏洞,诸如:跨站点脚本攻击(XSS),SQL注入,上传漏洞等等。在这里我并不否认各种命名与归类方式,也不评价其命名的合理性与否,我想告诉大家的是,形形色色的安全漏洞中,其实所蕴含安全问题本质往往只有几个。本部为你解读Web应用程序安全性问题的本质。
Web应用程序是当今多数企业应用的前沿阵地。Web应用程序在一个复杂的混合性架构中可以发挥多种不同的功能。管理与这些复杂的Web应用程序相关的风险是公司的必然要求,而且运行这些Web应用程序的底层代码的安全性直接影响到公司应用程序可用数据的风险态势。本部分将为你介绍保证Web应用程序安全的方法和技巧。
当心,你以为固若金汤的数据库可能已遭到了入侵。你需要重新思考一下自己公司的网站是否真得不会遭到SQL注入攻击。SQL注入是最流行也是最危险的Web应用程序漏洞利用技术,它可以攻击存储着珍贵企业信息的后端数据库,且“简约高效”。本部分将阐述攻击者如何通过这种方法来利用Web应用程序的漏洞以及如何抵御这种攻击。
专家答疑
技巧
由供应商补丁周期之间漫长的时间间隔为企业移动设备带来了风险。在获得补丁前,企业是否可以在移动设备上打上虚拟补丁,以减轻这种风险?或者还有其他办法吗?
一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?
为确保企业的合规工作,违反程序,安全政策等在需要时可以用来诉讼,当安全团队被要求与法律部门密切合作时,CISO应该和律师谈什么?
本周
本月
