網站安全攻與防的啟示錄(9)

三、WEB應用安全與數據庫安全的防護

前面我們已經了解了黑客是如何入侵竊取我們的數據并破壞網站的過程，所以我們對WEB應用安全的威脅應該采取積極防御并及時解決的態度。

首先我們要了解為什么網站會出現這么多的問題這么多的漏洞：由于某些開發人員犯了非常低級的編程錯誤，比如：應用ID只能被應用使用，而不能被單獨的用戶或是其它進程使用。但是開發人員不這么做，他們給予了應用程序更多的數據訪問權限。這就類似于醫生因沒有洗手而傳播了傳染病，從而導致各種漏洞的出現。

我們必須接受已經存在的應用缺陷和漏洞。通過發揮數據庫管理員的安全職責去阻止因為應用缺陷和漏洞所造成的不良后果。如果開發人員不重視應用與數據交互的安全性，堅持最小權限原則，數據庫管理員則有權在這場互動中占取主動，不給開發人員全權委托，數據庫管理員可以不允許那么多的交互被授權；為了阻止黑客的滲透攻擊從不可避免的網絡程序應用漏洞中占便宜，數據庫管理員也有權進行其他有效的安全控制。并且數據庫管理員應對數據庫進行加密保護，如密碼不能使用明文保存；對所有應用層和數據層通信的審計監控將有助于快速識別和解決問題以及準確地判斷任何安全事件的范圍，直到實現安全風險最小化的目標。

假如出現數據外泄事件（如2011年年底的CSDN等網站的用戶數據信息泄密事件），責任也不止是在數據庫管理員身上，開發人員也需要共同承擔責任。其中一個非常重要的方面，開發人員能做的就是在用戶能輸入的地方最好過濾危險字符，這樣可以防止黑客通過諸如SQL注入攻擊獲取到數據庫的敏感信息。目前在各類行業網站上，各種WEB應用漏洞隨處可見，可以被黑客們檢測到（他們一般會用軟件同時掃描數千個網站）。

開發人員在完成一套新的應用程序后應使用安全檢測工具對其進行反復白盒測試，有條件的情況下可以請信息安全人員模擬黑客進行黑盒滲透測試，盡可能的發現應用程序的弱點并進行修補。如果想實現更完整的解決方案，更多有關的保護數據和數據庫是應當實施源代碼分析。這是一項冗長的處理過程，可以請安全服務提供商用專業的源碼審計軟件對應用程序代碼進行詳細的分析處理，這些工具會直接查找出更精確的缺陷結果。

同時應該與開發商或者安全廠商合作并確保能提供安全解決方案，這對于任何致力于部署網絡應用數據庫正常安全訪問的用戶都至關重要，WEB應用安全測試對于確保數據庫的安全性有至關重要的作用。

一款好的工具可以有助于加快進度并且提供更好的檢測結果和解決方案，以提供應用程序更好的的安全性，關鍵是進行反復評估以確保管理工作正常，對結果實施驗證并加固，確保風險一經發現立即補救，并保證管理人員能夠了解到相關問題的存在。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]