企业web安全保护可不容缓，web应用防护措施

　　随着信息化的不断发展，基于互联网平台的web应用得到了迅速发展，为互联网的发展发挥着非常重要的作用。如今的OA、ERP、财务系统、企业门户等信息化应用，都是基于web和数据库系统架构，现已广泛应用于生产、经营和管理各个领域，web应用已成为企业主流的业务系统载体。但随着出现不少安全问题，给web应用造成了一定的威胁。
　　随着网络技术的快速发展，越来越多的web应用软件被用于Internet中。对于Web应用软件而言，是一种借助Internet技术加以连接的客户/服务器软件，并且可以传输数据。在市场需求的不断推动下，Web应用软件的种类与数量也不断增加，软件的复杂程度也不断增加，软件的质量与安全问题已成为人们越来越关注的问题。对于该软件的服务而言，包括邮件服务、电子公告牌、网上商店以及数据库管理工具。对于这些服务的提供，使得系统在运行过程中暴露出越来越多的弱点，这也意味着web应用软件将面临着较为严重的安全隐患。
　　根据网络安全调查统计75%的网络攻击行为都是来自web应用层而非网络层面，同时国内有近50%的站点存在web层面的安全问题。大部分企业出口都上了防火墙设备，也针对一些勒索病毒，传统基于端口的攻击做了禁止端口访问。但是企业的应用web网站发布的端口，比如常用的80、443端口等，都是不能进行禁止端口。Web应用是企业必须开放的，只要开了web服务，就会通过80或443端口进行web服务通讯信息。其中通讯的信息有正常的信息，也有带攻击行为的信息访问。企业web服务器只要传统防火墙功能，传统防火墙是无法识别判断访问的信息是恶意的还是正常的，如果是恶意的信息就会导致web服务器遭受网络攻击。企业的数据遭到严重的威胁，企业的web防护可不容缓。
　　1.专业的拦截SQL攻击，SQL攻击是发证在web应用服务数据库层的安全漏洞，是通过代码注入攻击。一些恶意用户将代码注入到网站上，影响其他用户上网浏览网页，很大一部分是html网站攻击。
　　2.专业的拦截XSS攻击，XSS攻击中文叫做跨站脚本，是一种网站应用程序的安全漏洞，是通过代码注入攻击。一些恶意用户将代码注入到网站上，影响其他用户上网浏览网页，很大一部分是html网站攻击。
　　3.专业的拦截webshell攻击，shell攻击是攻击者通过服务器处理上传和下载的逻辑不够安全，服务器存在文件上的漏洞。攻击者上传可执行的脚本文件，并通过上传的脚本文件获得执行服务器端的能力。
　　4.专业的拦截csfr攻击，csfr攻击中俄为是跨站请求伪造。跨站请求为赵和跨站脚本攻击不同。Csfr是通过伪装成受害用户发送恶意请求来影响wev系统中受害用户的利益。攻击者利用浏览器能发送cookie等凭证，并自动发送的特点，攻击者可以创建一个恶意web页面生成伪造请求。从而在被攻击的web应用上伪造受害人仅从敏感操作，修改密码、通信方式、转账等。
　　5.专业的拦截目录遍历攻击，目录遍历攻击是攻击者。通过网站服务器根目录www目录，发送一些…/媳妇来遍历高层目录，并且可以执行web服务器系统命令，造成网站崩溃。
　　6.专业的拦截会话劫持攻击，会话劫持攻击是通过拦截两台通讯服务器之间的TCP会话信息。针对源地址、源端口、目的地址、目的端口等等进行会话拦截。获取到跟源主机的会话信息，然后攻击注入信息发送给目的服务器。破坏服务器的系统，破坏服务器的安全性。

　　怎样会造成安全漏洞？
　　因设置或设计上的缺陷引发的安全漏洞
　　错误设置Web服务器，或是由设计上的一些问题引起的安全漏洞。
　　1.强制浏览
　　从安置在Web服务器的公开目录下的文件中，浏览那些原本非自愿公开的文件。可能会泄露顾客的个人信息、泄露原本需要具有访问权限的用户才能查阅的信息内容、泄露未外连到外界的文件。比较好的做法是：隐蔽其URL。因为直接显示易推测的文件名或文件目录索引时，通过某些方法可能会使URL产生泄露。
　　2.正确的错误消息处理
　　Web应用的错误信息内包含对攻击者有用的信息，主要有：Web应用抛出的错误信息、数据库等系统抛出的错误信息等。
　　Web应用抛出的错误信息：以认证功能的认证错误信息为例，讲解不正确的错误消息处理方式。类似于当用户登陆失败的时候具体提醒用户为注册等信息，攻击者可利用这些信息确认用户是否注册。建议将提醒消息的内容仅保留在“认证错误”这种程度。
　　数据库等系统抛出的错误信息：输入未预料的错误消息时，提醒数据库的错误。攻击者从提醒消息可读出数据库选用的是MySQL等数据库信息，可能给SQL注入攻击提供启发。
　　3.开放重定向
　　对指定的任意URL做重定向跳转的功能，加入指定的重定向URL到某个具有恶意的Web网站，那么用户就会被诱导到那个网站。如http://example/?redirect=***.攻击者指定重定向参数就可以改写成已设定好的Web 网站对应的连接。可能用来作为钓鱼攻击的跳板。
　　因会话管理疏忽引发的安全漏洞
　　如果在会话管理上有所疏忽，就会导致用户的认证状态被窃取等后果。如会话劫持（通过一些手段拿到用户的会话ID，伪装用户达到攻击的效果）、会话固定攻击（强制用户使用攻击者指定的会话ID，属于被动攻击）等方式。
　　随着Web应用需求的不断增加，随之出现的问题也会逐渐增加并越来越复杂。为此，应遵循相应的方法与原则，对Web应用进行深入分析，对其存在的安全问题进行认真考虑分析，并提出有针对性的应对措施，以提供必要的安全保障。在此过程中，还应建立起应急事件响应制度与体系，并对Web应用安全防护措施进行不断完善与创新，以提升Web应用的安全可靠性。