Panorama de seguridad de la seguridad de aplicaciones web
Cuando hablamos de seguridad de aplicaciones web, a menudo escuchamos respuestas como estas:
"Usamos firewalls", "Usamos herramientas de escaneo de vulnerabilidades de red", "Usamos tecnología SSL", “ Realizamos pruebas de penetración cada trimestre”… Por lo tanto, “Nuestras aplicaciones son seguras”. ¿Es este realmente el caso? Echemos un vistazo al panorama general de la seguridad de las aplicaciones web.
Figura 2: Panorama de la seguridad de la información
En cada nivel de las aplicaciones web empresariales, se utilizan diferentes tecnologías para garantizar la seguridad. Para proteger la seguridad de las máquinas cliente, los usuarios instalarán software antivirus para garantizar la seguridad de la transmisión de datos del usuario al servidor web corporativo, la capa de comunicación generalmente utiliza tecnología SSL (Secure Socket Layer) para cifrar los datos; las empresas utilizarán firewalls e IDS (Sistema de diagnóstico de intrusiones)/IPS (Sistema de prevención de intrusiones) para garantizar que solo se permita un acceso específico, los puertos expuestos innecesarios y el acceso ilegal se bloquearán aquí, incluso si hay un firewall, las empresas seguirán usando la identidad; Mecanismos de autenticación para autorizar a los usuarios a acceder a la aplicación web.
Sin embargo, incluso con protección antivirus, cortafuegos e IDS/IPS, las empresas todavía tienen que permitir que parte del tráfico pase a través del cortafuegos. Después de todo, el propósito de las aplicaciones web es proporcionar servicios a los usuarios. y las medidas de protección pueden cerrar la exposición innecesaria, pero los puertos 80 y 443, que son necesarios para las aplicaciones web, deben estar abiertos. La parte de la comunicación que llega puede ser benigna o maliciosa, y es difícil saberlo. Lo que hay que tener en cuenta aquí es que las aplicaciones web están hechas de software, por lo que definitivamente contendrán errores. Estos errores pueden ser aprovechados por usuarios malintencionados y pueden realizar diversas operaciones maliciosas, como robar, manipular o destruir información importante. aplicación web.
Por lo tanto, se puede ver que la respuesta de la empresa no puede garantizar realmente la seguridad de las aplicaciones empresariales:
a. Herramienta de escaneo de vulnerabilidades de red, porque solo se utiliza para analizar vulnerabilidades a nivel de red. no comprende la aplicación en sí, por lo que no puede mejorar completamente la seguridad de las aplicaciones web;
b. Los firewalls pueden bloquear el acceso a puertos importantes, pero los puertos 80 y 443 siempre deben estar abiertos y no podemos determinar cuáles. de estos dos puertos, ¿se accede a los datos de comunicación de buena fe o por un ataque malicioso?
c.SSL puede cifrar datos, pero solo protege la seguridad de los datos durante la transmisión y no protege la aplicación web en sí;
d. Las pruebas de penetración trimestrales no pueden satisfacer aplicaciones que cambian constantemente.
Siempre que el acceso pueda atravesar el firewall de la empresa sin problemas, la aplicación web se presentará al usuario sin reservas. Sólo fortaleciendo la seguridad de la aplicación web en sí se encuentra la verdadera solución a la seguridad de las aplicaciones web.