現(xiàn)代的信息系統(tǒng),無(wú)論是建立信息發(fā)布和數(shù)據(jù)交換平臺(tái),還是建立外部商業(yè)和內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng),都離不開(kāi)Web應(yīng)用系統(tǒng)。簡(jiǎn)單的講:Web應(yīng)用是由動(dòng)態(tài)腳本語(yǔ)言(如ASP、JSP和PHP等)和編譯過(guò)的代碼等組合而成,它通常架設(shè)在Web服務(wù)器上。用戶(hù)在Web瀏覽器上發(fā)送請(qǐng)求,這些請(qǐng)求使用HTTP協(xié)議,經(jīng)過(guò)互聯(lián)網(wǎng)或內(nèi)部網(wǎng)絡(luò)與服務(wù)者的Web應(yīng)用交互,由Web應(yīng)用與企業(yè)后臺(tái)的數(shù)據(jù)庫(kù)及其他動(dòng)態(tài)內(nèi)容通信。服務(wù)器解決方案專(zhuān)家天下數(shù)據(jù)今天為大家講解web應(yīng)用安全解決方案。

盡管Web應(yīng)用有著許多簡(jiǎn)化或復(fù)雜搭建方式,但一個(gè)典型的 Web 應(yīng)用通常是標(biāo)準(zhǔn)的三層架構(gòu)模型:

在這種最常見(jiàn)的模型中,客戶(hù)端是第一層;使用動(dòng)態(tài)Web技術(shù)的部分屬于中間層;數(shù)據(jù)庫(kù)是第三層。用戶(hù)通過(guò)Web瀏覽器發(fā)送請(qǐng)求給中間層,由中間層將用戶(hù)的請(qǐng)求轉(zhuǎn)換為對(duì)后臺(tái)數(shù)據(jù)的查詢(xún)或是更新,并將最終的結(jié)果在瀏覽器上展示給用戶(hù)。

Web應(yīng)用系統(tǒng)有著其固有的開(kāi)發(fā)特點(diǎn):開(kāi)發(fā)人員素質(zhì)一般、需求快速變更導(dǎo)致缺乏嚴(yán)謹(jǐn)?shù)脑O(shè)計(jì)和代碼編寫(xiě)、系統(tǒng)沒(méi)有經(jīng)過(guò)嚴(yán)格的測(cè)試等,這些特點(diǎn)加上HTTP協(xié)議本身的無(wú)狀態(tài)和匿名性,導(dǎo)致Web應(yīng)用出現(xiàn)了很多的漏洞,如SQL注入漏洞、跨站腳本漏洞等等。

另外,管理員對(duì)Web系統(tǒng)的現(xiàn)成軟件(包括操作系統(tǒng)、Web服務(wù)器軟件、中間件、第三方平臺(tái)、數(shù)據(jù)庫(kù))的配置不當(dāng)也會(huì)造成很多漏洞,最常見(jiàn)的就是網(wǎng)頁(yè)被篡改。

作為Web應(yīng)用運(yùn)行的基礎(chǔ)平臺(tái),Web服務(wù)器(軟件)本身只提供對(duì)HTTP協(xié)議的處理,并不會(huì)對(duì)協(xié)議數(shù)據(jù)的來(lái)源和內(nèi)容進(jìn)行安全檢查和安全加固,如下圖所示:

正是基于Web服務(wù)器這樣的工作原理,黑客就可以利用Web應(yīng)用程序自身的漏洞和管理員配置不當(dāng)造成的漏洞而對(duì)Web應(yīng)用進(jìn)行攻擊和破壞。

為了從源頭上杜絕攻擊的發(fā)生,天下數(shù)據(jù)通過(guò)核心內(nèi)嵌技術(shù)給WEB服務(wù)器軟件打上安全補(bǔ)丁,在WEB服務(wù)器尚未對(duì)請(qǐng)求進(jìn)行內(nèi)部(業(yè)務(wù))處理之前,對(duì)請(qǐng)求中包含的各項(xiàng)數(shù)據(jù)進(jìn)行過(guò)濾,確保只將安全的請(qǐng)求交給Web服務(wù)器進(jìn)行處理;在Web服務(wù)器合成響應(yīng)之前對(duì)文件的完整性進(jìn)行檢查,確保響應(yīng)內(nèi)容的正確性。如下圖所示:

方案優(yōu)勢(shì)

1.通過(guò)對(duì)請(qǐng)求和響應(yīng)的雙向檢測(cè),一方面確保黑客利用Web應(yīng)用程序自身漏洞發(fā)起的各種應(yīng)用層攻擊都能夠被實(shí)時(shí)阻斷;另一方面杜絕篡改后的網(wǎng)頁(yè)/腳本文件被訪問(wèn)的可能性,使黑客利用管理員配置不當(dāng)?shù)嚷┒创鄹木W(wǎng)頁(yè)的企圖完全落空。

2.不存在獨(dú)立的安全模塊運(yùn)行進(jìn)程,工作過(guò)程完全與Web服務(wù)的運(yùn)行進(jìn)程融合,在精準(zhǔn)理解和分析Web服務(wù)請(qǐng)求數(shù)據(jù)的同時(shí),確保入侵者無(wú)法干擾安全檢測(cè)的運(yùn)行。

3.與操作系統(tǒng)及硬件無(wú)關(guān),與應(yīng)用系統(tǒng)使用的腳本語(yǔ)言無(wú)關(guān),無(wú)需改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),對(duì)Web應(yīng)用的正常運(yùn)行沒(méi)有任何影響。