域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

補(bǔ)丁與漏洞

補(bǔ)丁是用于修補(bǔ)程序漏洞的代碼片段程序，用于對(duì)操作系統(tǒng)或應(yīng)用程序?qū)崿F(xiàn)附加功能或修補(bǔ)安全漏洞。人們?nèi)諠u意識(shí)到，通過(guò)網(wǎng)絡(luò)服務(wù)器和應(yīng)用程序下載并安裝補(bǔ)丁是維護(hù)網(wǎng)站安全的關(guān)鍵，尤其是發(fā)現(xiàn)軟件漏洞存在巨大安全隱患時(shí)。而近年來(lái)一些軟件漏洞因疏于安裝補(bǔ)丁，成為了黑客主要的攻擊目標(biāo)，這也再次強(qiáng)調(diào)了安裝補(bǔ)丁的重要性。話(huà)雖如此，任何運(yùn)維人員想要為一直運(yùn)行的設(shè)備安裝補(bǔ)丁都不是一件簡(jiǎn)單的事，而且成本也不低。

漏洞指的是計(jì)算機(jī)系統(tǒng)(操作系統(tǒng)和應(yīng)用程序)的缺陷，攻擊者可以通過(guò)這些缺陷進(jìn)行非法入侵，實(shí)施惡意行為。但并非所有漏洞都具有相應(yīng)的補(bǔ)丁，此時(shí)運(yùn)維人員應(yīng)當(dāng)對(duì)其它補(bǔ)救辦法有所了解，例如修改系統(tǒng)配置、對(duì)用戶(hù)進(jìn)行培訓(xùn)，以減少系統(tǒng)漏洞的暴露。

為緩解問(wèn)題，運(yùn)維人員應(yīng)為減少暴露系統(tǒng)漏洞而制定系統(tǒng)的記錄程序，及時(shí)安裝補(bǔ)丁。這些步驟固然關(guān)鍵，但也不能忽視補(bǔ)丁以外的其它風(fēng)險(xiǎn)。

網(wǎng)絡(luò)應(yīng)用安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)應(yīng)用方面，各運(yùn)維人員面對(duì)的挑戰(zhàn)不盡相同。風(fēng)險(xiǎn)大小很大程度上取決于其所從事的行業(yè)、安全方面的投入、軟件開(kāi)發(fā)人員的經(jīng)驗(yàn)及其使用的方法和技術(shù)。除運(yùn)維人員以外，一些常見(jiàn)的內(nèi)外部因素，也可能對(duì)網(wǎng)絡(luò)應(yīng)用程序的安全風(fēng)險(xiǎn)帶來(lái)影響。其中包括：

· 上市時(shí)間短促

迫于管理、市場(chǎng)和營(yíng)銷(xiāo)團(tuán)隊(duì)的壓力，急于發(fā)布程序和不斷增加功能設(shè)置導(dǎo)致對(duì)程序安全缺陷進(jìn)行檢測(cè)的時(shí)間被壓縮，缺陷沒(méi)有充分暴露出來(lái)。

· 遺留應(yīng)用程序

老的應(yīng)用程序在前期開(kāi)發(fā)階段就有可能存在潛在安全漏洞，而新版本并未修復(fù)老版本的問(wèn)題。

· 網(wǎng)絡(luò)依賴(lài)

關(guān)鍵任務(wù)流程對(duì)互聯(lián)網(wǎng)服務(wù)依賴(lài)程度強(qiáng)，從而增加應(yīng)用程序暴露安全漏洞的危險(xiǎn)。

· 標(biāo)準(zhǔn)化缺失

無(wú)論是內(nèi)部設(shè)計(jì)、外包設(shè)計(jì)還是兩者共同完成的網(wǎng)絡(luò)應(yīng)用程序，由于人為錯(cuò)誤，有時(shí)都無(wú)法做到標(biāo)準(zhǔn)化。

· 安全意識(shí)缺乏

在軟件開(kāi)發(fā)生命周期，安全問(wèn)題偶爾會(huì)被忽視或不夠重視。

是什么讓網(wǎng)絡(luò)應(yīng)用程序漏洞如此普遍?其中一種理論認(rèn)為是網(wǎng)絡(luò)應(yīng)用程序代碼不成熟所致。例如，黑客可以利用網(wǎng)絡(luò)程序的解釋和驗(yàn)證漏洞(可能是軟件開(kāi)發(fā)生命周期的一部分)入侵其界面。還有理論認(rèn)為，網(wǎng)絡(luò)應(yīng)用程序使用的協(xié)議和服務(wù)越多(如：HTTP, HTTPS和SOAP)，黑客可利用的漏洞越多。雖然人們已經(jīng)努力尋找網(wǎng)絡(luò)協(xié)議漏洞的解決方案、增強(qiáng)防火墻和IDS/IPS系統(tǒng)，可在網(wǎng)絡(luò)應(yīng)用程序方面卻并未能做到如此細(xì)致的保護(hù)。

以下幾個(gè)方面，都是網(wǎng)絡(luò)應(yīng)用程序吸引黑客的原因。比較典型的是，黑客認(rèn)為網(wǎng)絡(luò)服務(wù)器的信息有價(jià)值——敏感內(nèi)容，或者有可用作進(jìn)入其他網(wǎng)絡(luò)之跳板的信息。相比傳統(tǒng)程序，黑客更喜歡入侵網(wǎng)絡(luò)應(yīng)用程序，這是其本質(zhì)決定的。因?yàn)榇蟛糠志W(wǎng)絡(luò)應(yīng)用程序都與數(shù)據(jù)庫(kù)相連，這些數(shù)據(jù)庫(kù)可能包含客戶(hù)或財(cái)務(wù)信息——故黑客將攻擊網(wǎng)絡(luò)應(yīng)用程序作為入侵?jǐn)?shù)據(jù)庫(kù)的途徑。

無(wú)論服務(wù)器補(bǔ)丁打得多好，潛在可被利用的漏洞都是不可避免的。如下所列就是一些常見(jiàn)的漏洞：

· Security misconfigurations安全配置錯(cuò)誤

· Lack of sufficient validation缺乏必要驗(yàn)證

· Cross-site request forgery (CSRF)偽造跨站請(qǐng)求

· Cross-site scripting (XSS)跨站腳本攻擊

· SQL InjectionSQL注入攻擊

· Insufficient use of transport layer encryption傳輸層加密不足

· Backdoors (e.g. exposed management interfaces, legacy users still in the system, etc.)后門(mén)(例如：暴露管理界面，前一用戶(hù)仍在系統(tǒng)中逗留等等)

一般的網(wǎng)絡(luò)應(yīng)用服務(wù)器管理任務(wù)也會(huì)產(chǎn)生安全問(wèn)題。使用默認(rèn)配置，弱口令，運(yùn)行不必要服務(wù)程序等都是明顯的安全風(fēng)險(xiǎn)。但目前，這種問(wèn)題在某些運(yùn)維人員工作中依舊普遍存在，好在這些錯(cuò)誤都能夠輕易被修復(fù)。

如何降低風(fēng)險(xiǎn)?

為降低上述安全風(fēng)險(xiǎn)，可以采取以下步驟：

(1)為服務(wù)器安裝補(bǔ)丁!

良好的服務(wù)器安全保障需要及時(shí)為它安裝補(bǔ)丁。

(2)安裝服務(wù)器安全軟件!

一般來(lái)說(shuō)，給服務(wù)器安裝補(bǔ)丁還遠(yuǎn)遠(yuǎn)不夠，強(qiáng)烈推薦安裝基于操作系統(tǒng)的服務(wù)器安全軟件。找出網(wǎng)絡(luò)應(yīng)用程序中潛在的安全漏洞非常關(guān)鍵，一款名叫云鎖www.yunsuo.com.cn服務(wù)器安全工具可以幫助運(yùn)維人員對(duì)服務(wù)器進(jìn)行防護(hù)。

Conclusion結(jié)論

如今，隨著黑客將攻擊網(wǎng)絡(luò)應(yīng)用程序和網(wǎng)絡(luò)服務(wù)器作為從后臺(tái)數(shù)據(jù)庫(kù)獲取敏感數(shù)據(jù)的主要途徑，運(yùn)維人員實(shí)現(xiàn)切實(shí)有效的安全政策變得尤為重要。

網(wǎng)絡(luò)安全意識(shí)和良好的編碼習(xí)慣(如：登入前進(jìn)行用戶(hù)輸入驗(yàn)證)是個(gè)好的開(kāi)端，同時(shí)多重編碼方法也必不可少。采用數(shù)據(jù)庫(kù)審查、網(wǎng)絡(luò)活動(dòng)監(jiān)測(cè)工具以及網(wǎng)絡(luò)應(yīng)用掃描器(如Acunetix網(wǎng)絡(luò)漏洞掃描器)等方案也能有效發(fā)現(xiàn)異常行為，從而降低漏洞風(fēng)險(xiǎn)。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！