X0_0X
2
等保中級測評師
CICSA
X0_0X2
等保中級測評師
CICSA
Web應用程序無法很好地解決用戶可提交任意輸入問題的原因是:
不成熟的安全意識:近年來,人們對Web應用程序安全問題的意識有所增強,但與網絡和操作系統這些發展更加完善的領域相比,人們對Web應用程序安全問題的意識還遠不夠成熟。雖然大多數IT安全人員掌握了相當多的網絡安全與主機強化基礎知識,但他們對與Web應用程序安全有關的許多核心概念仍然不甚了解,甚至存有誤解。當前,在其工作中,Web應用程序開發人員往往需要整合數十、甚至數百個第三方數據包,導致他們無法集中精力研究基礎技術。即使是經驗豐富的Web應用程序開發人員,也經常會對所用的編程框架的安全性做出錯誤假設,或遇到一些對他們而言完全陌生的基本缺陷類型。
獨立開發:大多數Web應用程序都由企業自己的員工或合作公司獨立開發。即使應用程序采用第三方組件,通常也是使用新代碼將第三方組件進行自定義或拼湊在一起。在這種情況下,每個應用程序都各不相同,并且可能包含其獨有的缺陷。這種情形與組織購買業內一流產品并按照行業標準指南安裝的典型基礎架構部署形成鮮明對照。
欺騙性的簡化:使用今天的Web應用程序和開發工具,一個程序員新手也可能在短期內從頭開始創建一個強大的應用程序。但是,在編寫功能性代碼與編寫安全代碼之間存在巨大的差異。許多Web應用程序由善意的個人創建,他們只是缺乏發現安全問題的知識與經驗。
迅速發展的威脅形勢:Web應用程序攻擊與防御研究發展相對不成熟,是一個正蓬勃發展的領域,其中新概念與威脅出現的速度比傳統的技術要快得多。在客戶端方面尤其如此,針對特定攻擊的公認防御機制往往會在一些研究中失去作用,這些研究最終成就了新的攻擊技巧。在項目開始之初就完全了解了當前威脅的開發團隊,很可能到應用程序開發完成并部署后會面臨許多未知的威脅。
資源與時間限制:由于獨立、一次性開發的影響,許多Web應用程序開發項目會受到嚴格的時間與資源限制。通常,設計或開發團隊不可能雇用專職的安全專家,而且由于項目進程的拖延,往往要等到項目周期的最后階段才由專家進行安全測試。為了兼顧各種要素,按期開發出穩定而實用的應用程序的要求往往使開發團隊忽視不明顯的安全問題。小型組織一般不愿多花時日評估一個新的應用程序。快速滲透測試通常只能發現明顯的安全漏洞,而往往會遺漏比較細微、需要時間和耐心來發現的漏洞。
技術上強其所難:Web應用程序使用的許多核心技術出現于萬維網早期階段,那時的狀況與目前十分不同。從那以后,其功能已遠遠超越最初的設想,例如,在許多基于AJAX的應用程序中使用JavaScript進行數據傳輸。隨著對Web應用程序功能要求的變化,用于實現這種功能的技術已遠遠落后于其發展要求,而開發人員還是沿用原有的技術來滿足新的需求。因此,這種做法造成的安全漏洞與無法預料的負面影響也就不足為奇了。
對功能的需求不斷增強:在設計應用程序時,開發人員主要考慮是的功能和可用性。曾經靜態的用戶資源現在包含社交網絡功能,允許用戶上傳照片,對頁面進行“維基”風格的編輯。以前,應用程序設計人員可以僅僅通過用戶名和密碼來創建登錄功能,而現今的站點則包含密碼恢復、用戶名恢復、密碼提示,以及在將來訪問時記住用戶名和密碼的選項。無疑,這類站點聲稱其能夠提供各種安全功能,但實際上,這些功能不過是增大了該站點的受攻擊面而已。
推薦文章
