文档章节

如何保护 .NET 应用的安全?

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/03/11 11:12
字数 2016
阅读 21
收藏 0

自从 Web 应用能给访问者提供丰富的内容之后,黑客们就把目光转向任何他们能够破坏,损毁,欺骗的漏洞。通过网络浏览器提供的应用越来越多,网络罪犯们可以利用的漏洞数量也呈指数增长起来。

大多数企业都依赖于网站向客户提供内容,与客户进行互动,销售产品。因此,企业会部署一些常用的技术来处理网站的不同请求。Joomla!或 Drupal 这样的内容管理系统或许能够建立包含产品、服务以及相关内容的健壮网站。此外,企业往往会使用 Wordpress 博客或基于 phpBB 的论坛这类依靠用户产出内容的社区,给客户提供评论和讨论的反馈平台。无论规模大小,对于直接在网上销售的电商企业,ZenCart 和 Magento 都能满足他们的需求。但再加上数千个网站依赖的专有应用程序,确保网络应用程序的安全应该是任何规模的网站管理者的首要问题。

###与网络应用相关的风险

网络应用程序允许访问者访问网站最重要的资源——网络服务器和数据库服务器。和任何一款软件一样,网络应用程序的开发人员在产品和功能上花费了大量时间,却很少把时间用在安全上。当然,这并不是说开发人员不关心安全问题,实际情况绝非如此。真正的原因是,一方面,开发者对安全缺乏理解。另一方面,项目经理考虑安全问题的时间太少。

不管是什么原因,应用程序往往充满了漏洞。利用这些漏洞,攻击者可以访问 Web 服务器或数据库服务器。到那时候,他们可以做的事情就多了,比如:

  • 损坏网站
  • 插入指向其他站点的垃圾链接
  • 插入能在访客电脑里运行的恶意代码
  • 插入恶意代码,窃取会话 ID(cookies)
  • 盗取访问者信息和浏览习惯
  • 盗取账户信息
  • 盗取数据库里存储的信息
  • 访问受限内容
  •   还有更多
    

###阻止网络应用遭受攻击

使用 OneRASP .NET 探针,可以避免许多 Web 应用威胁,因为 OneRASP .NET 探针 会监视 HTTP 流量,根据规则检查网络数据包,从而决定是允许还是拒绝协议、端口、IP地址等的访问,以此来阻止 Web 应用程序受到侵害。

作为即插即用的软件,OneRASP.NET 探针提供了最佳的开箱即用保护,能防御 DOS 攻击、跨站脚本注入、SQL 注入攻击,路径遍历和许多其他网络攻击技术。

OneRASP .NET 探针能为网络应用安全提供全面的解决方案,其原因是:

  • 易于安装在 Apache 和 IIS 服务器
  • 针对已知和新兴的黑客攻击有强壮的安全防护
  • 最佳的预定义安全规则,用于快速防护
  • 简单的接口和 API ,用于管理多台服务器
  • 无需额外硬件,轻松适用不同企业规模

###攻击者如何对网络应用程序发动攻击?

恶意黑客攻击网络应用程序的方法多种多样。稍微谷歌一下,就能发现常见 Web 应用程序,像 WordPress、zencart、Joomla!、Drupal 和 MediaWiki 中的大量漏洞。当然,不仅是这些应用程序中存在漏洞,很多其他网站也存在容易找到的漏洞。攻击者只要使用自动化的搜索根据,就可以准切找到哪些网站没有修复这些漏洞。

下面是最常见的攻击应用程序的方法:

  • SQL 注入
  • XSS(跨站脚本)
  • 远程指令执行
  • 路径遍历

SQL 注入

SQL 注入要想起作用,攻击者必须找到网站中允许用户输入而且不会过滤转义字符的区域。用户登录区域是常见的攻击目标,因为为了检查用户表中的证书,需要与数据库直接相连。通过注入 SQL 语句,如 `)或1 = 1--,攻击者就可以访问存储在网站数据库中的信息。当然,上面的例子只是一个相对简单的 SQL 语句。如果攻击者知道数据库中的表格结构,往往使用更加复杂的查询语句,从而得到更好的查询结果。

###跨站脚本 攻击者在防护较薄弱的网页注入恶意的客户端脚本,即为跨站脚本( XSS )攻击。当这些脚本运行时,会在访问者的计算机上安装恶意软件,窃取访问者的 cookie ,或劫持访问者的会话。

###远程指令执行

远程指令执行漏洞允许攻击者向应用程序传入任意指令。在严重情况下,攻击者会获得系统级的权限,从而实现远程攻击服务器,并执行任何必要的指令以达到目的。

###路径遍历

路径遍历漏洞给攻击者访问受限文件、目录和指令的机会。因为存在于正常的网页文件根目录之外的,这些路径通常是无法访问的。不像前文讨论过的其他漏洞,路径遍历漏洞之所以存在是因为安全设计错误而不是编码错误。

###避免攻击的需求

有了这么多在网站运行的应用程序,攻击者已经创建了自动化的工具,可以对多个安全防护不足的网站同时发动攻击。因此,恶意黑客的攻击目标不再局限于大型公司网站,较小的网站也很容易被这些自动攻击所捕获。

无论什么行业,企业规模大小,网站受到攻击之后引发的反响对任何业务来说都是毁灭性的。攻击的后续影响还包括:

  • 数据被盗
  • 用户账户受损
  • 客户和/或访客的信任缺失
  • 品牌声誉受损
  • 销售收入受损
  • 网站被标记为恶意站点
  • 搜索引擎排名下滑

###保护网站免受攻击

OneRASP .NET 探针独特的安全方法无需了解每个 Web 应用潜在的具体威胁。运行 OneRASP .NET 探针的软件会重点分析请求及其对应用产生的影响。高效的 Web 应用安全以三个强大的 Web 应用安全引擎,分别是:模式识别、会话保护和签名库。

同时,OneRASP .NET 探针采用的模式识别 Web 应用安全引擎能有效防护前文提到的攻击,以及许多其他攻击。该模式基于正则表达式,能有效且准确地识别多种应用层攻击方法。所以, OneRASP.NET 探针的误报率极低。

让 OneRASP .NET 探针与众不同的是,它不仅提供了针对 Web 应用威胁的全面保护,还是最简单易用的解决方案。

只需数十次点击,没有接受过安全培训的网站管理员也可以将 OneRASP .NET 探针运行起来。其预定义的规则集提供了开箱即用的防护,且基于浏览器的管理界面简单易用,几乎不会影响服务器或网站性能。

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客 本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
【PPT分享】如何保证智能客户端应用的安全性.ppt

本PPT 从下面几个方面介绍了智能客户端应用开发的安全性 满足安全性的需求 深入: 安全性的设计选择 保护数据库的安全 保护代码中的安全项 加密离线的数据 控制对本地资源的访问 控制对 Web ...

红薯
2010/09/08
242
0
抢鲜看!C3安全峰会论坛看点大汇聚!

  2018年C3安全峰会以“联动·聚力”(POWER UP)为主题,将于5月9日-10日在成都举行。在19场分论坛中,100多位大咖将聚焦量子计算、IoT、车联网安全、人工智能与机器学习等前沿技术话题,...

FreeBuf
2018/05/04
0
0
WebView,我已经长大了,知道自己区分是否安全了!

一、前言 如果你在用 Android 原生系统(Google Play 服务),在使用 WebView 加载某些网页时,一定遇到过以下的安全警告红屏。 这是 WebView 的安全浏览保护策略,在 Android 8.0(API Lev...

承香墨影
03/13
0
0
走进 360:移动应用安全进阶之路

随着移动互联网的高速发展,移动应用服务已成为互联网重要的信息传播渠道和公众服务平台,移动智能终端的安全威胁也接踵而来——APP软件中木马病毒、恶意程序和违法有害问题日益突出。如何规...

软件绿色联盟
2018/03/22
27
0
等保2.0时代,数据安全如何合规

摘要:本文简述等保2.0对数据安全的要求,以及当前技术条件下,如何对数据进行安全防护,满足合规性要求。 等保2.0发展历程 等保2.0总体情况 首先,最大的变化,标准名称由原来的《信息安全技...

中安威士
06/11
0
0

没有更多内容

加载失败,请刷新页面

加载更多

83、Mybatis和Hibernate重要区别

Mybatis;入门简单,程序容易上手开发,节省开发成本。Mybatis需要程序猿自己编写sql语句,是一个不完全的ORM框架,对sql修改和优化非常容易实现。 Mybatis适合开发需求变更频繁的系统,比如...

lianbang_W
今天
5
0
设计模式之状态模式

定义 Allow an object to alter its behavior when its internal state changes.The object will appear to change its class.(当一个对象内在状态改变时允许其改变行为,这个对象看起来像改...

陈年之后是青葱
今天
6
0
Python常用模块之os.path

os.path.abspath(path) 输入相对路径,返回绝对路径 Python 3.7.0 (v3.7.0:1bf9cc5093, Jun 27 2018, 04:59:51) [MSC v.1914 64 bit (AMD64)] on win32Type "copyright", "credits" or "lic......

松鼠大帝
今天
11
0
001. JAVA程序运行原理分析

1. 先来看看JVM运行时数据区的结构 线程独占: 每个线程都有它独立的空间,随线程生命周期而创建和销毁。 线程共享: 所有线程能访问这块内存数据,随虚拟机GC 而创建和销毁。 JVM 用来存储加载...

紫穹
今天
24
0
SDN核心思想&Mininet

2.1ONF定义的SDN基本架构: 应用层:实现网络流量的灵活控制,使网络作为管道智能 控制层:网络虚拟化实现方式,核心技术OpenFlow 转发层新型创新架构,实现网络设备控制与转发分离 2与3之间...

Firefly-
昨天
22
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部