歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
網頁應用程式的安全性
2005 / 02 / 03
文/李永強
一般的資安產品並無法保護網頁應用程式
由於一般的網路安全設備,諸如非應用層級的防火牆 ( Firewall ) 、入侵偵測系統 ( IDS ) 、虛擬私有網路 ( VPN ) 、公開金鑰基礎建設 ( PKI ) ,並無法透過這樣的機制攔阻來自網頁應用程式的攻擊,也大幅提高了駭客攻擊的成功性。即便是採用了目前最熱門的一些網站安全認證,也多半僅能做到確認使用者的身份,而並非真正的保護到網頁應用程式的本身,更遑論目前許多網站上懸掛的安全電子商店標章,只是在確認公司的資訊有沒有公開?!、聯絡人的資訊是否真實?!,根本和您上網溝通的網頁應用程式本身沒有任何關連!而這種透過企業自行開發或委外開發的應用程式來發動攻擊的模式,是以合法的使用者身份掩護非法的存取活動,正因為如此,更增加了網頁應用程式在開發過程中對安全的重要性!
網頁應用程式的安全性盲點
根據筆者的了解,目前大部分的IT管理者,對於如何控管網頁應用程式仍停留在開放一組應用程式專用的帳號密碼階段,殊不知實際上在開啟這組帳號密碼時,便已經賦予它一個相當的權限去執行程式本身的功能。當駭客嘗試不依循程式本身的資料流前進時,若又能結合應用程式的不當權限控管,便可以使用這組帳號密碼的權限,進行所有他欲執行的程式!這是一個多麼嚴重的問題?!!此外,大部分的IT人員對於掃描器的認識並不夠全面,總認為只要定期或不定期的使用掃瞄軟體,便可以將網路整體環境中的問題掃瞄出來。但相當重要的一點是,如果您使用的是網路型的掃描器 ( Network Scanner ) 而非網頁應用程式的掃描器 ( Web Application Scanner ) ,它是直接針對某一個IP網段進行掃瞄,即使其中包含您的網站伺服器,它也僅能將網站伺服器或是該主機的作業系統、網路環境等問題掃瞄出來,而不會將您網站中之應用程式的問題掃瞄出來!正因為它不知道網站裡採用的應用程式有哪些,所以它絕對無法透過這樣的模式來進行測試!這也是目前網頁應用程式的資安事件層出不窮的原因之一。
根本的解決之道
正如大家所知,網路是一個開放的環境,因此除非企業不提供網路服務,否則非常難以抵禦駭客或是一般人的錯誤嘗試,而隨著犯罪手法的更新,越來越多的駭客利用網路型服務作為犯罪的跳板。目前針對網頁應用程式的安全解決方案,多半仍停留在被動的防堵,可能是採用發放憑證來確認使用者身份、抑或是使用應用程式層級的防火牆來做抵抗。這些方式追根究底仍然僅是治標,並未將應用程式本身的漏洞解決,而且即使是可以看到第七層 ( 應用程式層 ) 的防火牆,也需要有相關資安概念的安全政策來配合,否則仍然不能夠發揮其應有的功能。正因為如此,企業應該正本清源,重新把重心放在應用程式本身的安全性上,如此才能從根本將應用程式本身的問題去除,並配合其他的解決方案來達到最大的保護功效!下一次筆者將從應用程式開發到驗收的整個生命週期 ( Life Cycle ) 來探討各階段應用程式應注意的重點!
網頁
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制