網頁應用程式的安全性

一般的資安產品並無法保護網頁應用程式
由於一般的網路安全設備，諸如非應用層級的防火牆 ( Firewall ) 、入侵偵測系統 ( IDS ) 、虛擬私有網路 ( VPN ) 、公開金鑰基礎建設 ( PKI ) ，並無法透過這樣的機制攔阻來自網頁應用程式的攻擊，也大幅提高了駭客攻擊的成功性。即便是採用了目前最熱門的一些網站安全認證，也多半僅能做到確認使用者的身份，而並非真正的保護到網頁應用程式的本身，更遑論目前許多網站上懸掛的安全電子商店標章，只是在確認公司的資訊有沒有公開？！、聯絡人的資訊是否真實？！，根本和您上網溝通的網頁應用程式本身沒有任何關連！而這種透過企業自行開發或委外開發的應用程式來發動攻擊的模式，是以合法的使用者身份掩護非法的存取活動，正因為如此，更增加了網頁應用程式在開發過程中對安全的重要性！

網頁應用程式的安全性盲點
根據筆者的了解，目前大部分的IT管理者，對於如何控管網頁應用程式仍停留在開放一組應用程式專用的帳號密碼階段，殊不知實際上在開啟這組帳號密碼時，便已經賦予它一個相當的權限去執行程式本身的功能。當駭客嘗試不依循程式本身的資料流前進時，若又能結合應用程式的不當權限控管，便可以使用這組帳號密碼的權限，進行所有他欲執行的程式！這是一個多麼嚴重的問題？！！此外，大部分的IT人員對於掃描器的認識並不夠全面，總認為只要定期或不定期的使用掃瞄軟體，便可以將網路整體環境中的問題掃瞄出來。但相當重要的一點是，如果您使用的是網路型的掃描器 ( Network Scanner ) 而非網頁應用程式的掃描器 ( Web Application Scanner ) ，它是直接針對某一個IP網段進行掃瞄，即使其中包含您的網站伺服器，它也僅能將網站伺服器或是該主機的作業系統、網路環境等問題掃瞄出來，而不會將您網站中之應用程式的問題掃瞄出來！正因為它不知道網站裡採用的應用程式有哪些，所以它絕對無法透過這樣的模式來進行測試！這也是目前網頁應用程式的資安事件層出不窮的原因之一。

根本的解決之道
正如大家所知，網路是一個開放的環境，因此除非企業不提供網路服務，否則非常難以抵禦駭客或是一般人的錯誤嘗試，而隨著犯罪手法的更新，越來越多的駭客利用網路型服務作為犯罪的跳板。目前針對網頁應用程式的安全解決方案，多半仍停留在被動的防堵，可能是採用發放憑證來確認使用者身份、抑或是使用應用程式層級的防火牆來做抵抗。這些方式追根究底仍然僅是治標，並未將應用程式本身的漏洞解決，而且即使是可以看到第七層 ( 應用程式層 ) 的防火牆，也需要有相關資安概念的安全政策來配合，否則仍然不能夠發揮其應有的功能。正因為如此，企業應該正本清源，重新把重心放在應用程式本身的安全性上，如此才能從根本將應用程式本身的問題去除，並配合其他的解決方案來達到最大的保護功效！下一次筆者將從應用程式開發到驗收的整個生命週期 ( Life Cycle ) 來探討各階段應用程式應注意的重點！