行业新闻与博客

2020 年，CVE Details 数据显示平均每天发现 50 个新漏洞。因此，采取措施保护您的 Web 应用程序对您组织的安全至关重要。我们探索了七个这样的最佳实践，它们对保护您的网络应用程序大有帮助

编者注：这是来自 Astra Security 首席技术官 Ananda Krishna 的客座博客贡献。Ananda 分享了他关于通过实施这些重要的 Web 应用程序安全最佳实践来提高 Web 应用程序安全性的一些方法的专家观点。

为什么需要遵循 Web 应用程序安全最佳实践？让我们看看数字。IBM 报告称，一次安全漏洞的平均成本为 386 万美元。他们对攻击媒介的分析表明，16% 的漏洞源于第三方软件中的漏洞。从数据 Verizon 的 2021 数据失窃调查报告显示，近两年在五个数据泄露（39％）的 Web 应用程序的妥协干。

多年来，Web 应用程序变得越来越复杂。随着 SaaS 业务的出现，更多的数据在云上。与互联网最初的日子不同，物理服务器变得越来越不常见。在许多情况下，AWS（亚马逊网络服务）、谷歌云、Azure 等已经取代了许多企业的物理服务器，因为：

• 它们的成本低于在数据中心维护物理服务器的成本，并且 
• 他们可以使用云服务器轻松且经济高效地托管其 Web 应用程序。 

然而，云已成为企业主在保护其 Web 应用程序的同时需要保护的另一件事。同样，我们也将客户关系管理 (CRM) 工具、电子邮件营销工具或网络分析工具等营销工具连接到网络应用程序。虽然这些工具增加了开展业务的便利性，但它们也成为黑客可以瞄准的潜在攻击面区域的一部分。 

对于 Web 应用程序，SQL 注入、跨站点脚本 (XSS) 攻击和身份验证缺陷仍然是黑客用来利用 Web 应用程序的最喜欢的攻击媒介。尽管不可能 100% 确定地防止每一次攻击，但通过遵循 Web 应用程序安全最佳实践来降低风险肯定会增加您的机会。（毕竟，安全总是分层进行的，没有灵丹妙药。）

但什么是 Web 应用程序安全性，以及哪些 Web 应用程序安全最佳实践可以立即发挥作用？

让我们来分析一下。

什么是 Web 应用程序安全？

Web 应用程序是在您的 Web 服务器上运行的软件程序（这意味着它不限于传统桌面软件等单个设备）。Web 应用程序安全涵盖与保护您的 Web 应用程序、服务和服务器免受网络攻击和威胁相关的一切。这需要从您现有的程序和策略到您部署的技术来缓解坏人可以利用的漏洞的所有内容。

Web 1.0 由基本网页组成，这些网页具有类似目录的结构，其中包含文本信息。这些是在网络早期建立的网站，与网站访问者的互动很少甚至没有。在此阶段，网页的安全性不是一个大问题。

动态网站的兴起带来了 Web 2.0 的演变。动态网站都是为了与访问者互动，让他们更轻松地添加信息或在网站内搜索。这时候 Web 应用程序安全的重要性才真正浮出水面。如果用户可以与网站交互并输入敏感信息——用户名、密码等——那么黑客也可以输入恶意代码，使他们能够窃取它没有正确配置。这是 SQL 注入、XSS 和本地文件包含 (LFI) 攻击等所有重大漏洞出现的时候。 

今天，在云计算时代，我们构建了复杂的 Web 应用程序，这些应用程序能够在一个地方拥有您一生的数字副本。这使得 Web 应用程序安全（服务器端和客户端）成为必需品，而不是奢侈品。

为什么拥有强大的 Web 应用程序安全性很重要

就像商店老板不应该在安装安全系统之前在他们的商店中存储价值数百万美元的商品一样，如果没有适当的安全措施来保护它，任何 Web 应用程序都不应该存在。未实施 Web 应用程序安全性的一些后果包括：

客户数据丢失 

引用数学家 Clive Humby 的话，“数据是新的石油。” 如果您的客户信任您的数据，那么您有责任确保他们的数据安全地存储在您的应用程序中。这包括确保您的 Web 应用程序中没有可能导致数据泄露的漏洞。 

有关当公司不保护数据安全时会发生什么的最新示例，请看福特。福特的网站存在导致员工和客户数据泄露的漏洞。理想情况下，拥有正确配置的客户管理系统可以防止此漏洞。

收入损失 

不采取必要措施保护您的 Web 应用程序可能会导致大量服务中断和停机，从而导致销售和收入损失。想象一下，一家电子商务商店因数据泄露而停机数小时——这可能对其业务造成毁灭性影响。保险公司 Hiscox 透露，黑客攻击导致企业平均损失 200,000 美元。 

失去客户信任

随着数据泄露、勒索软件攻击和网络黑客每隔一天成为新闻，客户比以往任何时候都更加关注安全性。对于客户而言，网络安全正在成为他们在 Web 应用程序上共享个人信息之前寻找的因素之一。黑客攻击会对品牌形象和客户信任造成严重损害，在某些情况下甚至会导致业务关闭。

合规与处罚

在数据和隐私泄露之后，政府对不遵守足够安全标准的公司变得更加严格。GDPR、HIPAA、PCI、ISO/IEC 27001 和更多此类合规性已开始生效，以确保企业不会在保护用户隐私的安全性方面做出妥协。不认真对待 Web 应用程序安全可能会导致不遵守这些法规的问题，从而导致巨额罚款、处罚和诉讼。 

7 个 Web 应用程序安全最佳实践

关于 Web 应用程序安全的重要事情是确保它 24/7 全天候运行，不断自我改造，并且不会影响客户服务。首先通过对您的 Web 应用程序执行 Web 应用程序安全测试来进行深入的安全状况审查。 

以下是理想安全策略的一些方面，可让您有效地维护 Web 应用程序：

1. 进行全面的安全审计

确保您遵循最佳 Web 应用程序安全实践并识别系统中的安全漏洞的最佳方法是定期进行安全审计。这将帮助您掌握隐藏在 Web 应用程序中的潜在安全漏洞，并确保免受有针对性的破坏。 

为了全面和客观的观点，您应该任命一个具有必要技能和经验的第三方测试团队来正确完成工作。凭借他们的专业安全经验和不接触代码的经验，他们将接受更好的培训来进行渗透测试，并帮助您的团队识别需要修补或以其他方式缓解的漏洞。安全审计通常是以下类型之一：

• 黑盒安全审计：这种类型的安全审计是一种“黑客风格”的审计，其中不询问有关 Web 应用程序的信息，并且对可利用的安全漏洞进行测试。基本上，您只需向黑盒审计团队提供 Web 应用程序的相关 URL。（你不想让它太容易，对吧？）
• 白盒安全审计：这个过程与我们刚刚讨论的黑盒方法相反。在白盒审核中，重要信息（包括您的代码库）通常会与执行审核的团队共享。白盒审计的目的是确保从安全编码实践到云基础设施的最佳配置都遵循所有最佳实践。
• 灰盒安全审计：顾名思义，灰盒审计是黑盒和白盒审计的混合，在执行安全审计之前提供一些重要信息，如测试帐户凭据。

一旦安全审计完成，下一步就是修复所有发现的漏洞。确定修复优先级的最佳方法是按影响对漏洞进行分类，并从影响最大的漏洞开始。

2. 确保您的数据是加密的（传输中的和静止的）

每当有人访问您的 Web 应用程序时，他们可能会在您的网站上共享需要防止窃听的机密信息。确保数据在访问者的浏览器和您的服务器之间传输时加密变得很重要。 

这就是 SSL/TLS 加密发挥作用的地方。SSL/TLS 通过安全的 HTTPS 协议对您的网站访问者与您的网站之间发生的所有通信进行加密。在传输过程中加密这些数据不仅有助于建立对网站访问者的信任，而且还带来 SEO 好处。那是因为 Google 喜欢带有 SSL 的网站。（Google 将 HTTPS 的使用视为其搜索引擎排名因素之一。）据 BuiltWith 称，排名前 100 万的网站中有 65.76%现在使用 SSL/TLS。

尽管如此，仍有一些网站在没有 SSL 或使用弱加密的情况下运行。现在是开始使用 SSL 以确保客户数据在访问您的网站时安全的时候了。

同样，静态数据也需要实施加密标准，以防止服务器端干预。内部员工、正式员工或系统管理员可以复制或完全删除您的驱动器，从而使所有安全屏障变得毫无用处。保护静态数据的一些最佳实践包括：

• 实施网络防火墙以确保针对来自网络内部的威胁提供相关保护。
• 在存储敏感数据之前使用最强的算法对其进行加密。
• 将数据存储在单独服务器上受密码保护的安全数据库中。
• 投资于基础设施安全。