Web應用安全保障「六要素」(1)

Web應用程式比用戶端應用程式更難保證安全性，因為它不像web伺服器有四五個主要供應商的web伺服器，它有大量的web應用程式和自訂腳本數量，而且每個都可能包含潛在的漏洞。 對於開發人員來說，確保應用程式安全的最佳方法是使用建議的安全措施和可以掃描代碼的軟體，並提醒使用者潛在的安全問題。 管理員需要定期掃描其Web網站中的漏洞。 應用程式的安全性主要是由應用程式的開發者控制的。 管理員可以緊固一些應用程式的安全性，但是如果應用程式本身不安全，便不可能確保其安全。 編寫安全的應用程式是困難的，因為應用程式的各個方面，如圖形化使用者介面，網路連接，作業系統交互，和敏感性資料的管理，需要大量的安全知識以確保其安全。 大多數程式師不具備這方面的知識或不考慮用應用程式安全的重要性來衡量額外工作。 但從管理者的角度來看，有一些安全問題要謹記在心：◆運行許可權許可權◆應用程式管理◆應用程式更新◆與作業系統集成的安全性◆遠端系統管理安全◆會話安全要素一：運行版權管理管理員應該盡可能設置應用程式的低許可權性。 這樣做可以防止多種電腦威脅：◆如果應用程式被攻擊者利用，他們將擁有應用程式的特權。 如果該許可權是足夠低的，攻擊者將不能進一步的攻擊。 ◆低許可權保護電腦免受嵌入式木馬(在應用程式中)，因為處理木馬時擁有較少的許可權。 ◆當應用程式具有較低的許可權，使用者將無法保存敏感據區域的資料(如作業系統領域)，甚至不能進入核心資源。 在開發應用程式時，為了節省開發時間，程式師往往做出臆斷。 其中的一些假設，需要管理許可權才能訪問。 這雖然削減了程式設計時間，但它降低了管理員保護系統安全的能力。 當普通使用者被授予管理許可權，可以刪除或訪問周圍的配置，威脅安全。 當安裝程式時，因為安裝程式可能需要訪問敏感的作業系統目錄，它通常需要有更高的許可權，甚至管理許可權。 最好是先在一個相似配置的測試電腦上安裝應用程式。 這樣，安裝在正式電腦之前，你可以看到是否有問題。 如果應用程式並無明顯原因需要管理員許可權，或者你不信任該應用程式，可以在沙箱中運行它。 沙箱是一個安全應用程式，它可以攔截正在運行的應用程式的系統調用，確保應用程式將只能訪問管理員允許的資源。 沙箱可以限制訪問註冊表，作業系統資料的目錄和網路。 將應用程式與敏感OS區域以及其它使用者定義的敏感性資料域隔離開來。 1 2 3 4 5 下一頁>>查看全文 內容導航第 1 頁：運行版權管理 第 2 頁：應用程式管理 第 3 頁：應用程式更新 第 4 頁：與作業系統安全集成 第 5 頁：遠端系統管理安全 原文：Web應用安全保障「六要素」(1) 返回網路安全首頁