如何保護 .NET 應用的安全？

自從 Web 應用能給訪問者提供豐富的內容以後，黑客們就把目光轉向任何他們可以破壞，損毀，欺騙的漏洞。經過網絡瀏覽器提供的應用愈來愈多，網絡罪犯們能夠利用的漏洞數量也呈指數增加起來。

大多數企業都依賴於網站向客戶提供內容，與客戶進行互動，銷售產品。所以，企業會部署一些經常使用的技術來處理網站的不一樣請求。Joomla！或 Drupal 這樣的內容管理系統或許可以創建包含產品、服務以及相關內容的健壯網站。此外，企業每每會使用 Wordpress 博客或基於 phpBB 的論壇這類依靠用戶產出內容的社區，給客戶提供評論和討論的反饋平臺。不管規模大小，對於直接在網上銷售的電商企業，ZenCart 和 Magento 都能知足他們的需求。但再加上數千個網站依賴的專有應用程序，確保網絡應用程序的安全應該是任何規模的網站管理者的首要問題。

###與網絡應用相關的風險

網絡應用程序容許訪問者訪問網站最重要的資源——網絡服務器和數據庫服務器。和任何一款軟件同樣，網絡應用程序的開發人員在產品和功能上花費了大量時間，卻不多把時間用在安全上。固然，這並非說開發人員不關心安全問題，實際狀況絕非如此。真正的緣由是，一方面，開發者對安全缺少理解。另外一方面，項目經理考慮安全問題的時間太少。

不論是什麼緣由，應用程序每每充滿了漏洞。利用這些漏洞，攻擊者能夠訪問 Web 服務器或數據庫服務器。到那時候，他們能夠作的事情就多了，好比：

• 損壞網站
• 插入指向其餘站點的垃圾連接
• 插入能在訪客電腦裏運行的惡意代碼
• 插入惡意代碼，竊取會話 ID（cookies）
• 盜取訪問者信息和瀏覽習慣
• 盜取帳戶信息
• 盜取數據庫裏存儲的信息
• 訪問受限內容

• 還有更多

###阻止網絡應用遭受攻擊

使用 OneRASP .NET 探針,能夠避免許多 Web 應用威脅，由於 OneRASP .NET 探針 會監視 HTTP 流量，根據規則檢查網絡數據包，從而決定是容許仍是拒絕協議、端口、IP地址等的訪問，以此來阻止 Web 應用程序受到侵害。

做爲即插即用的軟件，OneRASP.NET 探針提供了最佳的開箱即用保護，能防護 DOS 攻擊、跨站腳本注入、SQL 注入攻擊，路徑遍歷和許多其餘網絡攻擊技術。

OneRASP .NET 探針能爲網絡應用安全提供全面的解決方案，其緣由是：

• 易於安裝在 Apache 和 IIS 服務器
• 針對已知和新興的黑客攻擊有強壯的安全防禦
• 最佳的預約義安全規則，用於快速防禦
• 簡單的接口和 API ，用於管理多臺服務器
• 無需額外硬件，輕鬆適用不一樣企業規模

###攻擊者如何對網絡應用程序發動攻擊？

惡意黑客攻擊網絡應用程序的方法多種多樣。稍微谷歌一下，就能發現常見 Web 應用程序，像 WordPress、zencart、Joomla！、Drupal 和 MediaWiki 中的大量漏洞。固然，不只是這些應用程序中存在漏洞，不少其餘網站也存在容易找到的漏洞。攻擊者只要使用自動化的搜索根據，就能夠準切找到哪些網站沒有修復這些漏洞。

下面是最多見的攻擊應用程序的方法：

• SQL 注入
• XSS（跨站腳本）
• 遠程指令執行
• 路徑遍歷

SQL 注入

SQL 注入要想起做用，攻擊者必須找到網站中容許用戶輸入並且不會過濾轉義字符的區域。用戶登陸區域是常見的攻擊目標，由於爲了檢查用戶表中的證書，須要與數據庫直接相連。經過注入 SQL 語句，如 `）或1 = 1--，攻擊者就能夠訪問存儲在網站數據庫中的信息。固然，上面的例子只是一個相對簡單的 SQL 語句。若是攻擊者知道數據庫中的表格結構，每每使用更加複雜的查詢語句，從而獲得更好的查詢結果。

###跨站腳本 攻擊者在防禦較薄弱的網頁注入惡意的客戶端腳本，即爲跨站腳本（ XSS ）攻擊。當這些腳本運行時，會在訪問者的計算機上安裝惡意軟件，竊取訪問者的 cookie ，或劫持訪問者的會話。

###遠程指令執行

遠程指令執行漏洞容許攻擊者嚮應用程序傳入任意指令。在嚴重狀況下，攻擊者會得到系統級的權限，從而實現遠程攻擊服務器，並執行任何須要的指令以達到目的。

###路徑遍歷

路徑遍歷漏洞給攻擊者訪問受限文件、目錄和指令的機會。由於存在於正常的網頁文件根目錄以外的，這些路徑一般是沒法訪問的。不像前文討論過的其餘漏洞，路徑遍歷漏洞之因此存在是由於安全設計錯誤而不是編碼錯誤。

###避免攻擊的需求

有了這麼多在網站運行的應用程序，攻擊者已經建立了自動化的工具，能夠對多個安全防禦不足的網站同時發動攻擊。所以，惡意黑客的攻擊目標再也不侷限於大型公司網站，較小的網站也很容易被這些自動攻擊所捕獲。

不管什麼行業，企業規模大小，網站受到攻擊以後引起的反響對任何業務來講都是毀滅性的。攻擊的後續影響還包括：

• 數據被盜
• 用戶帳戶受損
• 客戶和/或訪客的信任缺失
• 品牌聲譽受損
• 銷售收入受損
• 網站被標記爲惡意站點
• 搜索引擎排名下滑

###保護網站免受攻擊

OneRASP .NET 探針獨特的安全方法無需瞭解每一個 Web 應用潛在的具體威脅。運行 OneRASP .NET 探針的軟件會重點分析請求及其對應用產生的影響。高效的 Web 應用安全以三個強大的 Web 應用安全引擎，分別是：模式識別、會話保護和簽名庫。

同時，OneRASP .NET 探針採用的模式識別 Web 應用安全引擎能有效防禦前文提到的攻擊，以及許多其餘攻擊。該模式基於正則表達式，能有效且準確地識別多種應用層攻擊方法。因此， OneRASP.NET 探針的誤報率極低。

讓 OneRASP .NET 探針不同凡響的是，它不只提供了針對 Web 應用威脅的全面保護，仍是最簡單易用的解決方案。

只需數十次點擊，沒有接受過安全培訓的網站管理員也能夠將 OneRASP .NET 探針運行起來。其預約義的規則集提供了開箱即用的防禦，且基於瀏覽器的管理界面簡單易用，幾乎不會影響服務器或網站性能。

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。 本文轉自 OneAPM 官方博客