阿里云優(yōu)惠券 先領(lǐng)券再下單

補丁與漏洞

補丁是用于修補程序漏洞的代碼片段程序，用于對操作系統(tǒng)或應(yīng)用程序?qū)崿F(xiàn)附加功能或修補安全漏洞。人們?nèi)諠u意識到，通過網(wǎng)絡(luò)服務(wù)器和應(yīng)用程序下載并安裝補丁是維護網(wǎng)站安全的關(guān)鍵，尤其是發(fā)現(xiàn)軟件漏洞存在巨大安全隱患時。而近年來一些軟件漏洞因疏于安裝補丁，成為了黑客主要的攻擊目標，這也再次強調(diào)了安裝補丁的重要性。話雖如此，任何運維人員想要為一直運行的設(shè)備安裝補丁都不是一件簡單的事，而且成本也不低。

漏洞指的是計算機系統(tǒng)(操作系統(tǒng)和應(yīng)用程序)的缺陷，攻擊者可以通過這些缺陷進行非法入侵，實施惡意行為。但并非所有漏洞都具有相應(yīng)的補丁，此時運維人員應(yīng)當對其它補救辦法有所了解，例如修改系統(tǒng)配置、對用戶進行培訓(xùn)，以減少系統(tǒng)漏洞的暴露。

為緩解問題，運維人員應(yīng)為減少暴露系統(tǒng)漏洞而制定系統(tǒng)的記錄程序，及時安裝補丁。這些步驟固然關(guān)鍵，但也不能忽視補丁以外的其它風險。

網(wǎng)絡(luò)應(yīng)用安全風險

網(wǎng)絡(luò)應(yīng)用方面，各運維人員面對的挑戰(zhàn)不盡相同。風險大小很大程度上取決于其所從事的行業(yè)、安全方面的投入、軟件開發(fā)人員的經(jīng)驗及其使用的方法和技術(shù)。除運維人員以外，一些常見的內(nèi)外部因素，也可能對網(wǎng)絡(luò)應(yīng)用程序的安全風險帶來影響。其中包括：

· 上市時間短促

迫于管理、市場和營銷團隊的壓力，急于發(fā)布程序和不斷增加功能設(shè)置導(dǎo)致對程序安全缺陷進行檢測的時間被壓縮，缺陷沒有充分暴露出來。

· 遺留應(yīng)用程序

老的應(yīng)用程序在前期開發(fā)階段就有可能存在潛在安全漏洞，而新版本并未修復(fù)老版本的問題。

· 網(wǎng)絡(luò)依賴

關(guān)鍵任務(wù)流程對互聯(lián)網(wǎng)服務(wù)依賴程度強，從而增加應(yīng)用程序暴露安全漏洞的危險。

· 標準化缺失

無論是內(nèi)部設(shè)計、外包設(shè)計還是兩者共同完成的網(wǎng)絡(luò)應(yīng)用程序，由于人為錯誤，有時都無法做到標準化。

· 安全意識缺乏

在軟件開發(fā)生命周期，安全問題偶爾會被忽視或不夠重視。

是什么讓網(wǎng)絡(luò)應(yīng)用程序漏洞如此普遍?其中一種理論認為是網(wǎng)絡(luò)應(yīng)用程序代碼不成熟所致。例如，黑客可以利用網(wǎng)絡(luò)程序的解釋和驗證漏洞(可能是軟件開發(fā)生命周期的一部分)入侵其界面。還有理論認為，網(wǎng)絡(luò)應(yīng)用程序使用的協(xié)議和服務(wù)越多(如：HTTP, HTTPS和SOAP)，黑客可利用的漏洞越多。雖然人們已經(jīng)努力尋找網(wǎng)絡(luò)協(xié)議漏洞的解決方案、增強防火墻和IDS/IPS系統(tǒng)，可在網(wǎng)絡(luò)應(yīng)用程序方面卻并未能做到如此細致的保護。

以下幾個方面，都是網(wǎng)絡(luò)應(yīng)用程序吸引黑客的原因。比較典型的是，黑客認為網(wǎng)絡(luò)服務(wù)器的信息有價值——敏感內(nèi)容，或者有可用作進入其他網(wǎng)絡(luò)之跳板的信息。相比傳統(tǒng)程序，黑客更喜歡入侵網(wǎng)絡(luò)應(yīng)用程序，這是其本質(zhì)決定的。因為大部分網(wǎng)絡(luò)應(yīng)用程序都與數(shù)據(jù)庫相連，這些數(shù)據(jù)庫可能包含客戶或財務(wù)信息——故黑客將攻擊網(wǎng)絡(luò)應(yīng)用程序作為入侵數(shù)據(jù)庫的途徑。

無論服務(wù)器補丁打得多好，潛在可被利用的漏洞都是不可避免的。如下所列就是一些常見的漏洞：

· Security misconfigurations安全配置錯誤

· Lack of sufficient validation缺乏必要驗證

· Cross-site request forgery (CSRF)偽造跨站請求

· Cross-site scripting (XSS)跨站腳本攻擊

· SQL InjectionSQL注入攻擊

· Insufficient use of transport layer encryption傳輸層加密不足

· Backdoors (e.g. exposed management interfaces, legacy users still in the system, etc.)后門(例如：暴露管理界面，前一用戶仍在系統(tǒng)中逗留等等)

一般的網(wǎng)絡(luò)應(yīng)用服務(wù)器管理任務(wù)也會產(chǎn)生安全問題。使用默認配置，弱口令，運行不必要服務(wù)程序等都是明顯的安全風險。但目前，這種問題在某些運維人員工作中依舊普遍存在，好在這些錯誤都能夠輕易被修復(fù)。

如何降低風險?

為降低上述安全風險，可以采取以下步驟：

(1)為服務(wù)器安裝補丁!

良好的服務(wù)器安全保障需要及時為它安裝補丁。

(2)安裝服務(wù)器安全軟件!

一般來說，給服務(wù)器安裝補丁還遠遠不夠，強烈推薦安裝基于操作系統(tǒng)的服務(wù)器安全軟件。找出網(wǎng)絡(luò)應(yīng)用程序中潛在的安全漏洞非常關(guān)鍵，一款名叫云鎖www.yunsuo.com.cn服務(wù)器安全工具可以幫助運維人員對服務(wù)器進行防護。

Conclusion結(jié)論

如今，隨著黑客將攻擊網(wǎng)絡(luò)應(yīng)用程序和網(wǎng)絡(luò)服務(wù)器作為從后臺數(shù)據(jù)庫獲取敏感數(shù)據(jù)的主要途徑，運維人員實現(xiàn)切實有效的安全政策變得尤為重要。

網(wǎng)絡(luò)安全意識和良好的編碼習(xí)慣(如：登入前進行用戶輸入驗證)是個好的開端，同時多重編碼方法也必不可少。采用數(shù)據(jù)庫審查、網(wǎng)絡(luò)活動監(jiān)測工具以及網(wǎng)絡(luò)應(yīng)用掃描器(如Acunetix網(wǎng)絡(luò)漏洞掃描器)等方案也能有效發(fā)現(xiàn)異常行為，從而降低漏洞風險。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！