探讨应用安全的问题所在

当你与OWASP成员讨论的时候,他们都认同这样一个观点:应用安全还有十年就发展成型了,特别是在政府层面上。 该组织定期举办这类会议为的是能够转变趋势,包括11月10日至13日期间在该国首都举办的2009 OWASP应用安全大会(AppSec DC)。我们有幸与OWASP成员Matt Fisher取得了联系,同时他也是Piscis安全公司的CEO兼AppSec参与公司之一,我们将与他来一起探讨今天的应用安全的问题所在,以及扭转这一局面的六个方法。我们首先先为大家呈现一些问答,随后会告诉大家这六个做法。 问:关于使用Web2.0企业最大的问题在哪以及最大的安全威胁是什么? 答:是的,“Web2.0”的形式其实与“云计算”差不多。其中最大的挑战就是我们如何对二者进行定义。“Web2.0”会涉及到编程技术,会导致浏览器插件的增多,以及与富网络应用相关的客户端技术本身已经越来越多的成为漏洞的共享者。同样,也会涉及到应用的合作和了解,例如内部WiKi和博客。其中的危机(特别是在WiKi上)是你几乎不能对用户生成的内容有任何控制权。如果这样的WIKI对于整个公司的人都开放的话,那么你就会看到公司里面的任何一个人的做法,看到他们在发送机密和不合适的内容。现在,如果提到“Web2.0”,首先意味着社交网络应用,然后威胁就随着而来了。你会发现,尽管你知道这些应用在过去很长时间都以“不安全”着称,并且因蠕虫等不好的问题而臭名昭着,但是这些应用在破坏你的在线名誉上都有很大的潜力。 问:一些OWASP成员认为政府的应用安全还有十年就会发展成熟了。请您谈论一下,为什么某种意义上来说联邦政府需要更加了解Web2.0,与私营部门相比,其危险的独特性在哪里? 答:我认为在理解上最重要的是,来自政府的信息是必须被信任的,因为一个新兴的Web应用日渐流行并不意味着对于所有的政府用途是合适的媒介。从网络安全的角度来看,这些应用的托管本质就意味着挑战。人们通过这些应用来交换部门或机构的信息,不能用常见的安全程序管理这些应用。除了密码以外你没有其他的方式来控制系统,简言之就是你甚至不知道密码是否被保存完好。你没有托管数据中心,完全不能控制操作系统的安全、应用安全、网络防御,不能做出及时的回应,你不能进行任何辩论。这就是零控制。 当然,理论上讲这种风险是很低的,因为无论如何这些应用都是通过大众传播的。我最近读到了一个关于这个主题的分析,当讨论威胁的时候,他提到一些东西会起到影响的作用,但是完整性起到的作用并不大,因为这是一个公共的系统,但是我不太同意他的观点。如果你像美国政府一样正在使用这样的网站来进行信息的交流的话,那么这些信息的完整性是极为重要的。对手在其中一个应用中找到漏洞是完全有可能的。你只能在恰当的时候在错误信息方面使用它,或者在进行一场心理战役的时候使用它。想象一下,所有的人从不同的机构获取信息到他们的手机上。现在想象一下,在一场国家灾难中这些信息突然变成虚假信息。 问:让我们回过头来看私营部门。政府的安全漏洞对小型的企业会形成很不好的影响,反过来也一样。能否给我们列举一两个Web2.0在这方面的例子。 答:对于政府来说他们与很多行业都有着合作的关系,能够对他们进行支持,往往与这些部门和机构有着错综复杂的关系,有很多过去的违规例子都说明承包商让客户面临危险。当然这些可以像其他的外部环境一样也存在于Web2.0世界。 问:现在我们已经明确了应用安全所面临的问题,能否给我们一些公共和私营部门可以用于应用安全改善现状的做法。 答:可以遵守以下6和步骤: 1、建立一个团队。联邦政府等大型企业更易于受筒仓效应的影响。而一个管理良好的简单的内部站点可以出奇地利用整个企业的专业知识。 2、让更多的人学习专业知识。现在大多数应用安全的知识都存在于安全小组中。这在开始是好的,但是最终会员工也需要建立程序或者修复应用程序;所以,你需要也让专家来教员工怎么做。 3、在利用工具之前先思考问题。工具确实可以自动化地完成一些任务,但是要知道它们只是协助你来完成评估的工作。即使这样,评估也只是计划的一部分。 4、提供指导。软件开发者想开发出安全并且兼容的软件;他们根本不知道怎么做。要让标准、需求和参考模型适用于你的程序。 5、立即开始测试。在发布之前,那些周期比较晚的测试有很大的压力,要尽量在周期比较早的时候开始测试,并让你的评估团队参与软件的开发。 6、尽量多进行持续的检测。应用程序的一个细小的变化可能造成巨大的漏洞。认真审查应用程序的细微变化,特别是面向互联网或其他高风险的系统。

时间: 2024-09-20 10:45:05

探讨应用安全的问题所在的相关文章

DataGrid 分页问题

datagrid|分页|问题    最近做网站遇到了一个奇怪的问题,在进行DataGrid进行分页时,无法响应 PageIndExchanged 事件 .   我也查阅了很多关于这方面的文章,可是还是没有得到解决方案. 在和别人的探讨中发现了症结所在      首先,我先将代码贴过来:      下面是DataGird控件的HTML代码(不包含字段绑定)      <ASP:datagrid id="SearchGrid" runat="server" wid

浅论互联网社区的必然性和社交网站的本质

网页制作Webjx文章简介:互联网与社区化. 佛说:"前世的五百次回眸,才换来今生的擦肩而过".   在互联网时代,每天都会有与你我擦肩而过的人,而这种不经意的相遇就是由互联网的社区化造成的.在下文中,笔者试图通过简述互联网社区化的发展历程进而深入探讨社区化的本质所在,希望对部分互联网初期的从业者有所帮助. 一.互联网社区化的基础--六度分隔理论 以六度分隔理论为基础而建立起来的SNS(Social Network Site--社交网站),其最基本的理论依据是你与一个陌生人之间只需要六

DataGrid 分页问题 -- 无法响应 PageIndexChanged 事件

datagrid|分页|问题|响应   最近做网站遇到了一个奇怪的问题,在进行DataGrid进行分页时,无法响应 PageIndexChanged 事件 . 我也查阅了很多关于这方面的文章,可是还是没有得到解决方案. 在和别人的探讨中发现了症结所在 首先,我先将代码贴过来: 下面是DataGird控件的HTML代码(不包含字段绑定) <asp:datagrid id="SearchGrid" runat="server" width="100%&q

网络营销是否能够成功?

如今网络营销对大多数的中小企业而言已经不是一件新鲜事了.但若要问企业的网络营销战略,不少企业主都是腼腆地回答:"我不太懂."于是,经常看到有企业经营者在各个论坛上的哭诉:"为什么我做了网站也做了竞价排名,为什么就是没有看到订单   关于网站和竞价排名是网络营销的一种手段,但很多情况下却被理解为网络营销的全部,殊不知,任何的营销手段都必须和企业发展的战略部署相结合.所谓对网络的"不懂"并不是对网络营销"不懂"的核心原因. "懂&

中国茶企陷商超魔咒

立顿让中国茶企看到了"茶叶可以离开传统茶叶店在商超里销售"的事实,然而,时至今日,所有进军商超的中国茶企几乎都是惨败而归 ■ 文/许孙鑫 "七万中国茶企不如一家立顿的说法",一直是横在中国茶企心中的一根刺.立顿提倡并赖以成功的"快消品"式经营与中国传统的"慢饮"茶文化截然对立,也让业内关于"快慢"之争的讨论不断.一些模仿立顿模式的行业探索者,诸如背靠大树的龙润普洱茶.星愿(中国)等,屡屡尝试将产品引入快消品

没有做不了的网络营销

不抱偏见,能够跟随潮流,细心并且坚持,正是企业网络营销取得阶段性成功的共同点. 没有做不了的网络营销 文/龙啸 (MSN:tgzg@hotmail.com,QQ:241258977) 如今网络营销对大多数的中小企业而言已经不是一件新鲜事了.但若要问企业的网络营销战略,不少企业主都是腼腆地回答:"我不太懂."于是,经常看到有企业经营者在各个论坛上的哭诉:"为什么我做了网站也做了竞价排名,为什么就是没有看到订单 关于网站和竞价排名是网络营销的一种手段,但很多情况下却被理解为网络营

深入探讨SQL Server 2000对XML的支持

server|xml  [作者简介:]Wayne,新一代程序员,十二岁时开始学习编程,十三岁时拥有自己的电脑,先后学过Basic.Pascal.C.FOXPRO.VB.DELPHI.C++.SQL,学习Java语言后,遂成为Java的疯狂崇拜者,现就读于中国科技大学. 引言 内容导航  * 引言 * 配置SQL Server 2000的IIS虚拟目录 * 使用 HTTP 执行 SQL 语句 * 使用XML模板进行查询 * XPath查询 架构和模板   我们可以很简单的使用ADO访问数据库中的数

网站运营探讨(一):地方门户网站赢利之道

网站运营 导读:在门户网站,行业网站一步步成长成熟起来后,地方门户也开始热闹起来,地方门户到底如何赢利呢?网站运营探讨俱乐部本期邀请深圳信息港牛文举 (阿牛)和大家一起讨论,本文摘要部分观点.阿牛简介:牛文举,就职于深圳信息港(www.szinfo.com),朋友们管他叫阿牛.老牛或牛哥.计算机科班出身,步入社会六年有余.六年来,一直在互联网这个行业里面从业,作为一名实战者的角色,去和认识及不认识的拓荒者们一起推动国内互联网行业的发展,并做成一些优秀的应用案例.对电子商务.网络营销.网站运营.盈

关于网站结构和交互性的探讨

交互 我们都知道如何创建一个好的网站.有一大堆的关于可用性.界面设计以及网站设计的书可以参考.如今,我们都知道一个好的站点应该有:非常好看的设计.友好的界面.毫无缺点的结构.智能化的后台处理以及非常优秀的内容.唯一被大多数人所忽视的可能是交互性. 缺乏交互性的网站即使看上去非常的漂亮也是缺乏生命力的.在网站设计上经常使用的是一些文字的交互,但是文字交互的效果到现在位置还是非常模糊,除非你每日醉心于交互性设计,否则你根本难以描述什么叫做"交互". 如何把我们的注意力集中在交互性上还是继续