扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
为纳斯达克把脉
反观纳斯达克的Web安全隐患,梭子鱼发现即使是纳斯达克这样技术精良的网站,依旧存在不少风险。对于十种黑客惯用的应用程序漏洞,纳斯达克网站的防护能力也非常薄弱。
第一,缓存溢出。 由于应用程序的编码会尝试将应用数据存储于缓存中,而不是正常的分配,这种漏洞往往被黑客所利用,变为攻击手段。因为借助这种错误,恶意代码就可以溢出到另外一个缓存中去执行。
第二.跨站点脚本攻击。攻击类型的代码数据可以被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击,这种攻击方式也是黑客惯用的伎俩。
第三,服务拒绝攻击。这种攻击会导致服务没有能力为正常业务提供服务。
第四,异常错误处理的风险。当错误发生时,系统向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
第五,非法session ID。当session ID没有被正常使用时,攻击者还可以借机破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制。
第六,命令注入。这一问题的风险是,如果系统没有成功的阻止带有语法含义的输入内容,就有可能导致对数据库信息的非法访问。比如,在Web表单中输入的内容(SQL语句),应该保持简单,并且不应该还有可被执行的代码内容。
第七.弱认证机制的隐患。虽然只要通过正确的开发Web应用就可以轻而易举的避免此问题,但是在众多已经在线使用的应用中,这类问题却十分严重。而一旦黑客利用弱认证机制或者未加密的数据来获得访问,或是破坏、控制数据,就会造成非常严重的影响。
第八,未受保护的参数传递风险。由于利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,所以浏览器在将HTML传回给服务器之前,是不会修改这些参数的。利用这一破绽的黑客工具现在也比比皆是。
第九,不安全的存储 - 对于Web应用程序来说,妥善的保存密码,用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密才是最有效的方法。然而,在实际操作过程中。大多企业却总是采用那些未经实践验证的加密解决方案,这些方案本身就充满了漏洞。
第十,非法输入。在数据被输入程序前忽略对数据合法性的检验,是一个常见的编程漏洞。在对Web应用程序脆弱性的调查中,非法输入问题已经成为大多数Web应用程序的最典型漏洞之一。
用“透明人”完成Web安全防护
经过一番研究,梭子鱼为纳斯达克提出了一套更完善的Web安全解决方案。
首先,梭子鱼采用了专业的应用防火墙,为纳斯达克的Web服务器和Web应用提供全面的保护。和传统防火墙不同,梭子鱼应用防火墙既可防范已知的对 Web 应用系统及基础设施漏洞的攻击,也能抵御住恶意攻击或是目标攻击。通过梭子鱼应用防火墙的专利技术,纳斯达克的网站还能对HTTP请求进行终止、防护和加速的操作。
此外,梭子鱼产品的动态学习功能,可以自主的与纳斯达克网站的Web服务器互相通信,实时地自动学习和策略建模。由于梭子鱼应用防火墙具备实时策略向导功能,能够协助管理员自定义策略,同时让管理员对当前的策略拥有完全的掌控权,所以所有违背ACL的行为都可以被纳斯达克的网络管理人员捕捉到。
由于通过使用缓存、压缩、TCP连接复用、负载均衡等各种技术对后台Web服务器进行了流量的优化,所以部署在纳斯达克的Web服务器前端的梭子鱼应用防火墙对用户的体验没有造成任何影响,就像是个“透明”的安全卫士。在管理过程中,增减设备对网络几乎完全没有影响。这为纳斯达克在将来对网站的扩容带来了极大的益处。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者