压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Web應用安全保障“六要素”(二)

責編:admin |2015-02-09 17:16:48

  要素五:遠程管理安全

  今天的大多數應用程序提供遠程管理作為其功能的一部分, 關鍵它是安全的。如果攻擊者設法滲透到管理設施,其他安全措施可以被破壞或繞過。各種原因證實需要遠程管理:

  轉移服務器:管理員需要一個接口來管理所有的轉移Web服務器(那些屬于組織系統的電腦,實際位于ISP)。

  外包服務:管理安全產品需要一些組織不具備的知識,所以他們經常將他們的整個安全管理外包給專門從事該領域的公司。為了節約成本,該公司需要通過互聯網來管理所有的安全產品。

  物理距離:管理員可能需要管理組織中大量的計算機。有些組織跨越幾棟建筑(或城市)進入計算機 ,是一個繁瑣而耗時的任務。此外,物理訪問可以被限制為實際的數據中心。

  使用Web界面進行遠程管理

  使用Web界面來遠程管理應用程序或計算機有許多的優點,但它也有成本,以及一些優缺點。以下為遠程Web管理的一些優點:

  快速的開發時間:在開發,調試和部署方面,開發一個web界面比開發一個GUI客戶端快。

  操作系統支持:可以通過瀏覽器從所有主要的操作系統訪問Web接口(除非開發人員使用的特定操作系統解決方案,如ActiveX ,這只能在Windows上運行)。

  可訪問性:一個Web界面可以從Internet上的任何位置進行訪問。即使管理員不在辦公室也可以進行管理。

  用戶的學習曲線:管理員知道如何使用瀏覽器,因此管理員學習曲線會更短。

  雖然遠程Web管理有一些缺點,但對于大多數管理員他們都微不足道。但還是應當注意:

  可訪問性:因為Web管理可以從任何地方訪問,因此黑客想要攻擊也是可以的。

  瀏覽器控制:由于瀏覽器控制接口,攻擊者不需要設計特殊的產品來控制GUI (可能很難逾越的) 。

  支持:基于Web的應用程序通常更易于支持和維護。

  驗證基于Web的遠程管理

  當連接到遠程web管理界面,第一關要明確的是認證過程。如果驗證較弱,攻擊者可以繞過它控制應用程序或計算機。

  HTTP身份驗證方法

  深入研究遠程管理的問題,通過現有可用來驗證HTTP連接目前的方法是非常重要的:

  基本身份驗證:當一個頁面需要基本身份驗證,它回復到瀏覽器的錯誤代碼為401 (未授權) ,并指定基本身份驗證是必需的。瀏覽器使用BASE64的編碼用戶名和密碼編碼,并將其發送回服務器。如果登錄成功,服務器返回代碼200 ,這意味著一切順利 。如果登錄失敗,則回復和以前相同的401錯誤代碼。

  簡要身份驗證:簡要身份驗證通過由Web服務器提供的一個挑戰,用MD5分解用戶名和密碼。

  安全套接層(SSL ): SSL可以被配置為要求提供客戶端證書(可選),當他們有一個已知的證書的時候驗證用戶身份。

  加密的基本身份驗證:基本身份驗證可以與常規的SSL(安全套接層)結合起來使用。由此對包括BASE64編碼(這是一種非常薄弱的編碼,很容易被解碼因此不是加密)的用戶名及密碼在內的整個會話進行加密。

  驗證碼:這是一個比較流行的方法用來驗證人的另一端是一個人類。它通過展示一個被扭曲的人體圖像的字母和數字,要求用戶正確輸入以達到驗證目的。

  保護網絡層面的遠程管理

  安全登錄到網絡管理的服務器的最佳解決方案是要么使用常規SSL或者是加密的基本身份驗證,其中常規SSL可以檢查客戶端證書(SSL同時還可以針對第三方證書權威機構來驗證這個服務器是否就是你想要連接的那一個)。另一個選擇是使用安全的自定義登陸(需要與服務器腳本一起實施),但這可能包含網絡攻擊。

  自定義遠程管理

  網管會用GUI(圖形用戶界面)或者應用程序控制臺來對一些程序進程遠程控制,這種類型的程序包括SQL(數據庫)服務器、交換服務器、防火墻和入侵檢測系統(IDS)等等。一個應用也可能用探頭控制客戶端,一個IDS就可以做到。專有網絡連接有一些安全問題需要解決(網絡連接就是其中一個)。與網絡遠程管理一樣,自定義遠程管理也是既有優點也有缺點。

  自定義遠程管理的優點:

  復雜的圖形:有時控制臺需要呈現的復雜圖形在普通的網絡管理界面中無法顯示

  身份驗證和加密:應用程序可以使用一個更強大驗證方法或更強的加密方法來確保會話的安全(比如使用SSL不支持的更大的密鑰長度)

  可用性:這種應用只能被專門的GUI來控制,攻擊者必須要將這種專門的GUI安裝在自己的電腦上(而進入和安裝這種GUI都不一定能實現)

  雖然自定義的遠程管理也有一些缺點,但他們對大多數管理員來說通常不是特別重要。然而,它們也值得注意:

  特定的操作系統:一些供應商要求用特定的OS來運行控制GUI,如果這種特定的OS沒有被安裝,管理者必須要自己安裝(如果操作系統不是免費,管理者還需要花費額外的成本)。

  不可用性:只有裝有GUI的電腦才可以管理該應用,如果管理員不在辦公室,那么很有可能沒有辦法在其他電腦上管理該應用。

  要素六:會話安全

  客戶端(GUI或者控制臺)與應用程序之間的會話安全十分重要,否則,攻擊者可能能夠獲取信息,竊取憑據,甚至進行重放攻擊。如果會話被稱為是不安全的,管理員可以很容易地通過VPN或安全隧道(SSH)將其傳遞到安全位置。

  有些應用程序使用操作系統的網絡服務,如遠程過程調用(RPC)或分布式組件對象模型(DCOM),它允許管理員添加數據的完整性,加密和身份驗證。如果你不信任的操作系統安全的措施,你可以通過VPN連接來打通網絡連接的通道。

  總的來說,就像Web應用程序的連接,如果是應用程序不支持的選項,我們不能強迫其安全通信。解決的辦法是要么使用VPN或者通過一個安全會話(SSH)打通數據會話的通道。

 

上一篇:安卓防火墻 PS DroidWall

下一篇:Web應用安全保障“六要素”(一)