随着企業數字化(huà)转型的(de)深入(rù)，越来(lái)越多(duō)的(de)業务應(yìng)用(yòng)系(xì)統被(bèi)部(bù)署(shǔ)到(dào)互聯网(wǎng)平台(tái)上，这(zhè)吸引了(le)网(wǎng)络犯罪团(tuán)夥的(de)强烈關(guān)注，以Web攻击为(wèi)代(dài)表(biǎo)的(de)應(yìng)用(yòng)层(céng)安(ān)全(quán)威脅開(kāi)始(shǐ)凸显。通(tòng)过利用(yòng)网(wǎng)站系(xì)統和(hé)Web服(fú)务程序的(de)安(ān)全(quán)漏洞(dòng)，攻击者(zhě)可(kě)以轻松獲取企業Web應(yìng)用(yòng)系(xì)統及(jí)服(fú)务器設备的(de)控制權限，從而(ér)進(jìn)行网(wǎng)页篡改、數據(jù)竊取等破壞活動(dòng)，嚴重(zhòng)損害企業的(de)業务發(fà)展(zhǎn)。保障Web應(yìng)用(yòng)安(ān)全(quán)已经成(chéng)为(wèi)行業普遍(biàn)認知，但是很多(duō)企業对(duì)Web應(yìng)用(yòng)安(ān)全(quán)防護还存在(zài)許多(duō)認知誤區(qū)，这(zhè)可(kě)能(néng)会(huì)引發(fà)嚴重(zhòng)的(de)安(ān)全(quán)問(wèn)題(tí)和(hé)事(shì)故。

誤區(qū)一(yī)  我(wǒ)们只(zhī)是普通(tòng)的(de)企業組織，Web應(yìng)用(yòng)系(xì)統不(bù)会(huì)被(bèi)攻击
真相：大(dà)多(duō)數网(wǎng)络攻击是自(zì)動(dòng)化(huà)的(de)、沒(méi)有特(tè)定(dìng)目标(biāo)的(de)，因(yīn)此(cǐ)每个(gè)企業都可(kě)能(néng)成(chéng)为(wèi)攻击者(zhě)的(de)目标(biāo)。

不(bù)管(guǎn)是大(dà)型企業，还是中(zhōng)小企業用(yòng)户，普遍(biàn)都認为(wèi)壞事(shì)只(zhī)会(huì)發(fà)生(shēng)在(zài)其(qí)他(tā)機(jī)構。但事(shì)实是，現(xiàn)在(zài)的(de)网(wǎng)络攻击大(dà)都是由(yóu)有組織的(de)犯罪团(tuán)夥發(fà)起(qǐ)，它(tā)们每天(tiān)都在(zài)全(quán)球网(wǎng)络上進(jìn)行自(zì)動(dòng)攻击嗅探，一(yī)旦機(jī)器人(rén)程序發(fà)現(xiàn)了(le)可(kě)被(bèi)利用(yòng)的(de)安(ān)全(quán)漏洞(dòng)（比如(rú)Log4Shell），其(qí)所在(zài)的(de)企業就(jiù)在(zài)劫難逃。每个(gè)企業都應(yìng)該为(wèi)防範Web應(yìng)用(yòng)攻击做好充分(fēn)的(de)準备和(hé)預案。

誤區(qū)二(èr)  部(bù)署(shǔ)WAF就(jiù)能(néng)阻止針(zhēn)对(duì)Web應(yìng)用(yòng)系(xì)統的(de)攻击
真相：WAF並(bìng)不(bù)能(néng)成(chéng)为(wèi)Web應(yìng)用(yòng)系(xì)統防禦的(de)唯一(yī)防線(xiàn)，攻击者(zhě)会(huì)專門(mén)針(zhēn)对(duì)WAF尋找繞过策略。

WAF可(kě)以被(bèi)看(kàn)成(chéng)是Web版的(de)网(wǎng)络防火牆(qiáng)，它(tā)可(kě)以过濾HTTP流量(liàng)以檢測並(bìng)阻止可(kě)能(néng)存在(zài)的(de)攻击企图(tú)。WAF还常用(yòng)作(zuò)負载(zài)均衡系(xì)統，提(tí)供額外(wài)的(de)應(yìng)用(yòng)安(ān)全(quán)能(néng)力，对(duì)于臨时(shí)阻止突然爆發(fà)的(de)零日(rì)漏洞(dòng)很有價值。然而(ér)卻很難檢測出(chū)所有可(kě)能(néng)的(de)攻击，只(zhī)要(yào)系(xì)統中(zhōng)存在(zài)未被(bèi)發(fà)現(xiàn)的(de)安(ān)全(quán)漏洞(dòng)，攻击者(zhě)就(jiù)有可(kě)能(néng)会(huì)找到(dào)繞过WAF規則的(de)方(fāng)法(fǎ)。

誤區(qū)三  企業网(wǎng)站已使用(yòng)HTTPS協議，因(yīn)此(cǐ)Web應(yìng)用(yòng)系(xì)統是安(ān)全(quán)的(de)
真相：HTTPS可(kě)以保護數據(jù)傳輸防止被(bèi)篡改，卻無法(fǎ)防範惡意(yì)流量(liàng)等威脅。

應(yìng)用(yòng)HTTPS表(biǎo)示所有Web應(yìng)用(yòng)流量(liàng)都经过加密，这(zhè)是防止中(zhōng)间人(rén)攻击的(de)關(guān)鍵最(zuì)佳实踐，但卻無法(fǎ)防範攻击者(zhě)已经建立有效連(lián)接的(de)應(yìng)用(yòng)程序級攻击。如(rú)果(guǒ)攻击者(zhě)可(kě)以在(zài)易受攻击的(de)純HTTPS應(yìng)用(yòng)程序中(zhōng)訪問(wèn)或(huò)創建有效的(de)用(yòng)户賬户，他(tā)们就(jiù)可(kě)以随意(yì)嘗試SQL注入(rù)、權限提(tí)升(shēng)及(jí)其(qí)他(tā)攻击，而(ér)这(zhè)一(yī)切(qiè)都是在(zài)安(ān)全(quán)加密的(de)連(lián)接中(zhōng)進(jìn)行。

誤區(qū)四  Web應(yìng)用(yòng)系(xì)統仅在(zài)企業內(nèi)部(bù)网(wǎng)络上運行就(jiù)是安(ān)全(quán)的(de)
真相：网(wǎng)络攻击者(zhě)可(kě)以通(tòng)过受攻击的(de)Web服(fú)务器系(xì)統间接攻击Web應(yìng)用(yòng)程序，即使在(zài)內(nèi)部(bù)网(wǎng)络中(zhōng)也(yě)是如(rú)此(cǐ)。

攻击者(zhě)可(kě)以利用(yòng)服(fú)务器端請求僞造（SSRF）之(zhī)類(lèi)的(de)漏洞(dòng)，以某一(yī)台(tái)被(bèi)攻陷的(de)服(fú)务器为(wèi)跳闆，攻击企業內(nèi)网(wǎng)上的(de)應(yìng)用(yòng)系(xì)統。特(tè)别是在(zài)雲(yún)優先(xiān)环(huán)境下(xià)，許多(duō)組織不(bù)再擁有完全(quán)物(wù)理(lǐ)隔離的(de)內(nèi)部(bù)网(wǎng)络，只(zhī)有私有雲(yún)部(bù)署(shǔ)的(de)應(yìng)用(yòng)方(fāng)式，这(zhè)是另(lìng)一(yī)種(zhǒng)Web應(yìng)用(yòng)的(de)安(ān)全(quán)隐患。

誤區(qū)五(wǔ)  Web應(yìng)用(yòng)系(xì)統有备份，即使發(fà)生(shēng)安(ān)全(quán)事(shì)件(jiàn)也(yě)能(néng)快(kuài)速恢複
真相：备份对(duì)于數據(jù)存储和(hé)保持(chí)業务的(de)連(lián)續性(xìng)很重(zhòng)要(yào)，但是無法(fǎ)減轻數據(jù)洩密造成(chéng)的(de)间接破壞和(hé)損失。

备份一(yī)直(zhí)是企業整體(tǐ)安(ān)全(quán)策略的(de)關(guān)鍵組成(chéng)部(bù)分(fēn)，擁有良好的(de)备份和(hé)可(kě)靠的(de)恢複方(fāng)案是無可(kě)替代(dài)的(de)。但是备份能(néng)防止數據(jù)丢失和(hé)損壞，卻無法(fǎ)幫助企業避免网(wǎng)络攻击産生(shēng)的(de)其(qí)他(tā)災難性(xìng)後(hòu)果(guǒ)（系(xì)統停運、商業秘密洩露(lù)和(hé)品牌(pái)商譽損失等）。因(yīn)此(cǐ)，备份是Web應(yìng)用(yòng)安(ān)全(quán)防護計(jì)劃(huà)中(zhōng)不(bù)可(kě)或(huò)缺的(de)部(bù)分(fēn)，但企業在(zài)确保應(yìng)用(yòng)系(xì)統安(ān)全(quán)性(xìng)方(fāng)面(miàn)的(de)要(yào)求與(yǔ)随时(shí)準备數據(jù)恢複一(yī)樣(yàng)重(zhòng)要(yào)。

来(lái)源：安(ān)全(quán)牛