企业Web应用安全评估体系的研究与实现

摘要

随着互联网的迅猛发展,越来越多的企业认识到互联网给工作、生活带来的便利和帮助,但随之而来的,Web应用中存在的安全问题也暴露得越来越明显,解决企业Web应用过程中的安全问题,成为各类安全厂商和安全专家的目标.结合企业实际情况,提出Web应用面临的风险,如跨站点脚本攻击、SQL注入攻击、文件上传、本地提权、网络钓鱼、信息泄露、第三方插件安全性等。Web应用安全评估整个过程是对系统的任何弱点、技术缺陷或漏洞的主动分析，大致包括以下过程：确立目标、信息搜集、分析、提供报告整改。作为一个典型的Web应用系统，安全防护涉及的层面较多，可分为代码层、操作系统层、数据库层、中间件层、前端应用层。为了实现Web应用安全评估体系，需将各模块之问的安全评估进行关联，严格梳理各模块之间的关系，详细确定不同服务、端口之问的运行状态，然后通过合理设定安全评估策略，建立各个模块安全评估之间的关联性。为企业解决Web应用的安全问题提供参考.