機(jī)票預(yù)訂應(yīng)用程序支持 URL 重寫，把當(dāng)前用戶的會話 ID 放在 URL 中：http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii

　　該網(wǎng)站一個經(jīng)過認(rèn)證的用戶希望讓他朋友知道這個機(jī)票打折信息。他將上面鏈接通過郵件發(fā)送給朋友們，并不知道已經(jīng)泄露了自己會話 ID. 當(dāng)他的朋友們使用上面的鏈接時，可以輕而易舉地使用他的會話和信用卡。

　　許多 Web 應(yīng)用程序沒有正確保護(hù)敏感數(shù)據(jù)，如信用卡、身份證 ID 和身份驗證憑據(jù)等。攻擊者可能會竊取或篡改這些弱保護(hù)的數(shù)據(jù)以進(jìn)行信用卡詐騙、身份竊取或其他犯罪。

　　敏感數(shù)據(jù)需額外的保護(hù)，比如在存放或在傳輸過程中進(jìn)行加密，以及在與瀏覽器交換時進(jìn)行特殊的預(yù)防措施。

　　首選需要確認(rèn)哪些數(shù)據(jù)時敏感數(shù)據(jù)而需要被加密。當(dāng)這些數(shù)據(jù)被長期存儲的時候，無論存儲在哪里，是否被加密和備份？

　　無論內(nèi)部數(shù)據(jù)還是外部數(shù)據(jù)，傳輸時是否是明文傳輸？是否還在使用舊的或者脆弱的加密算法？

　　加密密鑰的生成是否缺少恰當(dāng)?shù)拿荑�管理或缺少密鑰回轉(zhuǎn)？當(dāng)瀏覽器接收或發(fā)送敏感數(shù)據(jù)時，是否有瀏覽器安全指令？

　　一個網(wǎng)站上所有需要身份驗證的網(wǎng)頁都沒有使用 SSL 加密。攻擊者只需要監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流（比如一個開放的無線網(wǎng)絡(luò)或其社區(qū)的有限網(wǎng)絡(luò)），并竊取一個已驗證的受害者的會話 Cookie. 攻擊者利用這個 Cookie 執(zhí)行重放攻擊并接管用戶的會話，從而訪問用戶的隱私數(shù)據(jù)。

　　如何有效地防范 Web 應(yīng)用安全風(fēng)險？

　　在 Web 開發(fā)階段需要對代碼進(jìn)行核查，在測試階段需要對上線前的 Web 應(yīng)用做完整的安全檢查，在運營階段，建議在事前、事中和事后進(jìn)行分階段、多層面的完整防護(hù)。

　　構(gòu)建以漏洞、事件生命周期閉環(huán)管理體系

　　通過監(jiān)測系統(tǒng)平臺進(jìn)行漏洞生命周期的管理，包含漏洞掃描、人工驗證、漏洞狀態(tài)的追蹤工作以及漏洞修復(fù)后的復(fù)驗工作等，使漏洞管理流程化。

　　安全管理崗位人員需要建立起信息安全管理的概念，清楚 Web 威脅的危害，掌握識別安全漏洞及風(fēng)險的專用技術(shù)，以及對安全問題進(jìn)行加固處置的技能。

　　查看和下載完整版報告：

　　https://community.qingcloud.com/topic/1012

　　青云QingCloud 對于 Web 安全防護(hù)整體解決方案的建議

　　預(yù)防 Web 應(yīng)用安全，應(yīng)該在軟件開發(fā)生命周期遵循安全編碼原則，并在各階段采取相應(yīng)的安全措施。對于已經(jīng)投入使用的 Web 應(yīng)用系統(tǒng)，如何在運行階段進(jìn)行有效的安全防護(hù)成為重點。

　　QingCloud 建議對 Web 應(yīng)用的安全威脅及業(yè)務(wù)運維路徑采取以下安全措施進(jìn)行防護(hù)：

　　DDoS 防御

　　DDoS 防御一般包含兩個方面：

　　利用防火墻進(jìn)行訪問控制，防止不必要的服務(wù)請求進(jìn)入網(wǎng)站系統(tǒng)，減少被攻擊的可能性。利用 IP Sec/SSL VPN 實現(xiàn)對遠(yuǎn)程用戶的安全加密接入功能。

　　通過 Web 應(yīng)用防護(hù)系統(tǒng)可有效控制和緩解 HTTP 及 HTTPS 應(yīng)用下各類安全威脅，如 SQL 注入、XSS、 跨站腳本（XSS）、Cookie 篡改以及應(yīng)用層 DDoS 等，有效應(yīng)對網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障 Web 系統(tǒng)的高可用性和可靠性。

　　通過安全評估系統(tǒng)找出主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備及其他設(shè)備系統(tǒng)中存在的補(bǔ)丁漏洞和配置漏洞，進(jìn)行加固，以保障系統(tǒng)的安全性。

　　SSL 加密是在瀏覽器和 Web 服務(wù)器之間為應(yīng)用程序提供加密數(shù)據(jù)通道，SSL 數(shù)字證書是其代表應(yīng)用，SSL 證書可實現(xiàn)網(wǎng)站 HTTPS 化，使網(wǎng)站可信，防劫持、防篡改、防監(jiān)聽。

　　通過數(shù)據(jù)庫審計系統(tǒng)實現(xiàn)對所有訪問 Web 應(yīng)用系統(tǒng)引起的數(shù)據(jù)庫操作進(jìn)行精細(xì)化審計，涵蓋可能訪問數(shù)據(jù)的所有途徑，無論是外部訪問還是云端數(shù)據(jù)庫管理員的訪問。

　　通過堡壘機(jī)實現(xiàn)對所有運維人員的操作進(jìn)行集中管控，對重要主機(jī)的操作做到實時跟蹤，形成可視化的操作日志，對于高風(fēng)險的操作進(jìn)行實時的預(yù)警，全程審計運維操作的每一個細(xì)節(jié)。

　　青云QingCloud Web 應(yīng)用防火墻，通過云端大數(shù)據(jù)監(jiān)測和學(xué)習(xí)引擎，完美防范 Web 應(yīng)用攔截 SQL 注入、XSS 跨站腳本、網(wǎng)站掛馬、OWASP Top 10 等各類 Web 安全威脅，過濾海量惡意訪問，持續(xù)更新防護(hù)策略，從而降低網(wǎng)站資產(chǎn)和數(shù)據(jù)泄露的風(fēng)險，保障 Web 應(yīng)用的可用性。

　　12 月 12 日，青云QingCloud 下一代企業(yè)級云架構(gòu) ——「全模云」線上發(fā)布會，活動門票限量贈送，點擊「閱讀原文」馬上獲取~