一、Web应用系统的工作原理
现代的信息系统,无论是建立信息发布和数据交换平台,还是建立外部商业和内部业务应用系统,都离不开Web应用系统。
Web应用是由动态脚本语言(如ASP、JSP和PHP等)和编译过的代码等组合而成,它通常架设在Web服务器上。用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过互联网或内部网络与服务者的Web应用交互,由Web应用与企业后台的数据库及其他动态内容通信。
尽管Web应用有着许多简化或复杂搭建方式,但一个典型的 Web 应用通常是标准的三层架构模型:
在这种最常见的模型中,客户端是第一层;使用动态Web技术的部分属于中间层;数据库是第三层。用户通过Web浏览器发送请求给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。
二、Web应用系统的安全漏洞
Web应用系统有着其固有的开发特点:开发人员素质一般、需求快速变更导致缺乏严谨的设计和代码编写、系统没有经过严格的测试等,这些特点加上HTTP协议本身的无状态和匿名性,导致Web应用出现了很多的漏洞,如SQL注入漏洞、跨站脚本漏洞等等。
另外,管理员对Web系统的现成软件(包括操作系统、Web服务器软件、中间件、第三方平台、数据库)的配置不当也会造成很多漏洞,最常见的就是网页被篡改。
作为Web应用运行的基础平台,Web服务器(软件)本身只提供对HTTP协议的处理,并不会对协议数据的来源和内容进行安全检查和安全加固,如下图所示:
正是基于Web服务器这样的工作原理,黑客就可以利用Web应用程序自身的漏洞和管理员配置不当造成的漏洞而对Web应用进行攻击和破坏。
三、天存Web应用安全解决方案
为了从源头上杜绝攻击的发生,天存通过核心内嵌技术给WEB服务器软件打上安全补丁,在WEB服务器尚未对请求进行内部(业务)处理之前,对请求中包含的各项数据进行过滤,确保只将安全的请求交给Web服务器进行处理;在Web服务器合成响应之前对文件的完整性进行检查,确保响应内容的正确性。如下图所示:
方案优势
- 1.通过对请求和响应的双向检测,一方面确保黑客利用Web应用程序自身漏洞发起的各种应用层攻击都能够被实时阻断;另一方面杜绝篡改后的网页/脚本文件被访问的可能性,使黑客利用管理员配置不当等漏洞篡改网页的企图完全落空。
- 2.不存在独立的安全模块运行进程,工作过程完全与Web服务的运行进程融合,在精准理解和分析Web服务请求数据的同时,确保入侵者无法干扰安全检测的运行。
- 3.与操作系统及硬件无关,与应用系统使用的脚本语言无关,无需改变网络拓扑结构,对Web应用的正常运行没有任何影响。
