An ninh ứng dụng web.

tepriu

W-------
25/12/2014
0
21 bài viết
An ninh ứng dụng web.
Bảo mật web là một nhánh của bảo mật thông tin, những dịch vụ cụ thể để bảo vệ một website là bảo mật ứng dụng webweb services.

1490893136box.jpg

Ở mức độ cao, bảo mật web dựa trên các nguyên tắc bảo mật ứng dụng nhưng được áp dụng đặc biệt với môi trường internet và hệ thống web. Các ứng dụng web thường được phát triển bằng ngôn ngữ lập trình như PHP, Java EE, Java, Python, Ruby, ASP.NET, C#, VB.NET or Classic ASP.
Nguy cơ bảo mật:
Với sự xuất hiện của web 2.0, sự tăng cường chia sẻ thông tin qua các mạng xã hội cùng với sự phát triển mạnh của thương mại điện tử đã khiến số lượng website bị tấn công ngày càng nhiều.
Phần lớn các cuộc tấn công web thông qua khai thác các lỗi cross-site scripting (XSS) và SQL injection. Đây là kết quả của việc mã hóa sai và không kiểm tra kỹ các biến đầu vào của ứng dụng web.
Phising là mối đe dọa phổ biến nhất cho các ứng dụng web, đội an ninh SA của EMC công bố báo cáo ước tính thiệt hại toàn cầu từ phising lên tới 1,5 tỉ $.

Theo hãng bảo mật Cenzic thống kê các lỗ hổng đầu tháng 3-2012 bao gồm:
37% Cross-site scripting
16% SQL injection
5% Path disclosure
5% Denial-of-service attack
4% Arbitrary code execution
4% Memory corruption
4% Cross-site request forgery
3% Data breach (information disclosure)
3% Arbitrary file inclusion
2% Local file inclusion
1% Remote file inclusion
1% Buffer overflow
15% Other, including code injection (PHP/JavaScript), etc.

Tiêu chuẩn về an ninh.
OWASP là tiêu chuẩn mới cho bảo mật ứng dụng web. Họ đã xuất bản top 10 lỗ hổng nghiêm trọng và mô tả chi tiết các mối đe dọa chính đối với các lỗ hổng web.
OWASC tạo ra cơ sở dữ liệu web hacking và cũng phát hành công cụ mã nguồn mở thực hành cho lĩnh vực này.
Công nghệ bảo mật:
An ninh thông tin dựa trên các yếu tố con người, qui trình, và các giải pháp kỹ thuật.Ở mức độ cao hơn các giải pháp này bao gồm:
· Black box testing tools such as Web application security scanners, vulnerability scanners and penetration testing software.
· White box testing tools such as static source code analyzers.
· Fuzzing Tools used for input testing.
· Web application security scanner (vulnerability scanner).
· Web application firewalls (WAF) used to provide firewall-type protection at the web application layer.
· Password cracking tools for testing password strength and implementation.

Nguồn: wikipedia.Bảo mật web là một nhánh của bảo mật thông tin, những dịch vụ cụ thể để bảo vệ một website là bảo mật ứng dụng webweb services.
Ở mức độ cao, bảo mật web dựa trên các nguyên tắc bảo mật ứng dụng nhưng được áp dụng đặc biệt với môi trường internet và hệ thống web. Các ứng dụng web thường được phát triển bằng ngôn ngữ lập trình như PHP, Java EE, Java, Python, Ruby, ASP.NET, C#, VB.NET or Classic ASP.
Nguy cơ bảo mật:
Với sự xuất hiện của web 2.0, sự tăng cường chia sẻ thông tin qua các mạng xã hội cùng với sự phát triển mạnh của thương mại điện tử đã khiến số lượng website bị tấn công ngày càng nhiều.
Phần lớn các cuộc tấn công web thông qua khai thác các lỗi cross-site scripting (XSS) và SQL injection. Đây là kết quả của việc mã hóa sai và không kiểm tra kỹ các biến đầu vào của ứng dụng web.
Phising là mối đe dọa phổ biến nhất cho các ứng dụng web, đội an ninh SA của EMC công bố báo cáo ước tính thiệt hại toàn cầu từ phising lên tới 1,5 tỉ $.

Theo hãng bảo mật Cenzic thống kê các lỗ hổng đầu tháng 3-2012 bao gồm:
37% Cross-site scripting
16% SQL injection
5% Path disclosure
5% Denial-of-service attack
4% Arbitrary code execution
4% Memory corruption
4% Cross-site request forgery
3% Data breach (information disclosure)
3% Arbitrary file inclusion
2% Local file inclusion
1% Remote file inclusion
1% Buffer overflow
15% Other, including code injection (PHP/JavaScript), etc.

Tiêu chuẩn về an ninh.
OWASP là tiêu chuẩn mới cho bảo mật ứng dụng web. Họ đã xuất bản top 10 lỗ hổng nghiêm trọng và mô tả chi tiết các mối đe dọa chính đối với các lỗ hổng web.
OWASC tạo ra cơ sở dữ liệu web hacking và cũng phát hành công cụ mã nguồn mở thực hành cho lĩnh vực này.
Công nghệ bảo mật:


1490893136blackbox.jpg

An ninh thông tin dựa trên các yếu tố con người, qui trình, và các giải pháp kỹ thuật.Ở mức độ cao hơn các giải pháp này bao gồm:

· Black box testing tools such as Web application security scanners, vulnerability scanners and penetration testing software.
· White box testing tools such as static source code analyzers.
· Fuzzing Tools used for input testing.
· Web application security scanner (vulnerability scanner).
· Web application firewalls (WAF) used to provide firewall-type protection at the web application layer.
· Password cracking tools for testing password strength and implementation.

Nguồn: wikipedia.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên