如何保护 .NET 应用的安全？

自从 Web 应用能给访问者提供丰富的内容以后，黑客们就把目光转向任何他们可以破坏，损毁，欺骗的漏洞。经过网络浏览器提供的应用愈来愈多，网络罪犯们能够利用的漏洞数量也呈指数增加起来。

大多数企业都依赖于网站向客户提供内容，与客户进行互动，销售产品。所以，企业会部署一些经常使用的技术来处理网站的不一样请求。Joomla！或 Drupal 这样的内容管理系统或许可以创建包含产品、服务以及相关内容的健壮网站。此外，企业每每会使用 Wordpress 博客或基于 phpBB 的论坛这类依靠用户产出内容的社区，给客户提供评论和讨论的反馈平台。不管规模大小，对于直接在网上销售的电商企业，ZenCart 和 Magento 都能知足他们的需求。但再加上数千个网站依赖的专有应用程序，确保网络应用程序的安全应该是任何规模的网站管理者的首要问题。

###与网络应用相关的风险

网络应用程序容许访问者访问网站最重要的资源——网络服务器和数据库服务器。和任何一款软件同样，网络应用程序的开发人员在产品和功能上花费了大量时间，却不多把时间用在安全上。固然，这并非说开发人员不关心安全问题，实际状况绝非如此。真正的缘由是，一方面，开发者对安全缺少理解。另外一方面，项目经理考虑安全问题的时间太少。

不论是什么缘由，应用程序每每充满了漏洞。利用这些漏洞，攻击者能够访问 Web 服务器或数据库服务器。到那时候，他们能够作的事情就多了，好比：

• 损坏网站
• 插入指向其余站点的垃圾连接
• 插入能在访客电脑里运行的恶意代码
• 插入恶意代码，窃取会话 ID（cookies）
• 盗取访问者信息和浏览习惯
• 盗取帐户信息
• 盗取数据库里存储的信息
• 访问受限内容

• 还有更多

###阻止网络应用遭受攻击

使用 OneRASP .NET 探针,能够避免许多 Web 应用威胁，由于 OneRASP .NET 探针 会监视 HTTP 流量，根据规则检查网络数据包，从而决定是容许仍是拒绝协议、端口、IP地址等的访问，以此来阻止 Web 应用程序受到侵害。

做为即插即用的软件，OneRASP.NET 探针提供了最佳的开箱即用保护，能防护 DOS 攻击、跨站脚本注入、SQL 注入攻击，路径遍历和许多其余网络攻击技术。

OneRASP .NET 探针能为网络应用安全提供全面的解决方案，其缘由是：

• 易于安装在 Apache 和 IIS 服务器
• 针对已知和新兴的黑客攻击有强壮的安全防御
• 最佳的预约义安全规则，用于快速防御
• 简单的接口和 API ，用于管理多台服务器
• 无需额外硬件，轻松适用不一样企业规模

###攻击者如何对网络应用程序发动攻击？

恶意黑客攻击网络应用程序的方法多种多样。稍微谷歌一下，就能发现常见 Web 应用程序，像 WordPress、zencart、Joomla！、Drupal 和 MediaWiki 中的大量漏洞。固然，不只是这些应用程序中存在漏洞，不少其余网站也存在容易找到的漏洞。攻击者只要使用自动化的搜索根据，就能够准切找到哪些网站没有修复这些漏洞。

下面是最多见的攻击应用程序的方法：

• SQL 注入
• XSS（跨站脚本）
• 远程指令执行
• 路径遍历

SQL 注入

SQL 注入要想起做用，攻击者必须找到网站中容许用户输入并且不会过滤转义字符的区域。用户登陆区域是常见的攻击目标，由于为了检查用户表中的证书，须要与数据库直接相连。经过注入 SQL 语句，如 `）或1 = 1--，攻击者就能够访问存储在网站数据库中的信息。固然，上面的例子只是一个相对简单的 SQL 语句。若是攻击者知道数据库中的表格结构，每每使用更加复杂的查询语句，从而获得更好的查询结果。

###跨站脚本 攻击者在防御较薄弱的网页注入恶意的客户端脚本，即为跨站脚本（ XSS ）攻击。当这些脚本运行时，会在访问者的计算机上安装恶意软件，窃取访问者的 cookie ，或劫持访问者的会话。

###远程指令执行

远程指令执行漏洞容许攻击者向应用程序传入任意指令。在严重状况下，攻击者会得到系统级的权限，从而实现远程攻击服务器，并执行任何须要的指令以达到目的。

###路径遍历

路径遍历漏洞给攻击者访问受限文件、目录和指令的机会。由于存在于正常的网页文件根目录以外的，这些路径一般是没法访问的。不像前文讨论过的其余漏洞，路径遍历漏洞之因此存在是由于安全设计错误而不是编码错误。

###避免攻击的需求

有了这么多在网站运行的应用程序，攻击者已经建立了自动化的工具，能够对多个安全防御不足的网站同时发动攻击。所以，恶意黑客的攻击目标再也不局限于大型公司网站，较小的网站也很容易被这些自动攻击所捕获。

不管什么行业，企业规模大小，网站受到攻击以后引起的反响对任何业务来讲都是毁灭性的。攻击的后续影响还包括：

• 数据被盗
• 用户帐户受损
• 客户和/或访客的信任缺失
• 品牌声誉受损
• 销售收入受损
• 网站被标记为恶意站点
• 搜索引擎排名下滑

###保护网站免受攻击

OneRASP .NET 探针独特的安全方法无需了解每一个 Web 应用潜在的具体威胁。运行 OneRASP .NET 探针的软件会重点分析请求及其对应用产生的影响。高效的 Web 应用安全以三个强大的 Web 应用安全引擎，分别是：模式识别、会话保护和签名库。

同时，OneRASP .NET 探针采用的模式识别 Web 应用安全引擎能有效防御前文提到的攻击，以及许多其余攻击。该模式基于正则表达式，能有效且准确地识别多种应用层攻击方法。因此， OneRASP.NET 探针的误报率极低。

让 OneRASP .NET 探针不同凡响的是，它不只提供了针对 Web 应用威胁的全面保护，仍是最简单易用的解决方案。

只需数十次点击，没有接受过安全培训的网站管理员也能够将 OneRASP .NET 探针运行起来。其预约义的规则集提供了开箱即用的防御，且基于浏览器的管理界面简单易用，几乎不会影响服务器或网站性能。

现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneRASP 实时应用自我保护技术,能够为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客。 本文转自 OneAPM 官方博客