终止 安全 加速 企业级的Web安全应用
2008-09-27 13:26:08 来源:WEB开发网AAA—身份和访问管理
By virtue of sheer proximity,应用防火墙处在一个执行AAA服务的绝佳位置。应用防火墙可以进行验证和单点登陆服务,因为它可以与RADIUS, LDAP,Active Directory 和CA SiteminderTM(Netegrity)挂钩。其他方式的认证包括客户端证书、基本HTTP Web验证、源IP地址验证等方式。控制器能够执行已授权用户在应用和URL级别发起的访问。最后,控制器记录所有认证信息和访问时间,这些内容同时提供全面的内部监控的审计和安全规则的符合。
白名单
NetContinuum控制器使用一个绝对安全的模型来对访问进行定义并判断其是否为恶意连接。任何违背正常行为的会话会被认为是潜在的恶意连接并自动将其阻断。系统为每个应用创建并管理独立的白名单。白名单可以被动态创建,或在实时策略推荐向导的帮助下通过安全组手动设置。控制器使用访问控制列表(ACL)来设置和执行具有良好粒度的安全策略和特殊页面。
窗体保护
程序员常见的错误理解就是以为Web的形式是不变的,至少对于用户来说是如此。也就是说,如果一个区域被定义为单选按钮,来自用户的输入只能是事先规定的值,并且能够依靠用户的浏览器来执行这种约束。这种理解是错误的。浏览器确实会试图将用户输入限制在正常范围之内,但是一个恶意的用户能够在浏览器和应用程序之间放置一个攻击性的代理,在浏览器的可见范围之外彻头彻尾地修改区域的类型。这样单选按扭区域很有可能返回一个带有可执行的缓冲溢出代码。这就是臭名昭著窗口篡改。控制器记住针对每个用户会话所创建的区域类型,并且确保在程序员定义它们的时候将它们保留下来。
Cookie保护
在cookie代码的处理过程中对其弱点进行开发是另一种黑客常用的手段。因为cookies是对用户进行身份识别的最常用的方法,如果黑客能够猜到用户的cookie信息,那么这个黑客就从根本上化身为那个用户。许多应用程序仍然在使用易猜中的cookie。两种防止此攻击的技术是:cookie标记和cookie加密。(有两个步骤:控制器必须在cookie被创建时对其进行标记和加密。这样在下次请求到来时能够对其进行识别。如果cookie标记被激活,控制器就能够检查进来的cookie,防止被篡改。
更多精彩
赞助商链接