如何保护 .NET 应用的安全？

自从 Web 应用能给访问者提供丰富的内容之后，黑客们就把目光转向任何他们能够破坏，损毁，欺骗的漏洞。通过网络浏览器提供的应用越来越多，网络罪犯们可以利用的漏洞数量也呈指数增长起来。

大多数企业都依赖于网站向客户提供内容，与客户进行互动，销售产品。因此，企业会部署一些常用的技术来处理网站的不同请求。Joomla！或 Drupal 这样的内容管理系统或许能够建立包含产品、服务以及相关内容的健壮网站。此外，企业往往会使用 Wordpress 博客或基于 phpBB 的论坛这类依靠用户产出内容的社区，给客户提供评论和讨论的反馈平台。无论规模大小，对于直接在网上销售的电商企业，ZenCart 和 Magento 都能满足他们的需求。但再加上数千个网站依赖的专有应用程序，确保网络应用程序的安全应该是任何规模的网站管理者的首要问题。

与网络应用相关的风险

网络应用程序允许访问者访问网站最重要的资源——网络服务器和数据库服务器。和任何一款软件一样，网络应用程序的开发人员在产品和功能上花费了大量时间，却很少把时间用在安全上。当然，这并不是说开发人员不关心安全问题，实际情况绝非如此。真正的原因是，一方面，开发者对安全缺乏理解。另一方面，项目经理考虑安全问题的时间太少。

不管是什么原因，应用程序往往充满了漏洞。利用这些漏洞，攻击者可以访问 Web 服务器或数据库服务器。到那时候，他们可以做的事情就多了，比如：

• 损坏网站
• 插入指向其他站点的垃圾链接
• 插入能在访客电脑里运行的恶意代码
• 插入恶意代码，窃取会话 ID（cookies）
• 盗取访问者信息和浏览习惯
• 盗取账户信息
• 盗取数据库里存储的信息
• 访问受限内容

•   还有更多
  

阻止网络应用遭受攻击

使用 OneRASP .NET 探针,可以避免许多 Web 应用威胁，因为 OneRASP .NET 探针 会监视 HTTP 流量，根据规则检查网络数据包，从而决定是允许还是拒绝协议、端口、IP地址等的访问，以此来阻止 Web 应用程序受到侵害。

作为即插即用的软件，OneRASP.NET 探针提供了最佳的开箱即用保护，能防御 DOS 攻击、跨站脚本注入、SQL 注入攻击，路径遍历和许多其他网络攻击技术。

OneRASP .NET 探针能为网络应用安全提供全面的解决方案，其原因是：

• 易于安装在 Apache 和 IIS 服务器
• 针对已知和新兴的黑客攻击有强壮的安全防护
• 最佳的预定义安全规则，用于快速防护
• 简单的接口和 API ，用于管理多台服务器
• 无需额外硬件，轻松适用不同企业规模

攻击者如何对网络应用程序发动攻击？

恶意黑客攻击网络应用程序的方法多种多样。稍微谷歌一下，就能发现常见 Web 应用程序，像 WordPress、zencart、Joomla！、Drupal 和 MediaWiki 中的大量漏洞。当然，不仅是这些应用程序中存在漏洞，很多其他网站也存在容易找到的漏洞。攻击者只要使用自动化的搜索根据，就可以准切找到哪些网站没有修复这些漏洞。

下面是最常见的攻击应用程序的方法：

• SQL 注入
• XSS（跨站脚本）
• 远程指令执行
• 路径遍历

SQL 注入

SQL 注入要想起作用，攻击者必须找到网站中允许用户输入而且不会过滤转义字符的区域。用户登录区域是常见的攻击目标，因为为了检查用户表中的证书，需要与数据库直接相连。通过注入 SQL 语句，如 `）或1 = 1--，攻击者就可以访问存储在网站数据库中的信息。当然，上面的例子只是一个相对简单的 SQL 语句。如果攻击者知道数据库中的表格结构，往往使用更加复杂的查询语句，从而得到更好的查询结果。

跨站脚本

攻击者在防护较薄弱的网页注入恶意的客户端脚本，即为跨站脚本（ XSS ）攻击。当这些脚本运行时，会在访问者的计算机上安装恶意软件，窃取访问者的 cookie ，或劫持访问者的会话。

远程指令执行

远程指令执行漏洞允许攻击者向应用程序传入任意指令。在严重情况下，攻击者会获得系统级的权限，从而实现远程攻击服务器，并执行任何必要的指令以达到目的。

路径遍历

路径遍历漏洞给攻击者访问受限文件、目录和指令的机会。因为存在于正常的网页文件根目录之外的，这些路径通常是无法访问的。不像前文讨论过的其他漏洞，路径遍历漏洞之所以存在是因为安全设计错误而不是编码错误。

避免攻击的需求

有了这么多在网站运行的应用程序，攻击者已经创建了自动化的工具，可以对多个安全防护不足的网站同时发动攻击。因此，恶意黑客的攻击目标不再局限于大型公司网站，较小的网站也很容易被这些自动攻击所捕获。

无论什么行业，企业规模大小，网站受到攻击之后引发的反响对任何业务来说都是毁灭性的。攻击的后续影响还包括：

• 数据被盗
• 用户账户受损
• 客户和/或访客的信任缺失
• 品牌声誉受损
• 销售收入受损
• 网站被标记为恶意站点
• 搜索引擎排名下滑

保护网站免受攻击

OneRASP .NET 探针独特的安全方法无需了解每个 Web 应用潜在的具体威胁。运行 OneRASP .NET 探针的软件会重点分析请求及其对应用产生的影响。高效的 Web 应用安全以三个强大的 Web 应用安全引擎，分别是：模式识别、会话保护和签名库。

同时，OneRASP .NET 探针采用的模式识别 Web 应用安全引擎能有效防护前文提到的攻击，以及许多其他攻击。该模式基于正则表达式，能有效且准确地识别多种应用层攻击方法。所以， OneRASP.NET 探针的误报率极低。

让 OneRASP .NET 探针与众不同的是，它不仅提供了针对 Web 应用威胁的全面保护，还是最简单易用的解决方案。

只需数十次点击，没有接受过安全培训的网站管理员也可以将 OneRASP .NET 探针运行起来。其预定义的规则集提供了开箱即用的防护，且基于浏览器的管理界面简单易用，几乎不会影响服务器或网站性能。

如今，多样化的攻击手段层出不穷，传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客