隨著企業數字化轉型的深入，越來越多的業務應用系統被部署到互聯網平臺上，這吸引了網絡犯罪團伙的強烈關注，以Web攻擊為代表的應用層安全威脅開始凸顯。通過利用網站系統和Web服務程序的安全漏洞，攻擊者可以輕松獲取企業Web應用系統及服務器設備的控制權限，從而進行網頁篡改、數據竊取等破壞活動，嚴重損害企業的業務發展。

保障Web應用安全已經成為行業普遍認知。但研究人員發現，目前很多企業對Web應用安全防護還存在許多認知誤區，這隨時可能引發嚴重的安全問題和事故。

誤區一

我們只是普通的企業組織，我們的Web應用系統不會被攻擊。

真相：大多數網絡攻擊是自動化的、沒有特定目標的，因此每個企業都可能成為攻擊者的目標。

不管是大型企業，還是中小企業用戶，普遍都認為壞事只會發生在其他機構。許多組織抱著僥幸心理，以為自己不會受到網絡攻擊，因此無需操心Web應用程序安全。但事實是，現在的網絡攻擊大都是由有組織的犯罪團伙發起，它們每天都在全球網絡上進行自動攻擊嗅探，一旦機器人程序發現了可被利用的安全漏洞（比如Log4Shell），其所在的企業就在劫難逃。每個企業都應該為防范Web應用攻擊做好充分的準備和預案。

誤區二

部署WAF就可以阻止針對Web應用系統的攻擊。

真相：WAF并不能成為Web應用系統防御的唯一防線，攻擊者會專門針對WAF尋找相應的繞過策略。

部署Web應用防火墻（WAF）就能夠保證Web應用安全是目前最常見的認知誤區之一。WAF可以被看成是Web版的網絡防火墻，它可以過濾HTTP流量以檢測并阻止可能存在的攻擊企圖。WAF還常常用作負載均衡系統，提供額外的應用安全能力，對于臨時阻止突然爆發的零日漏洞很有價值。然而，它們卻很難檢測出所有可能的攻擊，只要系統中存在未被發現的安全漏洞，攻擊者就有可能會找到繞過WAF 規則的方法。

誤區三

企業網站已經使用了HTTPS協議，因此Web應用系統是安全的。

真相：HTTPS只保護用戶數據免受竊取和篡改，卻無法防范惡意流量等威脅。

應用HTTPS表示所有Web應用流量都經過加密，這是防止中間人攻擊的關鍵最佳實踐，但卻無法防范攻擊者已經建立有效連接的應用程序級攻擊。比如說，如果攻擊者可以在易受攻擊的純HTTPS應用程序中訪問或創建有效的用戶賬戶，他們就可以隨意嘗試SQL注入、權限提升及其他攻擊，而這一切都是在安全加密的連接中進行。

誤區四

如果Web應用系統僅在企業內部網絡上運行就是安全的。

真相：網絡攻擊者可以通過受攻擊的Web服務器系統間接攻擊Web應用程序，即使在內部網絡中也是如此。

很多人會錯誤認為，沒有連接互聯網的內網Web應用系統就是安全的，不會受到基于Web的網絡攻擊。實際上，攻擊者可以利用服務器端請求偽造（SSRF）之類的漏洞，以某一臺被攻陷的服務器為跳板，攻擊企業內網上的應用系統。特別是在云優先環境下，許多組織不再擁有完全物理隔離的內部網絡，只有私有云部署的應用方式，這是另一種Web應用的安全隱患。

誤區五

只允許通過VPN訪問的Web應用系統是安全的。

真相：VPN是保護互聯網隱私的強大工具，但不是保護Web應用安全的完整解決方案。

遠程工作模式大行其道，虛擬專用網（VPN）已變成企業普遍使用的遠程訪問工具。盡管VPN確實提供了額外的隔離和訪問控制，就像內部網絡一樣，但不應該將VPN視為Web應用系統的安全憑證。如果攻擊者設法訪問了 VPN（比如使用被盜的憑據、泄露的員工賬戶或某種社會工程伎倆），任何Web應用程序都可能很容易受到攻擊。

誤區六

瀏覽器內置的攻擊防護機制可以保障應用安全。

真相：瀏覽器安全機制是應用程序安全防護的補充，但卻無法取而代之。

大概十年前，因為跨站腳本漏洞的盛行，瀏覽器服務商嘗試將XSS過濾器直接嵌入到瀏覽器中，這誤導了一大批企業用戶：新一代瀏覽器可以對Web應用程序進行安全防護。但實踐表明，這種保護措施的效果非常有限，并且已從很多高版本瀏覽器中刪除。實際上，瀏覽器安全是網絡安全領域一個完全獨立又至關重要的方面，永遠不應依賴瀏覽器作為應用程序的額外防線。相反，Web開發者應竭力遵循公認的行業標準和規范，讓瀏覽器能夠正確地處理和呈現應用程序。

誤區七

Web應用系統有備份，即使發生安全事件也可以快速恢復。

真相：備份對于數據存儲和保持業務連續性很重要，但卻無法減輕數據泄密造成的間接破壞和損失。

備份一直是企業整體安全策略的關鍵組成部分，擁有良好的備份和可靠的恢復方案是無可替代的。但是備份只能防止數據丟失和損壞，卻無法幫助企業避免網絡攻擊產生的其他災難性后果（系統停運、商業秘密泄露和品牌商譽損失等）。因此，備份是Web應用安全防護計劃中不可或缺的部分，但企業在確保應用系統安全性方面的要求與隨時準備數據恢復一樣重要。

誤區八

Web應用的開發框架是安全可靠的，因此應用系統也是安全的。

真相：高質量的開發框架可以防止許多安全漏洞，但僅靠框架還遠遠不夠。

Web應用框架和模塊庫已徹底改變了Web應用系統的開發方式，提供了構建生產級站點和應用程序的基礎，會大大節約應用開發的時間和資源。選擇一種安全可靠的框架固然是重要的，因為它可以幫助企業避免很多類型的技術漏洞，特別是跨站腳本（XSS）類型的漏洞。但即使開發人員嚴格按照規范，Web開發框架不能識別所有應用場景下的漏洞，因此，使用可靠的Web開發框架只是安全編程的基礎。

誤區九

應用發布前已經在集成開發環境（IDE）中進行了安全檢查，所以是安全的。

真相：靜態代碼安全檢查只是確保整體應用程序安全性的手段之一。

新一代Web開發工具通常會集成代碼安全檢查工具，有時甚至作為免費插件。應用這種工具的好處是，可以提升開發人員的安全意識，減少人為錯誤導致的安全隱患。但這些工具也有其應用局限性，只能識別有限的問題，并且容易出現誤報，將真正的警報淹沒。雖然為IDE增添面向安全的檢查工具有利于規避Web應用的安全問題，但需要認識到，它只是確保應用程序安全的眾多手段之一，通過全部靜態安全檢查并不能保證應用程序的絕對安全，還有很多地方可能出岔子。

誤區十

Web應用安全防護不是開發團隊的工作。

真相：保障應用程序安全是現代Web應用開發的重要組成部分，特別是應用開發安全運營（DevSecOps）模式后更是如此。

由于應用需求的提升，導致Web應用系統變得更加復雜，保護Web的應用安全與每個人息息相關，并從開發階段就啟動安全策略。有效地發現安全漏洞并及時處理修復請求，對于避免發生嚴重的安全事件和節省安全防護資源至關重要。

編輯：黃飛