資源描述:
《外文翻譯-web應(yīng)用程序安全漏洞知識庫初探》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、1.外文資料翻譯譯文網(wǎng)絡(luò)安全日志管理:以應(yīng)用程序為中心的角度來看AndrewMwauraKahonge,WilliamOkello-Odongo,EvansK.Miriti,ElishaAbade計算機和信息學院大學內(nèi)羅畢,肯尼亞內(nèi)羅畢Email:andrew.mwaura@uonbi.ac.ke,wokelo@uonbi.ac.ke,eamiriti@uonbi.ac.ke,eabade@uonbi.ac.ke摘要:萬維網(wǎng)是一個有許多安全威脅和大量的安全漏洞報告病例的環(huán)境。各種工具和技術(shù),試圖遏制這一問題得到了應(yīng)用,但是新的攻擊繼續(xù)困擾互聯(lián)網(wǎng)。我們
2、討論影響的Web應(yīng)用程序,并解釋如何以網(wǎng)絡(luò)為中心和以主機為中心的技術(shù),不亞于他們在一個企業(yè)是至關(guān)重要的,缺乏必要的深度全面分析整個應(yīng)用程序的安全隱患。Web應(yīng)用程序跨多個服務(wù)器的特性引入的安全性要求一個新的層面,要求采取綜合辦法來保護信息資產(chǎn),無論模塊層的物理或邏輯隔離。因此,我們歸類安全機制的基礎(chǔ)上被擔保資產(chǎn)是什么或者基礎(chǔ)設(shè)施為中心或以應(yīng)用為中心。然后,我們描述了這樣的應(yīng)用為中心的安全機制的要求。關(guān)鍵詞:Web安全;互聯(lián)網(wǎng);應(yīng)用程序為中心;基礎(chǔ)設(shè)施為中心;網(wǎng)絡(luò)中心;主機為中心;日志管理和監(jiān)控1.簡介隨著互聯(lián)網(wǎng)和Web技術(shù)的發(fā)展,很多服務(wù)現(xiàn)在提供給全
3、球用戶。廣泛的應(yīng)用范圍已經(jīng)啟動,從信息網(wǎng)站,社交網(wǎng)絡(luò),電子商務(wù)和軟件即服務(wù)(SaaS)。如在上述這種增長可以歸因于符合因特網(wǎng)大規(guī)模分布式超媒體系統(tǒng)的需求的網(wǎng)絡(luò)應(yīng)用程序的軟件架構(gòu)。是可能的整合并且相比于傳統(tǒng)的桌面軟件方式在網(wǎng)絡(luò)更容易建立更多的應(yīng)用程序和組件。除了互聯(lián)網(wǎng)應(yīng)用這一成功浪潮,很多漏洞被發(fā)現(xiàn)和開采確實迫使服務(wù)供應(yīng)商將繼續(xù)投入精力和資源的大量監(jiān)測和含有違規(guī)行為。攻擊的例子包括黑客Web服務(wù)器或Web服務(wù)器本身固有的弱點上開發(fā)的Web應(yīng)用程序運行的不正確編碼標準[2]。要在確保這種系統(tǒng)中提前一個步驟是重要的。幾種方法已經(jīng)被開發(fā),包括安全審計方法和安
4、全架構(gòu),以提高檢測和預防風險的。方法如安裝智能防火墻,安全端到端通過虛擬專用網(wǎng)絡(luò)和安全套接字層的通信已被用于提高安全性和確實已采用幾種類型的web應(yīng)用程序。另外,在同一個事實,即電子記錄,例如電腦和網(wǎng)絡(luò)日志被視為在數(shù)字取證[3-5]中最重要的數(shù)據(jù),監(jiān)控工具和技術(shù)線已被廣泛使用,包括交易數(shù)據(jù),例如系統(tǒng)日志,數(shù)據(jù)庫的記錄日志和Web服務(wù)器日志,以及使用智能日志監(jiān)控和分析軟件。然而,所有這些方法和努力都無法保證保存系統(tǒng)安全或者注意到他們的企圖。在信息安全的三大原則;保密性,完整性和可用性,保護信息資產(chǎn)十一尺寸由[6]繪制。這些尺寸的想法是,在所有的尺寸用于
5、提高安全性一個全面的方法是必要的。具體地,其中的兩個維度正在監(jiān)視在其中執(zhí)行的系統(tǒng)和相應(yīng)的操作的觀察和評估。監(jiān)測的第一維也被提到[7]是信息安全的Web應(yīng)用程序特別重要的支柱,其中通過日志文件分析監(jiān)視Web服務(wù)器,數(shù)據(jù)庫服務(wù)器和身份驗證服務(wù)器。我們解釋了影響Web應(yīng)用程序的風險和記錄的重要性,并就監(jiān)控而言日志分析。然后,我們給到其中實現(xiàn)安全性的以前的努力先前已聚焦的安全機制分類的匯總。最后,我們提出一個新的分類,旨在提供實施安全特別是對于基于Web的應(yīng)用程序不同的重點。為了支持所提出的想法,一個漏洞的情況進行了討論。2.Web應(yīng)用程序的身份驗證級別當用
6、戶接觸如在圖1的工序的示出的網(wǎng)站,認證請求可以提示用戶名和密碼。這兩種常見的方法是腳本控制的認證和Web服務(wù)器控制的認證。前者包括基于表單的技術(shù),使網(wǎng)頁上與數(shù)據(jù)輸入組件輸入用戶名,密碼和其他認證數(shù)據(jù)的用戶代理。后者是在Web服務(wù)器管理用戶的驗證,并且如果用戶是有效的,只會被請求的網(wǎng)絡(luò)資源?;旧矸蒡炞C和集成身份驗證是這種常見的例子。當完成水平和網(wǎng)絡(luò)資源請求是數(shù)據(jù)庫服務(wù)器中,例如為內(nèi)容管理系統(tǒng)的情況下,服務(wù)器側(cè)腳本將發(fā)起到數(shù)據(jù)庫服務(wù)器的連接。然后,根據(jù)觀眾或系統(tǒng)的類型,web應(yīng)用程序可以被設(shè)計成在電平b與數(shù)據(jù)庫進行身份驗證,如圖1中,由任一N:1或1:
7、1分別實際或外部用戶和數(shù)據(jù)庫用戶的映射。圖1在web環(huán)境中的認證級別多對一個數(shù)據(jù)庫的連接可以是在應(yīng)用中該系統(tǒng)的一大段執(zhí)行只讀操作不論哪個用戶的因特網(wǎng)面的情形中記錄所希望的。它也可能希望用于實現(xiàn)連接池[8],其中數(shù)據(jù)庫服務(wù)的數(shù)千只有少數(shù)數(shù)據(jù)庫連接請求。對于這樣的情況下,一個單一的數(shù)據(jù)庫的用戶名和密碼,是用來連接到數(shù)據(jù)庫。最流行的Web應(yīng)用程序框架使用這種方法[9]。盡可能多的這個數(shù)據(jù)庫中的多路復用降低行政管理費用和可能的性能和可伸縮性優(yōu)勢,它引入了一個盲點當審計數(shù)據(jù)庫活動[10]。分析數(shù)據(jù)庫事務(wù)日志可能永遠不會透露誰做什么。3.Web應(yīng)用程序的風險影響
8、與傳統(tǒng)的臺式機系統(tǒng),web應(yīng)用程序由于它們的結(jié)構(gòu)遭受風險,也由于這樣的事實,它們暴露于更廣泛的觀眾機漏洞。最