WEB 应用安全的常见思路

这篇文章不包含 DDoS 和业务相关的问题 —— DDoS 主要是网络层解决的问题，我没有把放到 WEB 应用安全这个领域讨论;业务相关的安全，特别是业务特性或者业务规则带来的安全问题也不在这个讨论范围之内。

下面只是大概的分类，并不严谨。

通过工具来增强 WEB 应用的安全

工具往往对应用开发过程影响非常小，只需要在部署的时候做些配置通常即可起到防护作用。工具主要以防火墙、WAF 和各类扫描产品为主。这些产品通常基于特征，很难做到深入理解被防护的 WEB 应用，这类产品通常会遇到很多挑战。

由于被保护的 WEB 应用对这些传统工具而言属于“黑盒”，要做到有效防护的代价很高。个人认为目前传统的产品更适合做大范围、简单、一致的控制，作为基础设施提供无差别的防护;也比较适合做应急措施，用来缩短 Heartbleed、Struts2 远程代码执行 这类漏洞的响应时间，为彻底修复赢得足够的时间窗口。

误报率和漏报率：这个大家都懂的，从防病毒软件到 IDS、IPS 到扫描器到 WAF，只要是基于特征库，基本都走在这个“平衡木”上，很难做到既误报低又漏报少。

0day：WEB 应用的 0day 太容易发现，WEB 应用数量又是海量，真正充分考虑到安全的 WEB 应用更是凤毛麟角。因此，无法做到发现 0day 甚至是快速响应 0day，会非常难受，而简单基于规则很难做到发现“未知”。

普适和定制：应用的数量远多于操作系统、数据库这些通用组件，应用层的安全检查或者防护工具无法做到覆盖所有的应用(例如：wordpress 和企业 ERP 就是完全不同的应用)。

难以根除的漏洞：只要不修改代码、不打补丁，这个应用就始终存在安全漏洞。一旦出现盲点，导致攻击者能够直接访问到被保护的 WEB 应用，安全防护措施都失去意义(现在的业务系统都是分布式系统，非常容易出现盲点;尤其是各种 CloudWAF，被绕过的可能性更大)。

通过开发流程控制增强 WEB 应用的安全

SDLC 是 Secure Software Development Life Cycle 的简写，有时候也被称作 SDL 或 SSDLC 。SDLC 的特点是在软件开发的生命周期中都“嵌入”了安全的“基因”，对软件产品的安全性有本质上的提高。业界最成功的案例就是 Microsoft 通过 10 多年持续的实施 SDL 让其 Windows 产品的安全性有了极大地提高。