WAS是業界領先的安全專家服務,是一項針對web應用程式的安全服務,是基於套用系統整體架構的特性和其個性化的需求來提供有針對性的安全解決方案,通過來自一線的經驗變成用戶所需要的安全服務,從而保障web應用程式的安全,有效減少用戶單位由於安全問題引起的不可估量的損失。
基本介紹
- 外文名:Websphere Application Server
- 分類:安全服務
- 對象:針對web應用程式
- 優點:簡單實用
主要內容,具體體現,優勢,缺陷,不同套用,
主要內容
1.web程式全面代碼分析,查找腳本後門。
2.web套用代碼黑白盒測試,分析代碼存在的安全缺陷。
3.針對存在的腳本後門,安全缺陷,制定合理有效的修補方案並予以實施。
4.web應用程式目錄CAL許可權更改,重新設定IIS等伺服器配置,使安全性提高。
5.針對Mssql,MYSQL等資料庫的運行特點,防止利用SQL提升許可權。
6.更改服務上部分應用程式,增加系統隱蔽性和安全性。
7.合理配置網路資料庫伺服器,防止非法獲取數據內容。
8.查看系統日誌,了解系統以前運行情況。全面檢查系統,防止之前有人入侵留下後門。
具體體現
代碼審計
WEB應用程式代碼發生功能變更等正常操作,及時對變更的代碼進行安全審計,以保證整體代碼的統一安全性。
伺服器安全配置
伺服器的安全配置包括訪問許可權、ACL規則的設定,對資料庫進行完全配置刪除不必要的存儲過程。
關閉不需要的網路協定、默認共享。對磁碟目錄設定相應的訪問許可權。部分第三方軟體的漏洞。
防篡改軟體安裝
在確定系統安全、代碼安全的情況下安裝好AQPreventionTamper防篡改軟體以確保web系統運行穩定。
以上內容為WAS的具體詮釋。
優勢
首先,我們來討論一下使用WAS測試你的應用程式的好處。
它簡單
WAS允許你以不同的方式創建測試腳本:你可以通過使用瀏覽器走一遍站點來錄製腳本,可以從伺服器的日誌檔案導入URL,或者從一個網路內容資料夾選擇一個檔案。當然,你也可以手工地輸入URL來創建一個新的測試腳本。
不像其它的工具,你可以使用任何數量的客戶端運行測試腳本,全部都有一個中央主客戶端來控制。在每一個測試開始前,主客戶機透明地執行以下任務:
· 與其他所有的客戶機通訊
· 把測試數據分發給所有的客戶端
· 在所有客戶端同時初始化測試
· 從所有的客戶端收集測試結果和報告
這個特性非常重要,尤其對於要測試一個需要使用很多客戶端的伺服器群的最大吞吐量時非常有用。
它的高可用性
WAS是被設計用於模擬Web瀏覽器傳送請求到任何採用了HTTP1.0或1.1標準的伺服器,而不考慮伺服器運行的平台。
除了它的易用性外,WAS還有很多其它的有用的特性,包括:
· 對於需要署名登錄的網站,它允許創建用戶帳號。
· 允許為每個用戶存儲cookies 和Active Server Pages (ASP) 的session信息
· 支持隨機的或順序的數據集,以用在特定的名字-值對
· 支持頻寬調節和隨機延遲(“思考的時間”)以更真實地模擬顯示情形。
· 支持Secure Sockets Layer (SSL)協定
· 允許URL分組和對每組的點擊率的說明
· 提供一個對象模型,可以通過Microsoft Visual Basic® Scripting Edition (VBScript)處理或者通過定製編程來達到開啟,結束和配置測試腳本的效果。
WAS支持任意協定監聽器的可插拔式激活。WAS向所有類型的訊息激活套用提供了智慧型化的資源管理、按需進程激活、健康狀態監控和失效自動檢測與回收。
缺陷
除了優勢外,WAS的確有一些缺陷存在。當前知道的bug和有關事項都列在WAS的網站上了。以下是當前WAS不支持的特性:
· 以前面所發請求返回的結果為基礎,修改URL參數的能力。
· 運行或模仿客戶端邏輯的能力。
· 為所分配的測試指定一個確定數量的測試周期的能力。
· 對擁有不同IP位址或域名的多個伺服器的同時測試能力。
注意 你可以使用多個主客戶端來同時測試多個伺服器。然而,如果你想把所有測試結果聯繫起來成為一個整體,則需要整理從各個WAS資料庫得到的數據
· 支持頁面在不同IP位址或域名間的重定向的能力。
· 從Web瀏覽器直接記錄SSL頁面的能力。
注意 WAS已經支持SSL頁面的測試,但是沒有記錄它們。你需要在腳本錄製完後,手工地為每個設計好的URL打開SSL支持。
雖然對這些限制有一些相應的解決辦法,但是如果你的套用依賴一個或多個這樣的功能的話,你也許不能完全享受WAS帶來的好。
不同套用
什麼是AQPreventionTamper?
AQPreventionTamper是WEB類防篡改系統,致力於解決政府、機關、醫療、院校、企業等十餘個行業的WEB安全問題,提供高效、安全、易用的WEB應用程式保護方案,以實時性,安全性,低消耗性,為客戶制定合理有效的WEB安全解決方案。
AQPreventionTamper通過實時監控、自動恢復、上傳腳本檔案隔離等功能為用戶Web站點提供安全保護,並可以通過日誌實現對WEB應用程式檔案變動情況進行監控,防止黑客、恐怖分子及網路病毒通過攻擊手段上傳腳本木馬,防止WEB應用程式的腳本檔案被破壞或非法修改,從而為客戶提供可靠的安全保障。
AQPreventionTamper採用事件觸發技術,與傳統的基於掃描技術、核心內嵌技術的WEB應用程式防護軟體相比較,在降低系統資源占用的同時,更將軟體的時間片提高至毫秒級,從而更加有效的對用戶Web站點進行保護。
AQPreventionTamper以服務方式運行,運行穩定,並且用戶無需對其進行額外的維護,只需要定期的查看防篡改日誌。
AQPreventionTamper對於維護政府和企業形象,保障網際網路業務的正常運營,有著卓越而顯著的成效。
AQPreventionTamper提供了實時的WEB應用程式腳本檔案監控功能。真正實現了報警與恢復的實時性,針對WEB應用程式腳本入侵事件,能迅速(毫秒級)的恢復被篡改的檔案。同時系統支持用戶靈活地自定義排除策略,將快取檔案排除在外。
系統服務、運行穩定
AQPreventionTamper以系統服務運行,僅需在伺服器的硬碟上將WEB應用程式的腳本檔案做一個備份,不需要額外的配置另外一台伺服器做備份,更不需要進行內外網的隔離發布。
監控對象
AQPreventionTamper監控的對象包括各類腳本檔案: .asp .php .aspx .jsp .asa .cer等,而對於無危害的圖片檔案和靜態頁面,防篡改並不進行防篡改保護,這樣對於靜態生成頁面的WEB應用程式,防篡改也能在不攔截正常檔案的情況下對其進行有效的保護。同時,對於利用iis和apache的解析漏洞建立的.asp .php後綴的資料夾也能進行有效的攔截和自動刪除。
AQPreventionTamper自動將非授權更改的腳本檔案隔離到backup資料夾內,通過對這些隔離檔案的甄別,可以有效的檢查到上傳的木馬檔案,聯繫WEB日誌,可以進一步的確定WEB應用程式漏洞的所在,進而對WEB應用程式漏洞進行修補。
套用平台
Windows系列作業系統:Windows2000、Windows2003、WindowsXP。
產品特性
實時性—對用戶Web套用系統實時監控與恢復;
低耗性—監控過程中不占用系統資源,不影響用戶其他正常使用;
靈活性—靈活的監控策略和伺服器聯動保護設定;
易用性—只需簡單的熟悉整體功能即可對WEB應用程式進行安全操作。
WebSphere Application Server V7
WebSphere Application Server V7 構建在早期版本的強大和穩定的核心之上,並具有若干新特性和增強功能。除了支持最新的標準和編程模型以外,V7 還包含系統管理、安裝和安全性方面的重要改進。總而言之,這些特性進一步擴展了 WebSphere Application Server 平台的覆蓋範圍、運行時管理功能和應用程式部署選項,以幫助您降低成本和進一步發展企業。
本概述將向您介紹這個新版本中的一些關鍵特性,這些特性使得該版本可以為您的 SOA 環境提供更加靈活和可靠的基礎。
標準
WebSphere Application Server V7 包括對以下技術的支持:
Java EE 5
WebSphere Application Server V7 中最值得注意的支持標準是 Java™ Platform, Enterprise Edition (Java EE) 5。WebSphere Application Server V7 提供了對 Java EE 5 規範的完全支持,包括以前在 V6.1 中作為功能包提供的 Web 服務和 EJB 3.0 功能。
如果您不熟悉 Java EE 5,這個最新版本的標準代表了 Java 企業編程模型的重大發展,在應用程式開發人員體驗方面帶來了可觀的改進,從而又在應用程式開發人員工作效率方面帶來了重大改進。經常用於描述 Java EE 5 編程模型的短語是逐漸披露 (progressive disclosure),這意味著迄今為止 Java EE 開發所必需的大部分“樣板”代碼已經消除。取而代之的是,最常用的應用程式上下文作為預設行為提供,然後通過使用注釋 (annotation),您可以根據需要覆蓋預設行為,從而獲得所需的實現。通過這種方式,應用程式將逐漸地僅構造至所需的程度。
WebSphere Application Server V7 還引入了對 Java Platform, Standard Edition (Java SE) 6 的支持。
依賴項注入
就覆蓋預設行為而言,開發人員的工作效率得到進一步提高,因為可以使用注釋而不是編寫代碼來方便快捷地完成預設行為覆蓋。注釋與稱為依賴項注入或反向控制(Inversion of Control,IoC)的編程模式結合使用,在該模式中,應用程式代碼只需聲明變數,並對它們進行注釋以表示所需的任何內容,然後容器將“注入”指定的對象或資源引用。
