AWS 新特性 WAF：加固不安全 Web 网站的安全性

正文

请到「今天看啥」查看全文

就 WAF 这类通用工具是否可以成功地加固那些不安全的 Web 应用这一问题，InfoQ 采访了 Mark Nunnikhoven。Mark 是 Trend Micro 云技术研究部门的副总，也是一位 AWS 社区英雄（Community Hero）。

InfoQ：你认为近期高调出现的一些违规行为是否能被 WAF 这样的工具所阻止？

Mark Nunnikhoven： 违规行为的发生是有一系列的原因，但常见的是利用 Web 应用的漏洞。跨站脚本攻击 (Cross Site Scripting) 和 SQL 注入攻击持续是被攻击者所采用的一些特别有效的方法。AWS WAF 对这些攻击方法非常有效。WAF 在设计上就是分析 Web 应用流量并查找异常，它对于用户的 Web 应用是一种简单并有效的防御层。

InfoQ：“OWASP 的十大安全漏洞”是很多安全规划、审计和 WAF 等工具的关注点。是否能解决这十大安全漏洞就足矣？或者为了加固 Web 应用，还需要考虑更多的问题？

Nunnikhoven：“OWASP 的十大安全漏洞”近期做了一些更新，但令人沮丧的是改动并不大。开发人员继续在犯着同样的错误，平台也继续在暴露类似的问题。安全问题具有长尾效应，十大安全漏洞只是给出一些最大的关注点。如果一个应用能很好地解决这十个领域问题，那么该应用就具有着坚实的安全基础。如果用户还没有率先解决这些基础的问题，那么完全没有必要去操心那些不太可能会影响到自身应用及用户的未知攻击。

请到「今天看啥」查看全文