WAS是一項針對web應(yīng)用程序的安全服務(wù)，是基于應(yīng)用系統(tǒng)整體架構(gòu)的特性和其個性化的需求來提供有針對性的安全解決方案；可保障web應(yīng)用程序的安全，有效減少用戶單位由于安全問題引起的不可估量的損失。WAS的主要內(nèi)容：1、web程序全面代碼分析，查找腳本后門；2、web應(yīng)用代碼黑盒測試/白盒測試，分析代碼存在的安全缺陷；3、更改服務(wù)上部分應(yīng)用程序，增加系統(tǒng)隱蔽性和安全性。

本教程操作環(huán)境：windows7系統(tǒng)、CSS3&&HTML5版、Dell G3電腦。

HTML5中的WAS

WAS全稱“Websphere Application Server”，是一項針對web應(yīng)用程序的安全服務(wù)，是基于應(yīng)用系統(tǒng)整體架構(gòu)的特性和其個性化的需求來提供有針對性的安全解決方案，通過來自一線的經(jīng)驗變成用戶所需要的安全服務(wù)，從而保障web應(yīng)用程序的安全，有效減少用戶單位由于安全問題引起的不可估量的損失。

主要內(nèi)容

1.web程序全面代碼分析，查找腳本后門。

2.web應(yīng)用代碼黑盒測試/白盒測試，分析代碼存在的安全缺陷。

3.針對存在的腳本后門，安全缺陷，制定合理有效的修補方案并予以實施。

4.web應(yīng)用程序目錄CAL權(quán)限更改，重新設(shè)置IIS等服務(wù)器配置，使安全性提高。

5.針對Mssql，MYSQL等數(shù)據(jù)庫的運行特點，防止利用SQL提升權(quán)限。

6.更改服務(wù)上部分應(yīng)用程序，增加系統(tǒng)隱蔽性和安全性。

7.合理配置網(wǎng)絡(luò)數(shù)據(jù)庫服務(wù)器，防止非法獲取數(shù)據(jù)內(nèi)容。

8.查看系統(tǒng)日志，了解系統(tǒng)以前運行情況。全面檢查系統(tǒng)，防止之前有人入侵留下后門。

具體體現(xiàn)

• 代碼審計

  通過對應(yīng)用程序的代碼進行黑/白盒測試，定位程序脆弱點即漏洞所在根據(jù)漏洞對代碼修復(fù)，清查惡意代碼。

  WEB應(yīng)用程序代碼發(fā)生功能變更等正常操作，及時對變更的代碼進行安全審計，以保證整體代碼的統(tǒng)一安全性。

• 服務(wù)器安全配置

  服務(wù)器的安全配置包括訪問權(quán)限、ACL規(guī)則的設(shè)置，對數(shù)據(jù)庫進行完全配置刪除不必要的存儲過程。

  關(guān)閉不需要的網(wǎng)絡(luò)協(xié)議、默認共享。對磁盤目錄設(shè)置相應(yīng)的訪問權(quán)限。部分第三方軟件的漏洞。

• 防篡改軟件安裝

  在確定系統(tǒng)安全、代碼安全的情況下安裝好AQPreventionTamper防篡改軟件以確保web系統(tǒng)運行穩(wěn)定。

【推薦課程：HTML5視頻教程、web前端】