Dans le marché’d'aujourd'hui s, à travers tous les segments d'industrie, les entreprises se rendent compte que la transformation aux e-affaires est exigée pour demeurer concurrentielle. Les analystes prévoient que des compagnies ne faisant pas les changements nécessaires seront débordées par leur concurrence. Pendant que les entreprises autour du monde subissent des transformations, elles accroissent de plus en plus des technologies d'Internet pour aider :
|
|
Élargissez leurs marchés en prolongeant leur extension globalement.
Entrez dans les nouveaux secteurs d'activité par des collaborations ou des services augmentés rendus possibles avec des interactions de Web-based.
Augmentez la productivité des employés en fournissant un accès plus facile à l'information et aux services de corporation.
Réduisez les coûts par les opérations améliorées qui intègrent l'accès de Web et traditionnel IL des systèmes
La transformation d'e-affaires change non seulement le paysage concurrentiel, il change la nature même de la façon dont les entreprises regardent la sécurité. La sécurité de données et de transaction est d'importance primordiale dans cet âge d'augmenter rapidement les réseaux informatiques commerciaux et publics et l'économie naissante d'Internet. Pour une transformation d'e-affaires à être réussie, le rôle que les jeux de sécurité doit devenir une première priorité à chaque compagnie qui se sert de la technologie de l'information.
En d'autres termes, l'Internet a changé pour toujours la manière que les affaires obtiennent faites. les applications E-commerce-basées permettent l'interaction parmi des clients, des perspectives, et des associés. Malheureusement, beaucoup d'applications e-commerce-basées ont des vulnérabilités inhérentes et des pailles de conception sécurité-orientées. les attaques Internet-basées exploitent ces faiblesses pour compromettre des emplacements et pour accéder aux systèmes critiques.
La conscience de sécurité pour des applications e-commerce-basées est, donc, essentielle à un maintien’global de sécurité de l'organisation s. La clef à un programme réussi est une approche à l'évaluation de vulnérabilité (VA), un système de détection d'intrusion (identifications), et une corrélation intégrés et multicouche d'événement.
La présente partie de l'article accentue très brièvement des menaces naissantes spécifiques à la sécurité d'application d'e-commerce et fournit des conseils aux approches efficaces à la protection d'application d'e-commerce. les applications d'E-commerce exigent une nouvelle approche aux catégories de menace. Néanmoins, à applications relatives améliorées d'e-commerce de sécurité peuvent être facilement réalisées par l'efficace accroissent des solutions existantes de logiciel.
Pendant que les entreprises ouvrent leurs réseaux aux associés, aux clients, et à leur main d'oeuvre mobile, elles augmentent de manière significative la valeur et la vulnérabilité de leurs capitaux en ligne. Les incidents de sécurité sont coûteux, avec des organismes perdant la productivité aussi bien qu'éprouver l'interruption d'affaires, l'exposition légale, et la responsabilité d'actionnaire. La fusion et des soucis de la diligence et de l'assurabilité d'acquisition, aussi bien que des conditions de normalisation, produisent encore d'une plus large conscience que la protection de l'information est un besoin critique.
La plupart des organismes ont déjà un certain degré de murs à l'épreuve du feu en ligne d'infrastructure—de sécurité, systèmes de détection d'intrusion, logiciel d'exploitation durcissant des procédures, et ainsi de suite. Le problème est qu'ils donnent sur souvent la nécessité de fixer et vérifier l'intégrité des applications intérieurement développées et des pages codées contre des attaques externes. Dans ces circonstances, la manipulation simple du code de client ou les données, telles que le prix des marchandises dans une application en ligne ou l'envoi de panier à provisions des données corrompues et incorrectes au serveur peut mener aux transactions ou au vol frauduleuses d'information confidentielle. Un arrangement des techniques de manipulation combinées avec l'essai rigoureux de sécurité de client-côté mènera à une plus grande sécurité.
Les attaques directes contre des applications d'e-commerce par la manipulation de leurs vulnérabilités inhérentes ont la banalité devenue due à la facilité relative. L'essai rigoureux, de client-côté de sécurité et un arrangement des techniques de manipulation est essentiel à identifier les points potentiels d'échec d'applications d'e-commerce.
Les méthodes d'attaque les plus répandues sur des applications incluent des attaques de débordement d'amortisseur, l'exploitation des privilèges composants d'application, et la manipulation de client-côté. Sur l'OS du serveur’s d'e-commerce, plusieurs sous-catégories d'applications existent dans quelles vulnérabilités peuvent être exploitées, y compris ce qui suit :
Base de données : Vulnérabilités d'application de base de données pour le serveur, l'oracle, le Sybase, et l'IBM de Microsoft SQL DB2, y compris des bogues, misconfigurations, et mots de passe de default/blank
Web et serveur d'application : Vulnérabilités pour le cgi, le Java, le Xquery, les dossiers de défaut, et d'autres ressources appelées par des applications, aussi bien que les serveurs de Web (IIS, Apache) et les environnements de développement (ColdFusion, etc...)
Emplacement et application de Web : Applications de HTML et de XML ; les fonctions d'évaluation incluent le Web rampant et étape-à travers l'essai
Le VA, le point de départ pour ce processus, est extrêmement important pour la découverte et des vulnérabilités d'identification. Ce processus permet à une organisation d'arrêter des services inutilisés, d'identifier et raccorder le logiciel vulnérable, et de prendre les décisions instruites au sujet dont les éléments de l'infrastructure globale exigent les mesures de protection les plus étendues.
L'information obtenue par le VA aide l'installation sensiblement plus de l'exécution efficace d'identifications et permet aux identifications d'introduire l'information d'attaque et d'abus de nouveau dans le processus de VA pour s'assurer que des pénétrations réussies ne peuvent pas être répétées. Ce processus a lieu au réseau, au serveur, au dessus de bureau, et aux niveaux d'application, et peut en plus être employé pour valider qu'un système de protection d'intrusion est en place et fonctionnel.
En conclusion, il peut être extrêmement difficile pour n'importe quelle application automatisée d'audit et d'évaluation pour savoir les applications faites sur commande répondront à la manipulation de biscuit, à la manipulation de champ de forme, et à d'autres menaces d'application d'e-commerce sans effectuer un complet, lien-à-lien, évaluation spécifique à l'application. C'est une analyse longue et interactive mieux exécutée par quelqu'un avec la sécurité et la connaissance de développement de Web—un ensemble rarement combiné de compétence. Les organismes peuvent devoir consacrer le personnel additionnel entièrement pour réaliser et tirer profit des résultats promis par une telle analyse, ou pour externaliser la revue pour accroître la sécurité et l'expertise de programmation d'application d'une organisation avec la spécialisation appropriée de qualifications.
Online: 494 users browsing the articles directory
|
|