如何快速解决应用安全漏洞，赋予应用自我防护能力？

近期，某单位信息主管遇到一件非常棘手的事情。该单位的网站和应用系统被其主管部门检查时，发现存在大量安全漏洞，其中包括多个sql注入漏洞、webshell漏洞和wordpress漏洞。由于该单位的网站已经使用了三年，超出了维护期。当联系开发商时，开发商表示预估工作量需要一周的时间，并且其中一个sql注入漏洞是第三方组件导致的，他们无法修补。同时，在漏洞修复前的一周时间里需要关闭网站服务，这会对公司的业务及形象产生严重的不良影响。

考虑到网站漏洞修复时间过长和对公司业务造成的影响过大，该单位对开发商给出的解决方案并不那么满意，于是寻求山东道普测评技术有限公司（山东省软件评测中心改制成立）协助解决网络安全问题。

经过沟通，山东道普了解了其具体情况后，首先对该单位网站进行应用软件安全主动防护系统部署，通过虚拟补丁的方式对sql注入漏洞、webshell漏洞进行主动检测防护。同时，升级到最新版本的方式解决wordpress漏洞。一般当黑客上传后门，通常会访问敏感文件，比如服务器配置信息、管理员执行的命令记录，下载数据库，尝试入侵更多机器，应用软件安全主动防护系统正是通过部署文件和数据库探针，能够准确的识别上述恶意行为并进行拦截。在网络安全专家的努力下，在半天内成功将该单位网站恢复正常使用。

当前，面临复杂多变的应用安全风险，各单位普遍存在以下几种问题：

（1）程序完成的太久远，找不到源代码；

（2）发现的应用漏洞数量太多；

（3）缺少安全专家去推动SSDLC；

（4）开发团队缺乏安全经验；

（5）第三方供应商的漏洞修复周期长；

（6）系统中存在未知的漏洞。

“应用软件安全主动防御系统”采用基于行为的分析技术，结合上下文环境判别攻击，最大限度降低误报率、漏报率，以虚拟补丁的方式无需修改代码即可实现各类漏洞的及时修复，通过注入应用运行时虚拟机环境真正实现0绕过率，有效降低各类应用安全风险，赋予应用自我防护能力。