was_在线百科全书查询
was
was是英文单词am(vi.是; v.aux.; abbr.)的第三人称单数过去式,同时也是多个英文词组的简称。
WAS简介
WAS是业界领先的安全专家服务,是一项针对web应用程序的安全服务,是基于应用系统整体架构的特性和其个性化得需求来提供有针对性的安全解决方案,通过来自一线的经验变成用户所需要的安全服务,从而保障web应用程序的安全,有效减少用户单位由于安全问题引起的不可估量的损失。
WAS的内容主要包括:
1.web程序全面代码分析,查找脚本后门。
2.web应用代码黑白盒测试,分析代码存在的安全缺陷。
3.针对存在的脚本后门,安全缺陷,制定合理有效的修补方案并予以实施。
4.web应用程序目录CAL权限更改,重新设置IIS等服务器配置,使安全性提高。
5.针对Mssql,MYSQL等数据库的运行特点,防止利用SQL提升权限。
6.更改服务上部分应用程序,增加系统隐蔽性和安全性。
7.合理配置网络数据库服务器,防止非法获取数据内容。
8.查看系统日志,了解系统以前运行情况。全面检查系统,防止之前有人入侵留下后门。
WAS的具体体现
代码审计
通过对应用程序的代码进行黑/白盒测试,定位程序脆弱点即漏洞所在根据漏洞对代码修复,清查恶意代码。
WEB应用程序代码发生功能变更等正常操作,及时对变更的代码进行安全审计,以保证整体代码的统一安全性。
服务器安全配置
服务器的安全配置包括访问权限、ACL规则的设置,对数据库进行完全配置删除不必要的存储过程。
关闭不需要的网络协议、默认共享。对磁盘目录设置相应的访问权限。部分第三方软件的漏洞。
防篡改软件安装
在确定系统安全、代码安全的情况下安装好AQPreventionTamper防篡改软件以确保web系统运行稳定。
以上内容为WAS的具体诠释。
WAS:伴湿疹血小板减少的免疫缺陷病,威斯科特-奥尔德里奇综合征(Wiskott-Aldrich syndrome,WAS).为X性连锁免疫缺陷病,发病机制是X染色体短臂编码WAS蛋白的基因缺陷。
使用WAS的好处
首先,我们来讨论一下使用WAS测试你的应用程序的好处。
它简单
WAS允许你以不同的方式创建测试脚本:你可以通过使用浏览器走一遍站点来录制脚本,可以从服务器的日志文件导入URL,或者从一个网络内容文件夹选择一个文件。当然,你也可以手工地输入URL来创建一个新的测试脚本。
不像其它的工具,你可以使用任何数量的客户端运行测试脚本,全部都有一个中央主客户端来控制。在每一个测试开始前,主客户机透明地执行以下任务:
与其他所有的客户机通讯
把测试数据分发给所有的客户端
在所有客户端同时初始化测试
从所有的客户端收集测试结果和报告
这个特性非常重要,尤其对于要测试一个需要使用很多客户端的服务器群的最大吞吐量时非常有用。
它的高可用性
WAS是被设计用于模拟Web浏览器发送请求到任何采用了HTTP1.0或1.1标准的服务器,而不考虑服务器运行的平台。
除了它的易用性外,WAS还有很多其它的有用的特性,包括:
对于需要署名登录的网站,它允许创建用户帐号。
允许为每个用户存储cookies 和Active Server Pages (ASP) 的session信息
支持随机的或顺序的数据集,以用在特定的名字-值对
支持带宽调节和随机延迟(“思考的时间”)以更真实地模拟显示情形。
支持Secure Sockets Layer (SSL)协议
允许URL分组和对每组的点击率的说明
提供一个对象模型,可以通过Microsoft Visual Basic® Scripting Edition (VBScript)处理或者通过定制编程来达到开启,结束和配置测试脚本的效果。
WAS支持任意协议监听器的可插拔式激活。WAS向所有类型的消息激活应用提供了智能化的资源管理、按需进程激活、健康状态监控和失效自动检测与回收。
WAS的缺陷
除了优势外,WAS的确有一些缺陷存在。当前知道的bug和有关事项都列在WAS的网站上了。以下是当前WAS不支持的特性:
以前面所发请求返回的结果为基础,修改URL参数的能力。
运行或模仿客户端逻辑的能力
为所分配的测试指定一个确定数量的测试周期的能力。
对拥有不同IP地址或域名的多个服务器的同时测试能力
注意 你可以使用多个主客户端来同时测试多个服务器。然而,如果你想把所有测试结果联系起来成为一个整体,则需要整理从各个WAS数据库得到的数据
支持页面在不同IP地址或域名间的重定向的能力
从Web浏览器直接记录SSL页面的能力
注意 WSA已经支持SSL页面的测试,但是没有记录它们。你需要在脚本录制完后,手工地为每个设计好的URL打开SSL支持
虽然对这些限制有一些相应的解决办法,但是如果你的应用依赖一个或多个这样的功能的话,你也许不能完全享受WAS带来的好
什么是AQPreventionTamper?
AQPreventionTamper是WEB类防篡改系统,致力于解决政府、机关、医疗、院校、企业等十余个行业的WEB安全问题,提供高效、安全、易用的WEB应用程序保护方案,以实时性,安全性,低消耗性,为客户制定合理有效的WEB安全解决方案。
AQPreventionTamper通过实时监控、自动恢复、上传脚本文件隔离等功能为用户Web站点提供安全保护,并可以通过日志实现对WEB应用程序文件变动情况进行监控,防止黑客、恐怖分子及网络病毒通过攻击手段上传脚本木马,防止WEB应用程序的脚本文件被破坏或非法修改,从而为客户提供可靠的安全保障。
AQPreventionTamper采用事件触发技术,与传统的基于扫描技术、核心内嵌技术的WEB应用程序防护软件相比较,在降低系统资源占用的同时,更将软件的时间片提高至毫秒级,从而更加有效的对用户Web站点进行保护。
AQPreventionTamper设计的理念:防止脚本木马的入侵,从而防止黑客的权限提升。WEB应用程序的运行主要是脚本文件的执行,普通的js文件、图片文件和静态html文件并不经过解析执行,也不会对WEB应用程序的安全造成任何的影响,所以防篡改监控的主要对象是WEB应用程序的脚本文件,而对js、图片、静态页面并不进行无意义的防篡改保护,同时,对于生成静态页面式的WEB应用程序也就不存在拦截的情况发生了。
AQPreventionTamper以服务方式运行,运行稳定,并且用户无需对其进行额外的维护,只需要定期的查看防篡改日志。
AQPreventionTamper对于维护政府和企业形象,保障互联网业务的正常运营,有着卓越而显著的成效。
AQPreventionTamper提供了实时的WEB应用程序脚本文件监控功能。真正实现了报警与恢复的实时性,针对WEB应用程序脚本入侵事件,能迅速(毫秒级)的恢复被篡改的文件。同时系统支持用户灵活地自定义排除策略,将缓存文件排除在外。
系统服务、运行稳定
AQPreventionTamper以系统服务运行,仅需在服务器的硬盘上将WEB应用程序的脚本文件做一个备份,不需要额外的配置另外一台服务器做备份,更不需要进行内外网的隔离发布。
监控对象
AQPreventionTamper监控的对象包括各类脚本文件: .asp .php .aspx .jsp .asa .cer等,而对于无危害的图片文件和静态页面,防篡改并不进行防篡改保护,这样对于静态生成页面的WEB应用程序,防篡改也能在不拦截正常文件的情况下对其进行有效的保护。同时,对于利用iis和apache的解析漏洞建立的.asp .php后缀的文件夹也能进行有效的拦截和自动删除。
AQPreventionTamper自动将非授权更改的脚本文件隔离到backup文件夹内,通过对这些隔离文件的甄别,可以有效的检查到上传的木马文件,联系WEB日志,可以进一步的确定WEB应用程序漏洞的所在,进而对WEB应用程序漏洞进行修补。
应用平台
Windows系列操作系统:Windows2000、Windows2003、WindowsXP。
产品特性
实时性—对用户Web应用系统实时监控与恢复;
低耗性—监控过程中不占用系统资源,不影响用户其他正常使用;
灵活性—灵活的监控策略和服务器联动保护设置;
易用性—只需简单的熟悉整体功能即可对WEB应用程序进行安全操作。
WebSphere Application Server V7
WebSphere Application Server V7 构建在早期版本的强大和稳定的核心之上,并具有若干新特性和增强功能。除了支持最新的标准和编程模型以外,V7 还包含系统管理、安装和安全性方面的重要改进。总而言之,这些特性进一步扩展了 WebSphere Application Server 平台的覆盖范围、运行时管理功能和应用程序部署选项,以帮助您降低成本和进一步发展企业。
本概述将向您介绍这个新版本中的一些关键特性,这些特性使得该版本可以为您的 SOA 环境提供更加灵活和可靠的基础。
标准
WebSphere Application Server V7 包括对以下技术的支持:
Java EE 5
WebSphere Application Server V7 中最值得注意的支持标准是 Java™ Platform, Enterprise Edition (Java EE) 5。WebSphere Application Server V7 提供了对 Java EE 5 规范的完全支持,包括以前在 V6.1 中作为功能包提供的 Web 服务和 EJB 3.0 功能。
如果您不熟悉 Java EE 5,这个最新版本的标准代表了 Java 企业编程模型的重大发展,在应用程序开发人员体验方面带来了可观的改进,从而又在应用程序开发人员工作效率方面带来了重大改进。经常用于描述 Java EE 5 编程模型的短语是逐渐披露 (progressive disclosure),这意味着迄今为止 Java EE 开发所必需的大部分“样板”代码已经消除。取而代之的是,最常用的应用程序上下文作为缺省行为提供,然后通过使用注释 (annotation),您可以根据需要覆盖缺省行为,从而获得所需的实现。通过这种方式,应用程序将逐渐地仅构造至所需的程度。
WebSphere Application Server V7 还引入了对 Java Platform, Standard Edition (Java SE) 6 的支持。
依赖项注入
就覆盖缺省行为而言,开发人员的工作效率得到进一步提高,因为可以使用注释而不是编写代码来方便快捷地完成缺省行为覆盖。注释与称为依赖项注入或反向控制(Inversion of Control,IoC)的编程模式结合使用,在该模式中,应用程序代码只需声明变量,并对它们进行注释以表示所需的任何内容,然后容器将“注入”指定的对象或资源引用。
