欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 新聞 > 國(guó)內(nèi) >
 首頁(yè) > 新聞 > 國(guó)內(nèi) >

OWASP發(fā)布 2017 Top 10 Web應(yīng)用安全威脅

--Web 安全防護(hù)正當(dāng)時(shí)

2017-11-30 10:24:38   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:

  近日,開(kāi)放式 Web 應(yīng)用程序安全項(xiàng)目(OWASP)發(fā)布了最終版 2017 Top 10 榜單。Top 10 項(xiàng)目幫助企業(yè)組織找出所面臨的最嚴(yán)重的風(fēng)險(xiǎn),成為全球 Web 開(kāi)發(fā)和運(yùn)維人員的必讀指南。
  • A1 注入攻擊漏洞     A6 安全配置錯(cuò)誤
  • A2 失效的身份認(rèn)證  A7 跨站腳本 XSS
  • A3 敏感信息泄露    A8 不安全反序列化漏洞
  • A4  XXE 漏洞    A9 使用含有已知漏洞的組件
  • A5 失效的訪問(wèn)控制    A10 不足的記錄和監(jiān)控
  在 2017 威脅榜單中,注入攻擊漏洞仍然位居 Top 10 威脅之首,而 XSS 的威脅程度從 A3 降到了 A7。敏感信息泄露、安全配置錯(cuò)誤、失效的訪問(wèn)控制等威脅均有提升,值得企業(yè)重視。
  與此同時(shí),榜單中還出現(xiàn)了一些新的安全威脅,包括 XXE 漏洞(A4:2017, XML External Entity attack)、針對(duì) Java 平臺(tái)的不安全反序列化漏洞(A8:2017, Insecure Deserialization)以及記錄和監(jiān)控不足風(fēng)險(xiǎn)(A10:2017, Insufficient Logging & Monitoring)等,這些新興的安全威脅也值得企業(yè)重點(diǎn)關(guān)注。
  隨著網(wǎng)貸、購(gòu)物和社交等一系列新型互聯(lián)網(wǎng)產(chǎn)品的誕生,企業(yè)信息化的過(guò)程中越來(lái)越多的應(yīng)用都架設(shè)在 Web 平臺(tái)上,接踵而至的就是 Web 安全威脅的凸顯。
  大量黑客利用網(wǎng)站操作系統(tǒng)的漏洞和 Web 服務(wù)程序的 SQL 注入漏洞等得到 Web 服務(wù)器的控制權(quán)限,輕則篡改網(wǎng)頁(yè)內(nèi)容,重則竊取重要內(nèi)部數(shù)據(jù),更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼,使得網(wǎng)站訪問(wèn)者受到侵害。
  什么是 Web 應(yīng)用安全風(fēng)險(xiǎn)?
  如下圖所示,攻擊者可以通過(guò)應(yīng)用程序中許多不同的路徑和方法來(lái)危害您的業(yè)務(wù)或者企業(yè)組織。每種路徑方法都代表了一種風(fēng)險(xiǎn),有些路徑方法很容易被發(fā)現(xiàn)并利用,有些則很難被發(fā)現(xiàn)。
  為了確定您企業(yè)面臨的風(fēng)險(xiǎn),可以結(jié)合其產(chǎn)生的技術(shù)影響和對(duì)企業(yè)的業(yè)務(wù)影響,去評(píng)估威脅代理、攻擊向量和安全漏洞的可能性。
  接下來(lái),重點(diǎn)分析排名前三的 Web 安全威脅以及應(yīng)對(duì)方法:
  注入攻擊漏洞
  注入攻擊漏洞,例如 SQL、OS 以及 LDAP 注入。這些攻擊發(fā)生在當(dāng)不可信的數(shù)據(jù)作為命令或者查詢語(yǔ)句的一部分,被發(fā)送給解釋器的時(shí)候,攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙編輯器,以執(zhí)行計(jì)劃外的命令或者在未被恰當(dāng)授權(quán)時(shí)訪問(wèn)數(shù)據(jù)。
  檢查是否存在「注入漏洞」的方法
  最好的辦法就是確認(rèn)所有解釋器的使用都明確地將不可信數(shù)據(jù)從命令語(yǔ)句或查詢語(yǔ)句中區(qū)分出來(lái)。對(duì)于 SQL 調(diào)用,在所有準(zhǔn)備語(yǔ)句和存儲(chǔ)過(guò)程中使用綁定變量,并避免使用動(dòng)態(tài)查詢語(yǔ)句。
  檢查應(yīng)用程序是否安全使用解釋器的最快最有效的辦法是代碼審查,代碼分析工具能幫助安全分析者找到使用解釋器的代碼并追蹤應(yīng)用的數(shù)據(jù)流。
  可以執(zhí)行應(yīng)用程序的動(dòng)態(tài)掃描器能夠提供信息,幫助確認(rèn)一些可利用的注入漏洞是否存在。
  典型案例
  NextGEN Gallery 插件是眾所周知的 WordPress 相冊(cè)插件,這款插件功能強(qiáng)大,可以在博客中任意插入動(dòng)態(tài)圖片效果,提供了很完美的照片管理方法,在 WordPress 平臺(tái)上擁有過(guò)百萬(wàn)的安裝量。
  今年 3 月 NextGEN Gallery 插件被曝存在嚴(yán)重的 SQL 注入漏洞,影響上百萬(wàn)用戶,攻擊者利用 SQL 注入漏洞獲取了數(shù)據(jù)庫(kù)中包括用戶信息在內(nèi)的敏感數(shù)據(jù)。
  失效的身份認(rèn)證
  與身份認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能常常被錯(cuò)誤地實(shí)現(xiàn),攻擊者使用認(rèn)證管理功能中的漏洞,采用破壞密碼、密鑰、會(huì)話令牌去冒充其他用戶的身份。
  檢查是否存在「失效的身份認(rèn)證」的方法
  用戶身份驗(yàn)證憑證是否使用哈;蚣用鼙Wo(hù);是否可以通過(guò)薄弱的賬戶管理功能(例如賬戶創(chuàng)建、密碼修改、密碼修復(fù)、弱會(huì)話 ID)重寫(xiě)。
  會(huì)話 ID 暴露在 URL 里;會(huì)話 ID 沒(méi)有超時(shí)限制,用戶會(huì)話或身份驗(yàn)證令牌(特別是單點(diǎn)登錄令牌)在用戶注銷(xiāo)時(shí)沒(méi)有失效;密碼、會(huì)話 ID 和其他認(rèn)證憑據(jù)使用未加密鏈接傳輸?shù)取?/div>
  典型案例
  機(jī)票預(yù)訂應(yīng)用程序支持 URL 重寫(xiě),把當(dāng)前用戶的會(huì)話 ID 放在 URL 中:http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
  該網(wǎng)站一個(gè)經(jīng)過(guò)認(rèn)證的用戶希望讓他朋友知道這個(gè)機(jī)票打折信息。他將上面鏈接通過(guò)郵件發(fā)送給朋友們,并不知道已經(jīng)泄露了自己會(huì)話 ID. 當(dāng)他的朋友們使用上面的鏈接時(shí),可以輕而易舉地使用他的會(huì)話和信用卡。
  敏感信息泄露
  許多 Web 應(yīng)用程序沒(méi)有正確保護(hù)敏感數(shù)據(jù),如信用卡、身份證 ID 和身份驗(yàn)證憑據(jù)等。攻擊者可能會(huì)竊取或篡改這些弱保護(hù)的數(shù)據(jù)以進(jìn)行信用卡詐騙、身份竊取或其他犯罪。
  敏感數(shù)據(jù)需額外的保護(hù),比如在存放或在傳輸過(guò)程中進(jìn)行加密,以及在與瀏覽器交換時(shí)進(jìn)行特殊的預(yù)防措施。
  檢查是否存在「敏感信息泄露」的方法
  首選需要確認(rèn)哪些數(shù)據(jù)時(shí)敏感數(shù)據(jù)而需要被加密。當(dāng)這些數(shù)據(jù)被長(zhǎng)期存儲(chǔ)的時(shí)候,無(wú)論存儲(chǔ)在哪里,是否被加密和備份?
  無(wú)論內(nèi)部數(shù)據(jù)還是外部數(shù)據(jù),傳輸時(shí)是否是明文傳輸?是否還在使用舊的或者脆弱的加密算法?
  加密密鑰的生成是否缺少恰當(dāng)?shù)拿荑管理或缺少密鑰回轉(zhuǎn)?當(dāng)瀏覽器接收或發(fā)送敏感數(shù)據(jù)時(shí),是否有瀏覽器安全指令?
  典型案例
  一個(gè)網(wǎng)站上所有需要身份驗(yàn)證的網(wǎng)頁(yè)都沒(méi)有使用 SSL 加密。攻擊者只需要監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流(比如一個(gè)開(kāi)放的無(wú)線網(wǎng)絡(luò)或其社區(qū)的有限網(wǎng)絡(luò)),并竊取一個(gè)已驗(yàn)證的受害者的會(huì)話 Cookie. 攻擊者利用這個(gè) Cookie 執(zhí)行重放攻擊并接管用戶的會(huì)話,從而訪問(wèn)用戶的隱私數(shù)據(jù)。
  如何有效地防范 Web 應(yīng)用安全風(fēng)險(xiǎn)?
  安全防護(hù)要貫穿整個(gè) Web 應(yīng)用生命周期
  在 Web 開(kāi)發(fā)階段需要對(duì)代碼進(jìn)行核查,在測(cè)試階段需要對(duì)上線前的 Web 應(yīng)用做完整的安全檢查,在運(yùn)營(yíng)階段,建議在事前、事中和事后進(jìn)行分階段、多層面的完整防護(hù)。
  構(gòu)建以漏洞、事件生命周期閉環(huán)管理體系
  通過(guò)監(jiān)測(cè)系統(tǒng)平臺(tái)進(jìn)行漏洞生命周期的管理,包含漏洞掃描、人工驗(yàn)證、漏洞狀態(tài)的追蹤工作以及漏洞修復(fù)后的復(fù)驗(yàn)工作等,使漏洞管理流程化。
  提升安全管理人員工作能力
  安全管理崗位人員需要建立起信息安全管理的概念,清楚 Web 威脅的危害,掌握識(shí)別安全漏洞及風(fēng)險(xiǎn)的專(zhuān)用技術(shù),以及對(duì)安全問(wèn)題進(jìn)行加固處置的技能。
  查看和下載完整版報(bào)告:
  https://community.qingcloud.com/topic/1012
  青云QingCloud 對(duì)于 Web 安全防護(hù)整體解決方案的建議
  預(yù)防 Web 應(yīng)用安全,應(yīng)該在軟件開(kāi)發(fā)生命周期遵循安全編碼原則,并在各階段采取相應(yīng)的安全措施。對(duì)于已經(jīng)投入使用的 Web 應(yīng)用系統(tǒng),如何在運(yùn)行階段進(jìn)行有效的安全防護(hù)成為重點(diǎn)。
  QingCloud 建議對(duì) Web 應(yīng)用的安全威脅及業(yè)務(wù)運(yùn)維路徑采取以下安全措施進(jìn)行防護(hù):
  DDoS 防御
  DDoS 防御一般包含兩個(gè)方面:
  • 一是針對(duì)不斷發(fā)展的攻擊形式,尤其是采用多種欺騙技術(shù)的技術(shù),能夠有效地進(jìn)行檢測(cè);
  • 二是如何降低對(duì)業(yè)務(wù)系統(tǒng)的影響,從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。
  訪問(wèn)控制
  利用防火墻進(jìn)行訪問(wèn)控制,防止不必要的服務(wù)請(qǐng)求進(jìn)入網(wǎng)站系統(tǒng),減少被攻擊的可能性。利用 IP Sec/SSL VPN 實(shí)現(xiàn)對(duì)遠(yuǎn)程用戶的安全加密接入功能。
  應(yīng)用層防護(hù)
  通過(guò) Web 應(yīng)用防護(hù)系統(tǒng)可有效控制和緩解 HTTP 及 HTTPS 應(yīng)用下各類(lèi)安全威脅,如 SQL 注入、XSS、 跨站腳本(XSS)、Cookie 篡改以及應(yīng)用層 DDoS 等,有效應(yīng)對(duì)網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題,充分保障 Web 系統(tǒng)的高可用性和可靠性。
  系統(tǒng)安全加固
  通過(guò)安全評(píng)估系統(tǒng)找出主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備及其他設(shè)備系統(tǒng)中存在的補(bǔ)丁漏洞和配置漏洞,進(jìn)行加固,以保障系統(tǒng)的安全性。
  SSL 加密
  SSL 加密是在瀏覽器和 Web 服務(wù)器之間為應(yīng)用程序提供加密數(shù)據(jù)通道,SSL 數(shù)字證書(shū)是其代表應(yīng)用,SSL 證書(shū)可實(shí)現(xiàn)網(wǎng)站 HTTPS 化,使網(wǎng)站可信,防劫持、防篡改、防監(jiān)聽(tīng)。
  數(shù)據(jù)庫(kù)審計(jì)
  通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)所有訪問(wèn) Web 應(yīng)用系統(tǒng)引起的數(shù)據(jù)庫(kù)操作進(jìn)行精細(xì)化審計(jì),涵蓋可能訪問(wèn)數(shù)據(jù)的所有途徑,無(wú)論是外部訪問(wèn)還是云端數(shù)據(jù)庫(kù)管理員的訪問(wèn)。
  運(yùn)維安全審計(jì)
  通過(guò)堡壘機(jī)實(shí)現(xiàn)對(duì)所有運(yùn)維人員的操作進(jìn)行集中管控,對(duì)重要主機(jī)的操作做到實(shí)時(shí)跟蹤,形成可視化的操作日志,對(duì)于高風(fēng)險(xiǎn)的操作進(jìn)行實(shí)時(shí)的預(yù)警,全程審計(jì)運(yùn)維操作的每一個(gè)細(xì)節(jié)。
  青云QingCloud Web 應(yīng)用防火墻,通過(guò)云端大數(shù)據(jù)監(jiān)測(cè)和學(xué)習(xí)引擎,完美防范 Web 應(yīng)用攔截 SQL 注入、XSS 跨站腳本、網(wǎng)站掛馬、OWASP Top 10 等各類(lèi) Web 安全威脅,過(guò)濾海量惡意訪問(wèn),持續(xù)更新防護(hù)策略,從而降低網(wǎng)站資產(chǎn)和數(shù)據(jù)泄露的風(fēng)險(xiǎn),保障 Web 應(yīng)用的可用性。
   福利時(shí)間 
  12 月 12 日,青云QingCloud 下一代企業(yè)級(jí)云架構(gòu) ——「全模云」線上發(fā)布會(huì),活動(dòng)門(mén)票限量贈(zèng)送,點(diǎn)擊「閱讀原文」馬上獲取~
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專(zhuān)題