请选择 进入手机版 | 继续访问电脑版

你告诉我

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 98|回复: 0

盘点Web应用程序安全“七宗罪”

[复制链接]

239

主题

240

帖子

863

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
863
发表于 2018-4-13 22:09:19 | 显示全部楼层 |阅读模式
Canthink的最新数据显示,针对Web应用程序的攻击正在增加,2017年第四季度的Web应用程序攻击数量与2016年同期相比增加了10%。本文将介绍Web应用程序所面临的一些最大威胁。


绝大多数的Web应用程序攻击都是非目标扫描寻找易受攻击系统的结果,但也有少数攻击者试图破坏特定目标。但是,无论是有目标还是无目标的Web应用程序攻击都是非常频繁且“难辨的”——换句话说,就是很难准确检测到,很多组织都只是简单地运行着Web应用程序防火墙,没有任何额外防御层来检测系统究竟丢失了哪些信息。

    SQL注入漏洞

Web应用程序大多涉及服务器端的动态处理,同时,开发人员可能在开发过程中疏忽参数的输入检查,因此会出现各种Web应用安全问题,并产生相关漏洞,例如目录遍历漏洞、信息泄露漏洞以及SQL注入漏洞等,给攻击者留下可乘之机。

而由于SQL注入漏洞利用Web应用开放的端口,通常防火墙等设备无法检测到,所以其隐蔽性非常高,如果攻击者不留下痕迹,或是管理员没有查看数据库日志的习惯,就基本上不会发现其存在。根据美国国家漏洞数据库(NVD)的统计数据显示,SQL注入在针对Web应用程序攻击手段中名列榜首,是互联网最大的安全漏洞。

    不安全的反序列化


序列化就是把对象转换成一种数据格式,如Json、XML等文本格式或二进制字节流格式,便于保存在内存、文件、数据库中或者在网络通信中进行传输。反序列化是序列化的逆过程,即由保存的文本格式或字节流格式还原成对象。

很多编程语言都提供了这一功能,但不幸的是,如果应用代码允许接受不可信的序列化数据,在进行反序列化操作时,可能会产生反序列化漏洞,黑客可以利用它进行拒绝服务攻击、访问控制攻击和远程命令执行攻击。

    依赖有风险的开源组件


在Equifax数据泄露事件中,攻击者所利用的反序列化漏洞并非存在于底层软件代码本身。相反的,它是存在于广泛使用的Apache Struts组件之中。

这突出体现了Web应用安全中的另一个致命隐患——即依赖有风险且未打补丁的开源组件。开发商越来越多地使用开源组件来构建他们的软件,而且通常不去跟踪哪个组件被部署到了哪些地方,更不用说跟踪哪些版本被使用以及这些组件本身是否依赖于其他易受攻击的组件。

    没有内容安全策略来阻止XSS


跨站点脚本(XXS)是一种常见的向量,可以将恶意代码插入到易受攻击的Web应用程序中。与其他Web攻击类型(如SQLi)不同,其目标不是您的Web应用程序。相反地,它针对的是您的用户,从而损害客户安全以及组织的声誉。

不过,与SQLi一样的是,XSS也已经存在了很长一段时间,且至今仍在威胁组织安全,阻止XSS攻击最有效的方法之一就是使用内容安全策略(CSP),该策略的普及率已经实现了大幅的增长,但依旧很少被大多数网站使用。

    信息泄露助力黑客攻击


所有应用程序中有65.8%会显示有关应用程序、网络环境或用户的敏感信息,这些信息可能会被恶意行为者用于当前的或未来的针对应用程序的攻击活动。

根据泄露信息的具体内容,其危害程度也不尽相同,它可能与泄露的用户名和密码一样严重,也可能与泄露的软件版本号一样是‘良性的’。好消息是,它通常只需要进行一个简单的重新配置修复,但修复通常取决于泄露的数据类型——敏感的泄露问题得到了解决,其他的问题则没有。

问题在于,即使像软件版本号这样“良性的”泄漏事件也会为黑客的攻击行为带来启示。通常而言,即使是再小的信息泄露也可以为恶意行为者提供可用于构建未来攻击蓝图的信息。

    API缺陷


近些年来,API越来越流行,开发人员在构建应用程序时开始更频繁地使用它们,作为将其服务或数据提供给其他应用程序的一种方式。但是不幸的是,它们正在被实现到Web应用程序中,且完全忽略了安全问题。让情况变得更糟的是,欠缺保护的API往往并非传统应用安全测试过程的一部分。

这可能就是OWASP去年将“不受保护的API”列入其“web应用程序十大安全风险”榜单前十名的原因。随着越来越多的组织将API用作当今DevOps商店所青睐的各种轻量级快速部署软件之间的“润滑剂”,这种威胁势必会引发更为广泛的关注。

    忽略传输层保护


在Alexa排名前一百万(Top 1M)网站中,大约有54.3%的网站使用了HTTPS,这一比例较去年夏天增长了19%。但是,这依旧意味着还有大约一半的顶级网站仍在使用落后且不安全的HTTP协议。

所以可以说,想要实现让大多数网站禁用HTTP的目标,依旧还有很长的路要走。这一过程需要通过HSTS实现,它是国际互联网工程组织IETE正在推行一种新的Web安全协议,旨在帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本,强制客户端(如浏览器)使用HTTPS与服务器创建连接。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|你告诉我 ( 新ICP备15001582号-3 )

GMT+8, 2018-4-24 16:19 , Processed in 0.035100 second(s), 25 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表