解析Web應(yīng)用程序安全“三宗罪”!
2018年04月16日
根據(jù)Akamai發(fā)布的最新數(shù)據(jù)顯示��,針對Web應(yīng)用程序的攻擊正在增加����,2017年第四季度的Web應(yīng)用程序攻擊數(shù)量與2016年同期相比增加了10%����。
該公司的高級安全倡導(dǎo)者Martin McKeay在其最近的《互聯(lián)網(wǎng)安全狀態(tài)報(bào)告》中寫道,絕大多數(shù)的Web應(yīng)用程序攻擊都是非目標(biāo)掃描尋找易受攻擊系統(tǒng)的結(jié)果��,但也有少數(shù)攻擊者試圖破壞特定目標(biāo)��。但是�����,無論是有目標(biāo)還是無目標(biāo)的Web應(yīng)用程序攻擊都是非常頻繁且“難辨的”——換句話說���,就是很難準(zhǔn)確檢測到���,很多組織都只是簡單地運(yùn)行著Web應(yīng)用程序防火墻��,沒有任何額外防御層來檢測系統(tǒng)究竟丟失了哪些信息�����。
組織需要改進(jìn)他們的安全編碼實(shí)踐以降低自身在網(wǎng)絡(luò)中的安全風(fēng)險(xiǎn)�。以下這份清單重點(diǎn)介紹了組織的Web應(yīng)用程序所面臨的一些威脅:
1. SQL注入漏洞
Web應(yīng)用程序大多涉及服務(wù)器端的動(dòng)態(tài)處理���,同時(shí)��,開發(fā)人員可能在開發(fā)過程中疏忽參數(shù)的輸入檢查��,因此會(huì)出現(xiàn)各種Web應(yīng)用安全問題��,并產(chǎn)生相關(guān)漏洞����,例如目錄遍歷漏洞��、信息泄露漏洞以及SQL注入漏洞等�����,給攻擊者留下可乘之機(jī)。
而由于SQL注入漏洞利用Web應(yīng)用開放的端口����,通常防火墻等設(shè)備無法檢測到,所以其隱蔽性非常高�,如果攻擊者不留下痕跡,或是管理員沒有查看數(shù)據(jù)庫日志的習(xí)慣���,就基本上不會(huì)發(fā)現(xiàn)其存在����。
自安全研究人員Jeff Forrestal首次詳細(xì)介紹了第一個(gè)SQL注入漏洞至今����,已經(jīng)過去了20余年���。但是���,即便是現(xiàn)在,SQL注入仍然是大量網(wǎng)站和Web應(yīng)用程序的重要威脅��。根據(jù)美國國家漏洞數(shù)據(jù)庫(NVD)的統(tǒng)計(jì)數(shù)據(jù)顯示��,SQL注入在針對Web應(yīng)用程序攻擊手段中名列榜首,是互聯(lián)網(wǎng)的安全漏洞��。
此外��,根據(jù)Alert Logic發(fā)布的另一項(xiàng)最新研究顯示�����,SQL注入攻擊仍然是長期以來主要的Web攻擊類型���,其在安全監(jiān)控公司跟蹤的所有客戶攻擊事件中占據(jù)55%
2. 不安全的反序列化
序列化就是把對象轉(zhuǎn)換成一種數(shù)據(jù)格式�����,如Json�����、XML等文本格式或二進(jìn)制字節(jié)流格式�����,便于保存在內(nèi)存��、文件�����、數(shù)據(jù)庫中或者在網(wǎng)絡(luò)通信中進(jìn)行傳輸��。反序列化是序列化的逆過程��,即由保存的文本格式或字節(jié)流格式還原成對象��。
很多編程語言都提供了這一功能�,但不幸的是,如果應(yīng)用代碼允許接受不可信的序列化數(shù)據(jù)����,在進(jìn)行反序列化操作時(shí),可能會(huì)產(chǎn)生反序列化漏洞���,黑客可以利用它進(jìn)行拒絕服務(wù)攻擊、訪問控制攻擊和遠(yuǎn)程命令執(zhí)行攻擊���。
事實(shí)上��,反序列化漏洞已經(jīng)出現(xiàn)很久了��,一直到現(xiàn)在都很流行���,以致OWASP組織將“不安全的反序列化”列為2017年10項(xiàng)嚴(yán)重的Web應(yīng)用程序安全風(fēng)險(xiǎn)榜的第8位��。針對不安全的反序列化的攻擊所能造成的破壞類型明顯的例子之一����,就是2017年Equifax公司發(fā)生的大規(guī)模泄漏事件���,據(jù)悉���,Equifax公司正是由于未安裝補(bǔ)丁以修復(fù)Apache Struts中的相關(guān)安全漏洞,才導(dǎo)致于去年夏季發(fā)生了大規(guī)模的數(shù)據(jù)泄露事件��。
3.沒有內(nèi)容安全策略來阻止XSS
跨站點(diǎn)腳本(XXS)是一種常見的向量�����,可以將惡意代碼插入到易受攻擊的Web應(yīng)用程序中��。與其他Web攻擊類型(如SQLi)不同�,其目標(biāo)不是您的Web應(yīng)用程序。相反地����,它針對的是您的用戶���,從而損害客戶安全以及組織的聲譽(yù)。
不過�,與SQLi一樣的是,XSS也已經(jīng)存在了很長一段時(shí)間��,且至今仍在威脅組織安全��。正如Mozilla的April King所解釋的那樣�����,阻止XSS攻擊有效的方法之一就是使用內(nèi)容安全策略(Content Security Policy�����,簡稱CSP)�,該策略的普及率已經(jīng)實(shí)現(xiàn)了大幅的增長,但仍然很少被大多數(shù)網(wǎng)站使用�。
江蘇國駿--幫您落實(shí)“業(yè)務(wù)不停����、數(shù)據(jù)不丟、管理不難”的整體信息安全目標(biāo)?��。?/span>CIA)
產(chǎn)品方案應(yīng)用:網(wǎng)絡(luò)安全�,數(shù)據(jù)安全,運(yùn)維管理�����;
人員能力提升:崗位評估�,培訓(xùn)認(rèn)證,意識教育�����;
制度流程落地:制度建設(shè)����,合規(guī)檢查,追責(zé)溯源��;
專業(yè)服務(wù)保障:顧問咨詢�,風(fēng)險(xiǎn)測評,安全加固�。
