2018年04月16日
根據Akamai發布的最新數據顯示,針對Web應用程序的攻擊正在增加,2017年第四季度的Web應用程序攻擊數量與2016年同期相比增加了10%。
該公司的高級安全倡導者Martin McKeay在其最近的《互聯網安全狀態報告》中寫道,絕大多數的Web應用程序攻擊都是非目標掃描尋找易受攻擊系統的結果,但也有少數攻擊者試圖破壞特定目標。但是,無論是有目標還是無目標的Web應用程序攻擊都是非常頻繁且“難辨的”——換句話說,就是很難準確檢測到,很多組織都只是簡單地運行著Web應用程序防火墻,沒有任何額外防御層來檢測系統究竟丟失了哪些信息。
組織需要改進他們的安全編碼實踐以降低自身在網絡中的安全風險。以下這份清單重點介紹了組織的Web應用程序所面臨的一些威脅:
1. SQL注入漏洞
Web應用程序大多涉及服務器端的動態處理,同時,開發人員可能在開發過程中疏忽參數的輸入檢查,因此會出現各種Web應用安全問題,并產生相關漏洞,例如目錄遍歷漏洞、信息泄露漏洞以及SQL注入漏洞等,給攻擊者留下可乘之機。
而由于SQL注入漏洞利用Web應用開放的端口,通常防火墻等設備無法檢測到,所以其隱蔽性非常高,如果攻擊者不留下痕跡,或是管理員沒有查看數據庫日志的習慣,就基本上不會發現其存在。
自安全研究人員Jeff Forrestal首次詳細介紹了第一個SQL注入漏洞至今,已經過去了20余年。但是,即便是現在,SQL注入仍然是大量網站和Web應用程序的重要威脅。根據美國國家漏洞數據庫(NVD)的統計數據顯示,SQL注入在針對Web應用程序攻擊手段中名列榜首,是互聯網的安全漏洞。
此外,根據Alert Logic發布的另一項最新研究顯示,SQL注入攻擊仍然是長期以來主要的Web攻擊類型,其在安全監控公司跟蹤的所有客戶攻擊事件中占據55%
2. 不安全的反序列化
序列化就是把對象轉換成一種數據格式,如Json、XML等文本格式或二進制字節流格式,便于保存在內存、文件、數據庫中或者在網絡通信中進行傳輸。反序列化是序列化的逆過程,即由保存的文本格式或字節流格式還原成對象。
很多編程語言都提供了這一功能,但不幸的是,如果應用代碼允許接受不可信的序列化數據,在進行反序列化操作時,可能會產生反序列化漏洞,黑客可以利用它進行拒絕服務攻擊、訪問控制攻擊和遠程命令執行攻擊。
事實上,反序列化漏洞已經出現很久了,一直到現在都很流行,以致OWASP組織將“不安全的反序列化”列為2017年10項嚴重的Web應用程序安全風險榜的第8位。針對不安全的反序列化的攻擊所能造成的破壞類型明顯的例子之一,就是2017年Equifax公司發生的大規模泄漏事件,據悉,Equifax公司正是由于未安裝補丁以修復Apache Struts中的相關安全漏洞,才導致于去年夏季發生了大規模的數據泄露事件。
3.沒有內容安全策略來阻止XSS
跨站點腳本(XXS)是一種常見的向量,可以將惡意代碼插入到易受攻擊的Web應用程序中。與其他Web攻擊類型(如SQLi)不同,其目標不是您的Web應用程序。相反地,它針對的是您的用戶,從而損害客戶安全以及組織的聲譽。
不過,與SQLi一樣的是,XSS也已經存在了很長一段時間,且至今仍在威脅組織安全。正如Mozilla的April King所解釋的那樣,阻止XSS攻擊有效的方法之一就是使用內容安全策略(Content Security Policy,簡稱CSP),該策略的普及率已經實現了大幅的增長,但仍然很少被大多數網站使用。
江蘇國駿--幫您落實“業務不停、數據不丟、管理不難”的整體信息安全目標!(CIA)
產品方案應用:網絡安全,數據安全,運維管理;
人員能力提升:崗位評估,培訓認證,意識教育;
制度流程落地:制度建設,合規檢查,追責溯源;
專業服務保障:顧問咨詢,風險測評,安全加固。