频道栏目
首页 > 安全 > 网络安全 > 正文

【网络安全】Web应用程序安全的“七宗罪”解析!

2018-04-13 03:53:59      个评论      
收藏   我要投稿

根据Akamai发布的最新数据显示,针对Web应用程序的攻击正在增加,2017年第四季度的Web应用程序攻击数量与2016年同期相比增加了10%。

该公司的高级安全倡导者Martin McKeay在其最近的《互联网安全状态报告》中写道,

绝大多数的Web应用程序攻击都是非目标扫描寻找易受攻击系统的结果,但也有少数攻击者试图破坏特定目标。但是,无论是有目标还是无目标的Web应用程序攻击都是非常频繁且“难辨的”——换句话说,就是很难准确检测到,很多组织都只是简单地运行着Web应用程序防火墙,没有任何额外防御层来检测系统究竟丢失了哪些信息。

\

组织需要改进他们的安全编码实践以降低自身在网络中的安全风险。以下这份清单重点介绍了组织的Web应用程序所面临的一些最大威胁:

1.SQL注入漏洞

\

Web应用程序大多涉及服务器端的动态处理,同时,开发人员可能在开发过程中疏忽参数的输入检查,因此会出现各种Web应用安全问题,并产生相关漏洞,例如目录遍历漏洞、信息泄露漏洞以及SQL注入漏洞等,给攻击者留下可乘之机。

而由于SQL注入漏洞利用Web应用开放的端口,通常防火墙等设备无法检测到,所以其隐蔽性非常高,如果攻击者不留下痕迹,或是管理员没有查看数据库日志的习惯,就基本上不会发现其存在。

自安全研究人员Jeff Forrestal首次详细介绍了第一个SQL注入漏洞至今,已经过去了20余年。但是,即便是现在,SQL注入仍然是大量网站和Web应用程序的重要威胁。根据美国国家漏洞数据库(NVD)的统计数据显示,SQL注入在针对Web应用程序攻击手段中名列榜首,是互联网最大的安全漏洞。

此外,根据Alert Logic发布的另一项最新研究显示,SQL注入攻击仍然是长期以来最主要的Web攻击类型,其在安全监控公司跟踪的所有客户攻击事件中占据55%。

2.不安全的反序列化

\

序列化就是把对象转换成一种数据格式,如Json、XML等文本格式或二进制字节流格式,便于保存在内存、文件、数据库中或者在网络通信中进行传输。反序列化是序列化的逆过程,即由保存的文本格式或字节流格式还原成对象。

很多编程语言都提供了这一功能,但不幸的是,如果应用代码允许接受不可信的序列化数据,在进行反序列化操作时,可能会产生反序列化漏洞,黑客可以利用它进行拒绝服务攻击、访问控制攻击和远程命令执行攻击。

事实上,反序列化漏洞已经出现很久了,一直到现在都很流行,以致OWASP组织将“不安全的反序列化”列为2017年10项最严重的Web应用程序安全风险榜的第8位。针对不安全的反序列化的攻击所能造成的破坏类型最明显的例子之一,就是2017年Equifax公司发生的大规模泄漏事件,据悉,Equifax公司正是由于未安装补丁以修复Apache Struts中的相关安全漏洞,才导致于去年夏季发生了大规模的数据泄露事件。

3.依赖有风险的开源组件

\

说到Equifax数据泄露事件,攻击者所利用的反序列化漏洞并非存在于底层软件代码本身。相反的,它是存在于广泛使用的Apache Struts组件(嵌在软件中)之中。

这突出体现了Web应用安全中的另一个致命隐患——即依赖有风险且未打补丁的开源组件。开发商越来越多地使用开源组件来构建他们的软件,而且通常不去跟踪哪个组件被部署到了哪些地方,更不用说跟踪哪些版本被使用以及这些组件本身是否依赖于其他易受攻击的组件。

Arbor Networks公司安全评估工程师Will Chatham表示,

开发人员倾向于更多的依赖给定JavaScript库的流行度来确定其安全性,这就产生了一个错误的假设——即如果很多开发人员正在使用它,那么它必然是安全的。显然,这是一种非常错误的想法。在一个框架内,一个库可能依赖另一个库,从而形成一个错综复杂的依赖关系链。在这些链条的深处,可能存在缺乏安全保护的库,甚至可能容易受到多种类型的恶意行为的影响,从而导致他们面临所谓的‘供应链攻击’。

4.没有内容安全策略来阻止XSS

\

Imperva公司的Daniel Svartman解释称,

跨站点脚本(XXS)是一种常见的向量,可以将恶意代码插入到易受攻击的Web应用程序中。与其他Web攻击类型(如SQLi)不同,其目标不是您的Web应用程序。相反地,它针对的是您的用户,从而损害客户安全以及组织的声誉。

不过,与SQLi一样的是,XSS也已经存在了很长一段时间,且至今仍在威胁组织安全。正如Mozilla的April King所解释的那样,阻止XSS攻击最有效的方法之一就是使用内容安全策略(Content Security Policy,简称CSP),该策略的普及率已经实现了大幅的增长,但仍然很少被大多数网站使用。

根据Mozilla Observatory(一款网站分析工具)针对Alexa排名前一百万的网站进行的扫描结果显示,只有大约0.022%的网站使用了内容安全策略(CSP)。此外,使用了内容安全策略但忽略了串联式样式表(Cascading Style Sheets,简称CSS)的网站比率略有提高,占据Alexa Top 1M的0.112%。

上一篇:数据安全需要全社会的关注和投入,警钟长鸣
下一篇:不管是APT还是数据渗漏 这些疑难杂症究竟该如何解决
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站