2018年04月16日
根据Akamai发布的最新数据显示,针对Web应用程序的攻击正在增加,2017年第四季度的Web应用程序攻击数量与2016年同期相比增加了10%。
该公司的高级安全倡导者Martin McKeay在其最近的《互联网安全状态报告》中写道,绝大多数的Web应用程序攻击都是非目标扫描寻找易受攻击系统的结果,但也有少数攻击者试图破坏特定目标。但是,无论是有目标还是无目标的Web应用程序攻击都是非常频繁且“难辨的”——换句话说,就是很难准确检测到,很多组织都只是简单地运行着Web应用程序防火墙,没有任何额外防御层来检测系统究竟丢失了哪些信息。
组织需要改进他们的安全编码实践以降低自身在网络中的安全风险。以下这份清单重点介绍了组织的Web应用程序所面临的一些威胁:
1. SQL注入漏洞
Web应用程序大多涉及服务器端的动态处理,同时,开发人员可能在开发过程中疏忽参数的输入检查,因此会出现各种Web应用安全问题,并产生相关漏洞,例如目录遍历漏洞、信息泄露漏洞以及SQL注入漏洞等,给攻击者留下可乘之机。
而由于SQL注入漏洞利用Web应用开放的端口,通常防火墙等设备无法检测到,所以其隐蔽性非常高,如果攻击者不留下痕迹,或是管理员没有查看数据库日志的习惯,就基本上不会发现其存在。
自安全研究人员Jeff Forrestal首次详细介绍了第一个SQL注入漏洞至今,已经过去了20余年。但是,即便是现在,SQL注入仍然是大量网站和Web应用程序的重要威胁。根据美国国家漏洞数据库(NVD)的统计数据显示,SQL注入在针对Web应用程序攻击手段中名列榜首,是互联网的安全漏洞。
此外,根据Alert Logic发布的另一项最新研究显示,SQL注入攻击仍然是长期以来主要的Web攻击类型,其在安全监控公司跟踪的所有客户攻击事件中占据55%
2. 不安全的反序列化
序列化就是把对象转换成一种数据格式,如Json、XML等文本格式或二进制字节流格式,便于保存在内存、文件、数据库中或者在网络通信中进行传输。反序列化是序列化的逆过程,即由保存的文本格式或字节流格式还原成对象。
很多编程语言都提供了这一功能,但不幸的是,如果应用代码允许接受不可信的序列化数据,在进行反序列化操作时,可能会产生反序列化漏洞,黑客可以利用它进行拒绝服务攻击、访问控制攻击和远程命令执行攻击。
事实上,反序列化漏洞已经出现很久了,一直到现在都很流行,以致OWASP组织将“不安全的反序列化”列为2017年10项严重的Web应用程序安全风险榜的第8位。针对不安全的反序列化的攻击所能造成的破坏类型明显的例子之一,就是2017年Equifax公司发生的大规模泄漏事件,据悉,Equifax公司正是由于未安装补丁以修复Apache Struts中的相关安全漏洞,才导致于去年夏季发生了大规模的数据泄露事件。
3.没有内容安全策略来阻止XSS
跨站点脚本(XXS)是一种常见的向量,可以将恶意代码插入到易受攻击的Web应用程序中。与其他Web攻击类型(如SQLi)不同,其目标不是您的Web应用程序。相反地,它针对的是您的用户,从而损害客户安全以及组织的声誉。
不过,与SQLi一样的是,XSS也已经存在了很长一段时间,且至今仍在威胁组织安全。正如Mozilla的April King所解释的那样,阻止XSS攻击有效的方法之一就是使用内容安全策略(Content Security Policy,简称CSP),该策略的普及率已经实现了大幅的增长,但仍然很少被大多数网站使用。
江苏国骏--帮您落实“业务不停、数据不丢、管理不难”的整体信息安全目标!(CIA)
产品方案应用:网络安全,数据安全,运维管理;
人员能力提升:岗位评估,培训认证,意识教育;
制度流程落地:制度建设,合规检查,追责溯源;
专业服务保障:顾问咨询,风险测评,安全加固。