一些最常見的Web應(yīng)用程序漏洞往往最容易被利用�,因為它們很難被發(fā)現(xiàn),通常被安全團隊忽略并遭到攻擊者的追捧���。這些漏洞在生產(chǎn)環(huán)境中顯現(xiàn)的另一個原因是�����,在編寫應(yīng)用程序時從未檢測到這些漏洞���,這表明安全性并未納入開發(fā)過程����。沒有可見性���,安全性就處于黑暗之中�,只有在事實發(fā)生后或攻擊者或用戶找到它們后���,才能檢測到這些問題���。
那么,最被利用的Web應(yīng)用程序漏洞是什么��,如何在開發(fā)過程中避免它們��?讓我們深入���。
滿足十大常用漏洞
OWASP每隔幾年會根據(jù)對500多個行業(yè)專家的調(diào)查(涵蓋100,000多個生產(chǎn)應(yīng)用程序)匯總10個最常利用的漏洞的列表����。根據(jù)可利用性,可檢測性和影響選擇漏洞���。結(jié)果是一個列表,使我們可以很好地了解Infosec社區(qū)對應(yīng)用程序安全性的看法��。這是評估您的appsec狀態(tài)���,確定威脅優(yōu)先級并進行補救的一種好方法���。
在下面了解它們的每個:
1.注入
注入已經(jīng)盛行了20多年,因為它們可以采用多種形式����,并且在各個框架中無處不在。根據(jù)OWASP的介紹�����,當(dāng)將不可信數(shù)據(jù)作為命令或查詢的一部分發(fā)送到解釋器時����,會出現(xiàn)諸如SQL,NoSQL�����,OS和LDAP的注入漏洞。攻擊者可以繞過任何授權(quán)���,誘使解釋器執(zhí)行命令或訪問數(shù)據(jù)���。如果被利用,這些漏洞可能是有害的��。
2.身份驗證失敗
這包括不正確的配置�����,較弱的身份驗證過程和較差的會話管理�。當(dāng)身份驗證被破壞時,攻擊者可以臨時或永久地破壞憑據(jù)或模擬用戶��。這可能是對手獲取敏感和有價值的信息或系統(tǒng)的快速通道�����。
3.敏感數(shù)據(jù)公開
由于不正確的加密和數(shù)據(jù)的寶貴性質(zhì)導(dǎo)致的個人身份信息(PII)危害有所增加�����,因此該漏洞在列表中有所上升。根據(jù)OWASP的說法��,許多Web應(yīng)用程序和API無法適當(dāng)?shù)乇Wo敏感數(shù)據(jù)��,如PII或財務(wù)信息�����,從而導(dǎo)致信用卡欺詐和身份盜竊等事件�。
4. XML外部實體(XXE)
通常��,較舊的或配置不當(dāng)?shù)腦ML處理器會評估XML文檔中的外部實體引用��。外部實體可以使用文件URI處理程序����,內(nèi)部文件共享,內(nèi)部端口掃描��,遠程代碼執(zhí)行和拒絕服務(wù)攻擊來公開內(nèi)部文件���。
5.訪問控制損壞
如果未正確控制或強制執(zhí)行已驗證的用戶訪問��,則會發(fā)生這種情況���。這可能導(dǎo)致比正常情況更大的訪問權(quán)限�����,攻擊者可以利用這些漏洞并訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)���。隨著攻擊面的增加,用戶帳戶���,敏感文件和訪問權(quán)限等內(nèi)容可能會受到威脅�����。
6.安全配置錯誤
這是組織中最常見的問題����。這通常是由于不安全�,不完整或臨時的默認配置或配置不正確的HTTP標(biāo)頭,開放的云存儲或包含敏感信息的錯誤消息造成的��。這意味著不僅應(yīng)該安全地配置操作系統(tǒng)����,框架�,庫和應(yīng)用程序���,而且還必須定期對其進行修補和升級以確保安全���。
7.跨站點腳本(XSS)
XSS非常普遍,但由于近來基于瀏覽器的XSS保護更好��,因此在OWASP列表中顯示的位置較低�,從而使其難以利用����。當(dāng)應(yīng)用程序在未經(jīng)適當(dāng)驗證的情況下在網(wǎng)頁上擁有不受信任的數(shù)據(jù)時,就會發(fā)生XSS漏洞����,從而使攻擊者能夠在受害者的Web瀏覽器中執(zhí)行腳本來劫持其會話,破壞網(wǎng)站或?qū)⒂脩糁囟ㄏ虻綈阂庹军c����。
8.不安全的反序列化
此漏洞通常導(dǎo)致遠程執(zhí)行代碼或執(zhí)行諸如重播攻擊,注入攻擊和特權(quán)提升攻擊之類的攻擊�。通常可以通過嚴格驗證和控制反序列化的內(nèi)容和/或重大的體系結(jié)構(gòu)更改來緩解這種情況。
9.使用具有已知漏洞的組件
您組織中的某人最后一次使用具有已知漏洞的組件是什么時候�?大多數(shù)組織都不知道,特別是分散管理的情況����。如果諸如應(yīng)用程序或API之類的易受攻擊的組件具有已知漏洞并被利用,則可能導(dǎo)致嚴重的數(shù)據(jù)丟失或服務(wù)器接管����。
10.日志和監(jiān)控不足
最后但并非最不重要的一點是,如果日志記錄和監(jiān)視功能未與事件響應(yīng)集成在一起��,則攻擊者通常會在雷達下飛行�����,以深入到系統(tǒng)中�,保持持久性,轉(zhuǎn)向更多系統(tǒng)���,并篡改��,提取或破壞數(shù)據(jù)����。由于檢測到平均違規(guī)的時間超過200天,因此適當(dāng)?shù)穆┒垂芾沓绦蚴谴_保一切都看不到的唯一方法���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
