国产精品资源网在线观看,国产美女主播,国产精品1024,国产一级做a爱片久久毛片a,欧美大片在线,亚洲一区二区三区免费

阿卡邁(Akamai)最近的《互聯(lián)網(wǎng)安全狀況》報告中寫道：“絕大部分Web應(yīng)用攻擊都是沒有特定目標(biāo)的大范圍漏洞掃描，但少數(shù)攻擊確實是為入侵特定目標(biāo)而進(jìn)行的針對性嘗試。無論哪種情況，攻擊都非常頻繁而‘嘈雜’，難以準(zhǔn)確檢測，以致許多公司企業(yè)都無法保證其Web應(yīng)用防火墻(WAF)能夠有效運(yùn)行，也沒有空余時間來擔(dān)心其系統(tǒng)可能漏掉了什么。”
 
公司企業(yè)至少應(yīng)加強(qiáng)代碼安全，減少自身層面上的風(fēng)險。那么，在Web應(yīng)用方面，公司企業(yè)往往又會犯下哪些“致命”的安全錯誤呢？

 
1. 依然存在SQL注入漏洞
或許難以置信，但SQL注入漏洞今年12月份就該過20周歲生日了。而即便到了現(xiàn)在，SQL注入依然活躍在大量網(wǎng)站和Web應(yīng)用中。安全監(jiān)控公司 Alert Logic 的研究顯示，SQL注入攻擊長期以來一直都是最普遍的Web攻擊方式，占該公司客戶報告事件的55%。

 
2. 不安全的反序列化
反序列化過程就是應(yīng)用接受序列化對象(序列化是將對象以某種形式編碼以便于存儲或傳輸)并將其還原的過程。如果反序列化過程不安全，可能會出現(xiàn)大問題。

 
即便開發(fā)人員知道不能信任用戶輸入，但序列化對象總被高看一眼，在處理序列化對象的時候安全意識往往會松懈。這種情況下，不安全的反序列化過程不過是發(fā)送攻擊載荷的另一種方式而已。
 
Imperva Incapsula 報告稱，不安全反序列化攻擊近期快速抬頭，2017年最后3個月里增長了300%，可能是受非法加密貨幣挖礦活動的驅(qū)動。
 
其中最大的擔(dān)憂就是，該不安全性可輕易導(dǎo)致Web應(yīng)用暴露在遠(yuǎn)程代碼執(zhí)行的威脅之下——攻擊者戰(zhàn)術(shù)手冊中排名第二的攻擊技術(shù)。開放Web應(yīng)用安全計劃(OWASP)去年將不安全反序列化納入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢？最鮮明的例子就是Equifax大規(guī)模數(shù)據(jù)泄露事件——據(jù)稱就是應(yīng)用不安全反序列化漏洞發(fā)起的。
 
3. 依賴開源組件
說到Equifax數(shù)據(jù)泄露事件，攻擊者利用的反序列化漏洞并沒有包含在底層軟件代碼本身當(dāng)中，而是存在于嵌入該軟件的開源 Apache Struts 組件里。

 
這就引出了Web應(yīng)用安全中的另一個致命因素——依賴未打補(bǔ)丁的風(fēng)險性開源組件。軟件開發(fā)中開源組件的應(yīng)用越來越廣，開發(fā)小組往往并沒有跟蹤都有哪些組件應(yīng)用到了哪個位置，更別說跟蹤所用版本和組件依賴關(guān)系了。
 
開發(fā)人員喜歡根據(jù)組件的流行程度來假定其安全性，總覺得越多人用的組件就越安全。然而，組件或庫可能會依賴其他庫，產(chǎn)生復(fù)雜的依賴鏈。依賴鏈深層可能會有安全防護(hù)很弱的庫，甚至可能會出現(xiàn)多種惡意行為，讓用了這些組件的軟件面臨所謂的供應(yīng)鏈攻擊風(fēng)險。
 
4. 未使用內(nèi)容安全策略阻止跨站腳本
XSS是往帶漏洞Web應(yīng)用中插入惡意代碼的常見手段。與其他類型的Web攻擊不同，XSS的目標(biāo)不是Web應(yīng)用，而是使用Web應(yīng)用的用戶，最終傷害的是公司企業(yè)的聲譽(yù)及其客戶。
 
與SQL注入類似，XSS誕生已久，但仍對公司企業(yè)造成傷害和威脅。阻止XSS攻擊的最有效方式是使用內(nèi)容安全策略(CSP)——發(fā)展良好但仍未被大多數(shù)網(wǎng)站采納的技術(shù)。
 
Mozilla Observatory 掃描Alexa排名前100萬的網(wǎng)站發(fā)現(xiàn)，當(dāng)前僅0.022%的網(wǎng)站使用了CSP。使用CSP但忽略了內(nèi)聯(lián)樣式表(CSS)的站點則占0.112%，稍微多一點點。
 
5. 信息泄露
White Hat Security 表示，50%的應(yīng)用都有某種信息泄露漏洞。Veracode標(biāo)定的信息泄露漏洞存在比率更高——65.8%。這些漏洞會將有關(guān)應(yīng)用本身、應(yīng)用所處環(huán)境或應(yīng)用用戶的信息暴露給黑客，供黑客進(jìn)行進(jìn)一步的攻擊。

 
信息泄露可以是用戶名/口令泄露的嚴(yán)重程度，也可以是軟件版本號暴露這種“無害”的程度。通常重新配置一下就能堵上漏洞，但緩解過程卻往往視泄露數(shù)據(jù)的種類而定——敏感數(shù)據(jù)就及時解決，其他數(shù)據(jù)則不然。
 
然而，問題在于，即便是軟件版本號這種“無害”的泄露，都能給黑客帶來攻擊上的優(yōu)勢，為其將來的攻擊鋪平道路。
 
6. API漏洞
去年Web應(yīng)用頂級威脅還包括防護(hù)不周的API。

 
API在最近幾年很是火爆，開發(fā)人員在打造應(yīng)用的時候經(jīng)常用到API——作為向其他應(yīng)用提供服務(wù)或數(shù)據(jù)的一種方式。但不幸的是，這些API在Web應(yīng)用中實現(xiàn)時往往沒怎么考慮過安全問題，而且這些防護(hù)不周的API還通常沒納入到傳統(tǒng)應(yīng)用安全測試過程中。
 
OWASP去年的十大安全漏洞榜單中也因此而將防護(hù)不周的API包含了進(jìn)來。隨著越來越多的公司企業(yè)將API用作當(dāng)今開發(fā)運(yùn)維團(tuán)隊鐘愛的輕量級快速部署軟件間的潤滑劑，API漏洞威脅也隨之增大了。
 
Imperva幾個月前的一項研究表明，公司企業(yè)平均管理著363個API，其中2/3都對公眾和合作伙伴開放。
 
7. 忽視傳輸層保護(hù)
公司企業(yè)在部署HTTPS上做得越來越好了，但距離理想程度還有很長一段路要走。

 
上個月 Mozilla Observatory 掃描的結(jié)果顯示，Alexa 排名前100萬的網(wǎng)站中54.3%已使用HTTPS，比去年夏天的掃描結(jié)果高出19%，很不錯的進(jìn)步。但這一結(jié)果也反映出，還有接近一半的頂級網(wǎng)站依然落后于時代。
不僅如此，當(dāng)前狀態(tài)距離絕大多數(shù)站點禁用HTTP也還很遠(yuǎn)。禁用HTTP通過應(yīng)用 HTTP 嚴(yán)格傳輸安全協(xié)議(HSTS)實現(xiàn)，Mozilla表示，Alexa 前100萬頂級網(wǎng)站中用了HSTS的僅占6%。原文來自：安全牛