您當前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

OWASP發(fā)布 2017 Top 10 Web應(yīng)用安全威脅

--Web 安全防護正當時

2017-11-30 10:24:38   作者:   來源:CTI論壇   評論:0  點擊:

  近日,開放式 Web 應(yīng)用程序安全項目(OWASP)發(fā)布了最終版 2017 Top 10 榜單。Top 10 項目幫助企業(yè)組織找出所面臨的最嚴重的風(fēng)險,成為全球 Web 開發(fā)和運維人員的必讀指南。
  • A1 注入攻擊漏洞     A6 安全配置錯誤
  • A2 失效的身份認證  A7 跨站腳本 XSS
  • A3 敏感信息泄露    A8 不安全反序列化漏洞
  • A4  XXE 漏洞    A9 使用含有已知漏洞的組件
  • A5 失效的訪問控制    A10 不足的記錄和監(jiān)控
  在 2017 威脅榜單中,注入攻擊漏洞仍然位居 Top 10 威脅之首,而 XSS 的威脅程度從 A3 降到了 A7。敏感信息泄露、安全配置錯誤、失效的訪問控制等威脅均有提升,值得企業(yè)重視。
  與此同時,榜單中還出現(xiàn)了一些新的安全威脅,包括 XXE 漏洞(A4:2017, XML External Entity attack)、針對 Java 平臺的不安全反序列化漏洞(A8:2017, Insecure Deserialization)以及記錄和監(jiān)控不足風(fēng)險(A10:2017, Insufficient Logging & Monitoring)等,這些新興的安全威脅也值得企業(yè)重點關(guān)注。
  隨著網(wǎng)貸、購物和社交等一系列新型互聯(lián)網(wǎng)產(chǎn)品的誕生,企業(yè)信息化的過程中越來越多的應(yīng)用都架設(shè)在 Web 平臺上,接踵而至的就是 Web 安全威脅的凸顯。
  大量黑客利用網(wǎng)站操作系統(tǒng)的漏洞和 Web 服務(wù)程序的 SQL 注入漏洞等得到 Web 服務(wù)器的控制權(quán)限,輕則篡改網(wǎng)頁內(nèi)容,重則竊取重要內(nèi)部數(shù)據(jù),更為嚴重的則是在網(wǎng)頁中植入惡意代碼,使得網(wǎng)站訪問者受到侵害。
  什么是 Web 應(yīng)用安全風(fēng)險?
  如下圖所示,攻擊者可以通過應(yīng)用程序中許多不同的路徑和方法來危害您的業(yè)務(wù)或者企業(yè)組織。每種路徑方法都代表了一種風(fēng)險,有些路徑方法很容易被發(fā)現(xiàn)并利用,有些則很難被發(fā)現(xiàn)。
  為了確定您企業(yè)面臨的風(fēng)險,可以結(jié)合其產(chǎn)生的技術(shù)影響和對企業(yè)的業(yè)務(wù)影響,去評估威脅代理、攻擊向量和安全漏洞的可能性。
  接下來,重點分析排名前三的 Web 安全威脅以及應(yīng)對方法:
  注入攻擊漏洞
  注入攻擊漏洞,例如 SQL、OS 以及 LDAP 注入。這些攻擊發(fā)生在當不可信的數(shù)據(jù)作為命令或者查詢語句的一部分,被發(fā)送給解釋器的時候,攻擊者發(fā)送的惡意數(shù)據(jù)可以欺騙編輯器,以執(zhí)行計劃外的命令或者在未被恰當授權(quán)時訪問數(shù)據(jù)。
  檢查是否存在「注入漏洞」的方法
  最好的辦法就是確認所有解釋器的使用都明確地將不可信數(shù)據(jù)從命令語句或查詢語句中區(qū)分出來。對于 SQL 調(diào)用,在所有準備語句和存儲過程中使用綁定變量,并避免使用動態(tài)查詢語句。
  檢查應(yīng)用程序是否安全使用解釋器的最快最有效的辦法是代碼審查,代碼分析工具能幫助安全分析者找到使用解釋器的代碼并追蹤應(yīng)用的數(shù)據(jù)流。
  可以執(zhí)行應(yīng)用程序的動態(tài)掃描器能夠提供信息,幫助確認一些可利用的注入漏洞是否存在。
  典型案例
  NextGEN Gallery 插件是眾所周知的 WordPress 相冊插件,這款插件功能強大,可以在博客中任意插入動態(tài)圖片效果,提供了很完美的照片管理方法,在 WordPress 平臺上擁有過百萬的安裝量。
  今年 3 月 NextGEN Gallery 插件被曝存在嚴重的 SQL 注入漏洞,影響上百萬用戶,攻擊者利用 SQL 注入漏洞獲取了數(shù)據(jù)庫中包括用戶信息在內(nèi)的敏感數(shù)據(jù)。
  失效的身份認證
  與身份認證和會話管理相關(guān)的應(yīng)用程序功能常常被錯誤地實現(xiàn),攻擊者使用認證管理功能中的漏洞,采用破壞密碼、密鑰、會話令牌去冒充其他用戶的身份。
  檢查是否存在「失效的身份認證」的方法
  用戶身份驗證憑證是否使用哈;蚣用鼙Wo;是否可以通過薄弱的賬戶管理功能(例如賬戶創(chuàng)建、密碼修改、密碼修復(fù)、弱會話 ID)重寫。
  會話 ID 暴露在 URL 里;會話 ID 沒有超時限制,用戶會話或身份驗證令牌(特別是單點登錄令牌)在用戶注銷時沒有失效;密碼、會話 ID 和其他認證憑據(jù)使用未加密鏈接傳輸?shù)取?/div>
  典型案例
  機票預(yù)訂應(yīng)用程序支持 URL 重寫,把當前用戶的會話 ID 放在 URL 中:http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
  該網(wǎng)站一個經(jīng)過認證的用戶希望讓他朋友知道這個機票打折信息。他將上面鏈接通過郵件發(fā)送給朋友們,并不知道已經(jīng)泄露了自己會話 ID. 當他的朋友們使用上面的鏈接時,可以輕而易舉地使用他的會話和信用卡。
  敏感信息泄露
  許多 Web 應(yīng)用程序沒有正確保護敏感數(shù)據(jù),如信用卡、身份證 ID 和身份驗證憑據(jù)等。攻擊者可能會竊取或篡改這些弱保護的數(shù)據(jù)以進行信用卡詐騙、身份竊取或其他犯罪。
  敏感數(shù)據(jù)需額外的保護,比如在存放或在傳輸過程中進行加密,以及在與瀏覽器交換時進行特殊的預(yù)防措施。
  檢查是否存在「敏感信息泄露」的方法
  首選需要確認哪些數(shù)據(jù)時敏感數(shù)據(jù)而需要被加密。當這些數(shù)據(jù)被長期存儲的時候,無論存儲在哪里,是否被加密和備份?
  無論內(nèi)部數(shù)據(jù)還是外部數(shù)據(jù),傳輸時是否是明文傳輸?是否還在使用舊的或者脆弱的加密算法?
  加密密鑰的生成是否缺少恰當?shù)拿荑管理或缺少密鑰回轉(zhuǎn)?當瀏覽器接收或發(fā)送敏感數(shù)據(jù)時,是否有瀏覽器安全指令?
  典型案例
  一個網(wǎng)站上所有需要身份驗證的網(wǎng)頁都沒有使用 SSL 加密。攻擊者只需要監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流(比如一個開放的無線網(wǎng)絡(luò)或其社區(qū)的有限網(wǎng)絡(luò)),并竊取一個已驗證的受害者的會話 Cookie. 攻擊者利用這個 Cookie 執(zhí)行重放攻擊并接管用戶的會話,從而訪問用戶的隱私數(shù)據(jù)。
  如何有效地防范 Web 應(yīng)用安全風(fēng)險?
  安全防護要貫穿整個 Web 應(yīng)用生命周期
  在 Web 開發(fā)階段需要對代碼進行核查,在測試階段需要對上線前的 Web 應(yīng)用做完整的安全檢查,在運營階段,建議在事前、事中和事后進行分階段、多層面的完整防護。
  構(gòu)建以漏洞、事件生命周期閉環(huán)管理體系
  通過監(jiān)測系統(tǒng)平臺進行漏洞生命周期的管理,包含漏洞掃描、人工驗證、漏洞狀態(tài)的追蹤工作以及漏洞修復(fù)后的復(fù)驗工作等,使漏洞管理流程化。
  提升安全管理人員工作能力
  安全管理崗位人員需要建立起信息安全管理的概念,清楚 Web 威脅的危害,掌握識別安全漏洞及風(fēng)險的專用技術(shù),以及對安全問題進行加固處置的技能。
  查看和下載完整版報告:
  https://community.qingcloud.com/topic/1012
  青云QingCloud 對于 Web 安全防護整體解決方案的建議
  預(yù)防 Web 應(yīng)用安全,應(yīng)該在軟件開發(fā)生命周期遵循安全編碼原則,并在各階段采取相應(yīng)的安全措施。對于已經(jīng)投入使用的 Web 應(yīng)用系統(tǒng),如何在運行階段進行有效的安全防護成為重點。
  QingCloud 建議對 Web 應(yīng)用的安全威脅及業(yè)務(wù)運維路徑采取以下安全措施進行防護:
  DDoS 防御
  DDoS 防御一般包含兩個方面:
  • 一是針對不斷發(fā)展的攻擊形式,尤其是采用多種欺騙技術(shù)的技術(shù),能夠有效地進行檢測;
  • 二是如何降低對業(yè)務(wù)系統(tǒng)的影響,從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。
  訪問控制
  利用防火墻進行訪問控制,防止不必要的服務(wù)請求進入網(wǎng)站系統(tǒng),減少被攻擊的可能性。利用 IP Sec/SSL VPN 實現(xiàn)對遠程用戶的安全加密接入功能。
  應(yīng)用層防護
  通過 Web 應(yīng)用防護系統(tǒng)可有效控制和緩解 HTTP 及 HTTPS 應(yīng)用下各類安全威脅,如 SQL 注入、XSS、 跨站腳本(XSS)、Cookie 篡改以及應(yīng)用層 DDoS 等,有效應(yīng)對網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題,充分保障 Web 系統(tǒng)的高可用性和可靠性。
  系統(tǒng)安全加固
  通過安全評估系統(tǒng)找出主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備及其他設(shè)備系統(tǒng)中存在的補丁漏洞和配置漏洞,進行加固,以保障系統(tǒng)的安全性。
  SSL 加密
  SSL 加密是在瀏覽器和 Web 服務(wù)器之間為應(yīng)用程序提供加密數(shù)據(jù)通道,SSL 數(shù)字證書是其代表應(yīng)用,SSL 證書可實現(xiàn)網(wǎng)站 HTTPS 化,使網(wǎng)站可信,防劫持、防篡改、防監(jiān)聽。
  數(shù)據(jù)庫審計
  通過數(shù)據(jù)庫審計系統(tǒng)實現(xiàn)對所有訪問 Web 應(yīng)用系統(tǒng)引起的數(shù)據(jù)庫操作進行精細化審計,涵蓋可能訪問數(shù)據(jù)的所有途徑,無論是外部訪問還是云端數(shù)據(jù)庫管理員的訪問。
  運維安全審計
  通過堡壘機實現(xiàn)對所有運維人員的操作進行集中管控,對重要主機的操作做到實時跟蹤,形成可視化的操作日志,對于高風(fēng)險的操作進行實時的預(yù)警,全程審計運維操作的每一個細節(jié)。
  青云QingCloud Web 應(yīng)用防火墻,通過云端大數(shù)據(jù)監(jiān)測和學(xué)習(xí)引擎,完美防范 Web 應(yīng)用攔截 SQL 注入、XSS 跨站腳本、網(wǎng)站掛馬、OWASP Top 10 等各類 Web 安全威脅,過濾海量惡意訪問,持續(xù)更新防護策略,從而降低網(wǎng)站資產(chǎn)和數(shù)據(jù)泄露的風(fēng)險,保障 Web 應(yīng)用的可用性。
   福利時間 
  12 月 12 日,青云QingCloud 下一代企業(yè)級云架構(gòu) ——「全模云」線上發(fā)布會,活動門票限量贈送,點擊「閱讀原文」馬上獲取~
【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題