江苏龙网

  1. 首页 > 人文 > >

海塘题库十大Web应用安全风险你了解多少? | 云计算( 二 )


A5:Broken AccessControl(失效的访问控制)
可利用性:2 - 一般
漏洞普遍性:2 - 常见
漏洞可检测性:3 - 一般
技术影响:3 - 严重
操作应用时 , 经验证的用户应只拥有与其身份相匹配的有限权限 。 然而 , 有些应用并没有严格实现该限制 。 攻击者就可滥用该疏漏来访问其他用户的账户 , 暴露敏感文件 。
为解决访问控制失效的风险 , 除了其他安全措施 , 开发人员和经理还应实现“默认拒绝”的访问控制机制 。 他们应记录访问控制失败情况 , 并在必要的时候通报管理员 。 这些控制措施都应在服务器端创建 , 这样攻击者就不能修改控制检查或元数据了 。
A6:SecurityMisconfiguration(安全配置错误)
可利用性:3 - 容易
漏洞普遍性:3 - 普遍
漏洞可检测性:3 - 容易
技术影响:2 - 中等
安全配置错误是最常见的应用安全风险之一 。 开放云存储、错误配置的HTTP头、包含敏感信息的错误信息提示和其他漏洞 , 都会造成这种风险 。 攻击者可利用这些错误配置以默认口令登录管理员账户 , 发现访问控制漏洞 , 盗取敏感信息 。
去除了非必要功能/组件的最小平台 , 可以有效缓解应用的安全配置风险 。 实现分隔的应用架构 , 采用自动化过程验证应用环境配置有效性 , 也是开发人员和经理应该做的 。
A7:Cross-SiteScripting(XSS)跨站脚本攻击
可利用性:3 - 容易
漏洞普遍性:3 - 普遍
漏洞可检测性:3 - 容易
技术影响:2 - 中等
有时候 , 应用不进行恰当的验证或转义 , 就在新页面中包含了非受信数据 。 这就是跨站脚本漏洞的一个例子 。 攻击者可滥用此类缺陷在受害者浏览器中执行脚本 , 由此劫持用户会话 , 将访问者重定向至恶意站点 。
幸运的是 , Ruby on Rails 和 React JS 之类框架 , 从设计上就自动转义了跨站脚本 。 开发人员和经理可以在应用中引入此类技术 , 根据HTML的输出转义非受信HTTP请求数据 。 他们还可以实现内容安全策略(CSP) , 进一步缓解潜在XSS漏洞 。
A8:InsecureDeserialization(不安全的反序列化)
可利用性:1 - 困难
漏洞普遍性:2 - 常见
漏洞可检测性:2 - 一般
技术影响:3 - 严重
对不安全反序列化的最大担忧 , 是远程代码执行(RCE) 。 即便此类漏洞不直接导致RCE , 攻击者仍可利用该漏洞进行重放攻击、提权攻击和其他数字攻击行为 。
完整性检查 , 比如审查序列化对象的数字签名 , 有助于抵御不安全反序列化漏洞 。 开发人员和经理还应隔离执行在低权限环境中反序列化的代码 , 监测反序列化过程 , 一旦用户经常反序列化 , 即发出通告 。
A9:UsingComponents with Known Vulnerabilities(使用含有已知漏洞的组件)
可利用性:2 - 一般
漏洞普遍性:3 - 普遍
漏洞可检测性:2 - 一般
技术影响:2 - 中等
很多现代应用都带有库和框架 。 这些组件的执行权限可能与应用本身并不一致 。 进一步来说 , 如果攻击者发现了脆弱组件并利用之 , 就可以盗取敏感数据或破坏关键服务器 。
有些组件并非应用必需的 。 考虑到这一点 , 公司企业应将去除应用中的非必要组件 , 作为自身应用安全计划的重要部分 。 开发人员和经理还应仅从官方源获取组件 , 并监测组件中是否含有新发现的漏洞 。
A10:InsufficientLogging & Monitoring(不足的记录&监控)
可利用性:2 - 一般
漏洞普遍性:3 - 普遍
漏洞可检测性:1 - 困难
技术影响:2 - 中等
日志与监视可以为公司IT环境提供重要洞见 。 然而 , 若对这两项安全措施投入不足 , 攻击者就能更容易地渗透系统 , 在网络中横向移动 , 盗取数据 。


推荐阅读


上一篇:新机发布ROG XG32VC电竞显示器开卖;OPPO将发布多款新机

下一篇:小雨私语MCU选择中的5个固件标准