被忽视的Web安全漏洞:如何识别和解决?

日期:2017-5-23作者:Kevin Beaver翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。

在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。有些人称他们的应用是正在进行的渗透测试工作的一部分,并感觉这可确保安全性。还有些人认为管理web安全漏洞不是他们的职责,因为网站和应用托管在云端。

我理解前两种做法,但第三种则不可原谅。企业需要专注于安全工作,特别是安全评估,对web环境的评估可确保安全性,而无论它们托管在哪里。

这个问题是可以解决的。首先,现在有很多非常好的在线资源可提升网络安全状态,例如OWASP Top 20和OWASP WebGoat项目。

我发现有些人从未听说过OWASP,他们不了解它可为其信息安全计划带来的价值。如果您希望提高网络安全状态,对于初学者来说,我建议您查看OWASP Top 10以及其网站上其他资源。OWASP Top 10仍然还是2013年版,目前新版本正在公开征询阶段,计划在2017年8月之前发布。

如果您想要了解应该学习哪些web安全漏洞,Foundstone软件应用安全服务工具(例如Hacme Bank)是非常不错的工具。虽然它们已经过时,但仍然有效。您可关注这些资源和其他免费工具。

在web安全方面,您无法修复您不知道的网络漏洞。测试web安全漏洞应该被视为独立的计划,至少对于核心或关键应用是这样。这意味着您需要将个别应用作为独立项目进行测试。

我看到太多扫描(通常使用通用网络漏洞扫描程序执行)和渗透测试掩盖了企业web应用的重要部分。基于您web系统的可视性,以及高潜在风险,您应该花时间对应用进行测试,无论是否使用用户身份验证。您应该在代码中先查找明显的漏洞,然后再找不那么明显的漏洞。

下面是内部和云技术应用、营销网站及其随附内容管理系统中最常见的web安全漏洞,以及网络基础设施系统和物联网设备中经常被忽视的问题:

1.跨站脚本,这可方便客户端漏洞利用。

2.SQL注入,这可允许直接的数据库连接以及远程命令提示符。

3.低强度或默认密码以及弱密码策略,包括无入侵者锁定,这可方便密码破解。

4.糟糕设计的密码重置功能,这可被攻击者操纵或者用于创建不必要的密码泄露。

5.用户会话管理问题,例如使用在初次登录和注销后未更改的cookie,这可通过中间人攻击或本地浏览器操纵被攻击者利用。

6.开放代理(内部和外部),允许人们使用您的网络进行web访问或者绕过内部安全控制

7.输入验证漏洞,可方便HTTP重定向和帧注入

8.网络表单缺乏CAPTCHA,这可创造电子邮件拒绝服务攻击。

还有缺少OS和应用修补程序,虽然这并不直接相关,但这会影响Web安全性,因此请务必对其进行测试。

Web安全的目标不是寻找所有系统中的所有漏洞。您需要专注于寻找重要应用和系统中的紧急web安全漏洞。当您专注于紧急和重要漏洞时,根据80/20定律,通过查找并解决20%的漏洞,您可解决它们制造的80%的问题。

在您控制好后,您可进一步查找所有web系统中的漏洞。您可使用Nmap或SoftPerfect Network Scanner等工具进行端口扫描,以寻找在通常端口(例如80、443和8080)运行的网站和应用。您会发现大量您可能不知道的系统,扫描这些系统,并查看它们包含的漏洞。即使是多功能打印机和复印机的web端口都可能带来风险。如果您没有找到任何漏洞,说明您不够用心,或者没有使用正确的工具(即专业web漏洞扫描仪,例如Netsparker和Acunetix Web安全扫描仪)。

从开发和质量保证一直到测试和持续监督,您需要将安全视为整体安全计划的核心组件,否则您将继续面临外部攻击者、恶意内部人员和恶意软件带来的风险。

请不要再使用通用扫描和测试,这非常重要。专业扫描测试不仅会发现更多漏洞,还能让您更好的了解您的网络,从而先解决最重要的风险。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

配置管理>更多

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心