Web应用安全七大“致命”错误
阿卡迈(Akamai)最近的《互联网安全状况》报告中写道:“绝大部分Web应用攻击都是没有特定目标的大范围漏洞扫描,但少数攻击确实是为入侵特定目标而进行的针对性尝试。无论哪种情况,攻击都非常频繁而‘嘈杂’,难以准确检测,以致许多公司企业都无法保证其Web应用防火墙(WAF)能够有效运行,也没有空余时间来担心其系统可能漏掉了什么。”
2016年第4季度到2017年第4季度期间,Web应用攻击增长了10%,整体呈上升趋势。
公司企业至少应加强代码安全,减少自身层面上的风险。那么,在Web应用方面,公司企业往往又会犯下哪些“致命”的安全错误呢?
1. 依然存在SQL注入漏洞
或许难以置信,但SQL注入漏洞今年12月份就该过20周岁生日了。而即便到了现在,SQL注入依然活跃在大量网站和Web应用中。安全监控公司 Alert Logic 的研究显示,SQL注入攻击长期以来一直都是最普遍的Web攻击方式,占该公司客户报告事件的55%。
2. 不安全的反序列化
反序列化过程就是应用接受序列化对象(序列化是将对象以某种形式编码以便于存储或传输)并将其还原的过程。如果反序列化过程不安全,可能会出现大问题。
即便开发人员知道不能信任用户输入,但序列化对象总被高看一眼,在处理序列化对象的时候安全意识往往会松懈。这种情况下,不安全的反序列化过程不过是发送攻击载荷的另一种方式而已。
Imperva Incapsula 报告称,不安全反序列化攻击近期快速抬头,2017年最后3个月里增长了300%,可能是受非法加密货币挖矿活动的驱动。
其中最大的担忧就是,该不安全性可轻易导致Web应用暴露在远程代码执行的威胁之下——攻击者战术手册中排名第二的攻击技术。开放Web应用安全计划(OWASP)去年将不安全反序列化纳入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鲜明的例子就是Equifax大规模数据泄露事件——据称就是应用不安全反序列化漏洞发起的。
3. 依赖开源组件
说到Equifax数据泄露事件,攻击者利用的反序列化漏洞并没有包含在底层软件代码本身当中,而是存在于嵌入该软件的开源 Apache Struts 组件里。
这就引出了Web应用安全中的另一个致命因素——依赖未打补丁的风险性开源组件。软件开发中开源组件的应用越来越广,开发小组往往并没有跟踪都有哪些组件应用到了哪个位置,更别说跟踪所用版本和组件依赖关系了。
开发人员喜欢根据组件的流行程度来假定其安全性,总觉得越多人用的组件就越安全。然而,组件或库可能会依赖其他库,产生复杂的依赖链。依赖链深层可能会有安全防护很弱的库,甚至可能会出现多种恶意行为,让用了这些组件的软件面临所谓的供应链攻击风险。
4. 未使用内容安全策略阻止跨站脚本
XSS是往带漏洞Web应用中插入恶意代码的常见手段。与其他类型的Web攻击不同,XSS的目标不是Web应用,而是使用Web应用的用户,最终伤害的是公司企业的声誉及其客户。
与SQL注入类似,XSS诞生已久,但仍对公司企业造成伤害和威胁。阻止XSS攻击的最有效方式是使用内容安全策略(CSP)——发展良好但仍未被大多数网站采纳的技术。
Mozilla Observatory 扫描Alexa排名前100万的网站发现,当前仅0.022%的网站使用了CSP。使用CSP但忽略了内联样式表(CSS)的站点则占0.112%,稍微多一点点。
5. 信息泄露
White Hat Security 表示,50%的应用都有某种信息泄露漏洞。Veracode标定的信息泄露漏洞存在比率更高——65.8%。这些漏洞会将有关应用本身、应用所处环境或应用用户的信息暴露给黑客,供黑客进行进一步的攻击。
信息泄露可以是用户名/口令泄露的严重程度,也可以是软件版本号暴露这种“无害”的程度。通常重新配置一下就能堵上漏洞,但缓解过程却往往视泄露数据的种类而定——敏感数据就及时解决,其他数据则不然。
然而,问题在于,即便是软件版本号这种“无害”的泄露,都能给黑客带来攻击上的优势,为其将来的攻击铺平道路。
6. API漏洞
去年Web应用顶级威胁还包括防护不周的API。
API在最近几年很是火爆,开发人员在打造应用的时候经常用到API——作为向其他应用提供服务或数据的一种方式。但不幸的是,这些API在Web应用中实现时往往没怎么考虑过安全问题,而且这些防护不周的API还通常没纳入到传统应用安全测试过程中。
OWASP去年的十大安全漏洞榜单中也因此而将防护不周的API包含了进来。随着越来越多的公司企业将API用作当今开发运维团队钟爱的轻量级快速部署软件间的润滑剂,API漏洞威胁也随之增大了。
Imperva几个月前的一项研究表明,公司企业平均管理着363个API,其中2/3都对公众和合作伙伴开放。
7. 忽视传输层保护
公司企业在部署HTTPS上做得越来越好了,但距离理想程度还有很长一段路要走。
上个月 Mozilla Observatory 扫描的结果显示,Alexa 排名前100万的网站中54.3%已使用HTTPS,比去年夏天的扫描结果高出19%,很不错的进步。但这一结果也反映出,还有接近一半的顶级网站依然落后于时代。
不仅如此,当前状态距离绝大多数站点禁用HTTP也还很远。禁用HTTP通过应用 HTTP 严格传输安全协议(HSTS)实现,Mozilla表示,Alexa 前100万顶级网站中用了HSTS的仅占6%。
——来自:安全牛(aqniu-wx)
推荐阅读
《Web安全之机器学习入门》
ISBN:978-7-111-57642-6
作 者:刘焱 编著
定 价:79.00元
出版时间:2017/09
内容简介:
本书从机器学习的基本概念入手,展示了在错综复杂的Web安全中如何智能化地掌控信息安全。
百度安全专家撰写,零基础学习智能化Web安全技术,二十多位业界专家联袂推荐。
点击购买
《Web安全之深度学习实战》
ISBN:978-7-111-58447-6
作 者:刘焱 编著
定 价:79.00元
出版时间:2017/12
内容简介:
本书是作者推出AI+安全畅销书《Web安全之机器学习》之后又一力作。本书首先介绍如何打造自己的深度学习工具箱,包括TensorFlow、TFLearn等深度学习库的安装以及使用方法。接着介绍卷积神经网络和循环神经网络这两大深度学习算法的基础知识。特别着重介绍在生产环境搭建深度学习平台需要使用的开源组件,包括Logstash、Kafka、Storm、Spark等。
点击购买