被忽视的Web安全漏洞:如何识别和解决?

日期: 2017-05-22 作者:Kevin Beaver翻译:邹铮 来源:TechTarget中国 英文

在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。

在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。有些人称他们的应用是正在进行的渗透测试工作的一部分,并感觉这可确保安全性。还有些人认为管理web安全漏洞不是他们的职责,因为网站和应用托管在云端。

我理解前两种做法,但第三种则不可原谅。企业需要专注于安全工作,特别是安全评估,对web环境的评估可确保安全性,而无论它们托管在哪里。

这个问题是可以解决的。首先,现在有很多非常好的在线资源可提升网络安全状态,例如OWASP Top 20和OWASP WebGoat项目。

我发现有些人从未听说过OWASP,他们不了解它可为其信息安全计划带来的价值。如果您希望提高网络安全状态,对于初学者来说,我建议您查看OWASP Top 10以及其网站上其他资源。OWASP Top 10仍然还是2013年版,目前新版本正在公开征询阶段,计划在2017年8月之前发布。

如果您想要了解应该学习哪些web安全漏洞,Foundstone软件应用安全服务工具(例如Hacme Bank)是非常不错的工具。虽然它们已经过时,但仍然有效。您可关注这些资源和其他免费工具。

在web安全方面,您无法修复您不知道的网络漏洞。测试web安全漏洞应该被视为独立的计划,至少对于核心或关键应用是这样。这意味着您需要将个别应用作为独立项目进行测试。

我看到太多扫描(通常使用通用网络漏洞扫描程序执行)和渗透测试掩盖了企业web应用的重要部分。基于您web系统的可视性,以及高潜在风险,您应该花时间对应用进行测试,无论是否使用用户身份验证。您应该在代码中先查找明显的漏洞,然后再找不那么明显的漏洞。

下面是内部和云技术应用、营销网站及其随附内容管理系统中最常见的web安全漏洞,以及网络基础设施系统和物联网设备中经常被忽视的问题:

1.跨站脚本,这可方便客户端漏洞利用。

2.SQL注入,这可允许直接的数据库连接以及远程命令提示符。

3.低强度或默认密码以及弱密码策略,包括无入侵者锁定,这可方便密码破解。

4.糟糕设计的密码重置功能,这可被攻击者操纵或者用于创建不必要的密码泄露。

5.用户会话管理问题,例如使用在初次登录和注销后未更改的cookie,这可通过中间人攻击或本地浏览器操纵被攻击者利用。

6.开放代理(内部和外部),允许人们使用您的网络进行web访问或者绕过内部安全控制

7.输入验证漏洞,可方便HTTP重定向和帧注入

8.网络表单缺乏CAPTCHA,这可创造电子邮件拒绝服务攻击。

还有缺少OS和应用修补程序,虽然这并不直接相关,但这会影响Web安全性,因此请务必对其进行测试。

Web安全的目标不是寻找所有系统中的所有漏洞。您需要专注于寻找重要应用和系统中的紧急web安全漏洞。当您专注于紧急和重要漏洞时,根据80/20定律,通过查找并解决20%的漏洞,您可解决它们制造的80%的问题。

在您控制好后,您可进一步查找所有web系统中的漏洞。您可使用Nmap或SoftPerfect Network Scanner等工具进行端口扫描,以寻找在通常端口(例如80、443和8080)运行的网站和应用。您会发现大量您可能不知道的系统,扫描这些系统,并查看它们包含的漏洞。即使是多功能打印机和复印机的web端口都可能带来风险。如果您没有找到任何漏洞,说明您不够用心,或者没有使用正确的工具(即专业web漏洞扫描仪,例如Netsparker和Acunetix Web安全扫描仪)。

从开发和质量保证一直到测试和持续监督,您需要将安全视为整体安全计划的核心组件,否则您将继续面临外部攻击者、恶意内部人员和恶意软件带来的风险。

请不要再使用通用扫描和测试,这非常重要。专业扫描测试不仅会发现更多漏洞,还能让您更好的了解您的网络,从而先解决最重要的风险。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

翻译

邹铮
邹铮

相关推荐