据HackerOne称,跨站脚本(XSS)漏洞仍然是最常被利用的漏洞。Hackerone是旨在联系企业和白帽黑客(可识别网络风险)社区的平台,该平台目前拥有约20万名会员,它是当前最大的平台。
XSS是一种注入式安全攻击,攻击者会将数据(例如恶意脚本)注入到受信任网站的内容中。跨站脚本攻击的发生是由于不受信任来源被允许注入代码到web应用中,而恶意代码被包含在动态内容中传递到受害者的浏览器。
这种漏洞的存在表明,企业网站中内置功能通常会比预期做的更多,因为缺乏对输入的验证,这使得黑帽黑客可让网站以非预期的方式响应,而并非其创造者设定的方式。
根据HackerOne的最新数据显示,尽管多年来XSS都被列入OWASP十大安全问题之列,并且还有指南说明如何避免该漏洞以及前端Web应用框架来阻止它,XSS(CWE 79)仍然是除金融服务和银行业外所有行业中最常被利用的漏洞,其中不恰当的身份验证(CWE-287)排在第一位,仅次于所有其他行业的XSS,占所有漏洞的12%。
与所有漏洞一样,HackerOne称XSS问题的严重程度有所不同。例如网站中未对用户进行身份验证和/或暴露任何敏感信息的XSS漏洞的严重程度可能较低,而系统中暴露重大机密信息的XSS问题可能严重得多。
XSS是很多企业都没有解决的漏洞之一,它非常受网络攻击者的喜爱,因为在所有行业的企业中都可以发现并利用该漏洞。
HackerOne的报告强调“黑客驱动”安全的优势,其中还将企业或员工的信息泄漏列为头号漏洞,这与不恰当身份验证一样,也占所有漏洞的12%,其次是违反安全设计原则(10%)以及跨站请求伪造(CSRF),占所发现漏洞的8%。
根据HackerOne首席执行官Marten Mickos表示,与传统渗透测试和红色团队活动相比,利用黑客发现漏洞更具优势,可帮助企业在发生任何事件之前就采取行动。
他告诉《Computer Weekly》:“当你有专门的渗透测试团队时,随着时间的推移,他们的创造力会下降,他们会倾向于做相同的事情,因此不太可能找到网络攻击者可能发现的漏洞。”
“我们平台的优势是我们有各种白帽黑客,并且,他们没有关于系统此前的信息,所以他们不会因为知道太多而变得‘盲目’,他们会尝试渗透测试团队不太可能尝试的事情。”
“因此,他们可能会带来更好的结果,因为他们更像是‘旁观者’,就像网络攻击者一样,而且,他们没有先入为主的想法或者偏见,他们可更加广泛和创造性地发现漏洞。虽然我们很多工作都专注于Web资产,我们也会重视移动应用、API(应用程序接口)、基础设施软件,甚至是芯片组。”
Mickos称,另一个好处是漏洞奖励计划,HackerOne的会员只有在他们发现某些东西时才会得到报酬,这意味着他们不会比渗透测试人员更自满,因为渗透测试人员会基于单次测试获得报酬,而无论他们是否发现任何漏洞。
同时,他表示:“尽管有些企业几乎每天都部署新代码,而渗透测试只能定期进行,而这往往会落后几个月。”
安全漏洞
这个过程实际上与企业的漏洞赏金活动类似,目的是鼓励白帽黑客发现网络安全漏洞,并与企业合作缓解这些漏洞以换取奖金。
唯一的区别是,使用HackerOne平台的企业不必一对一地处理黑客行为,也不需要为世界各地150多个不同国家的黑客支付赏金和处理税费。
他表示:“我们的软件平台会自动化这部分工作,提供记录系统,并提供支付机制,这可为企业节省时间、精力和人员。我们的平台还提供排名系统,确保最合适的白帽黑客承担特定任务,这意味着HackerOne可为企业提供所有白帽黑客档案。”
与很多安全产品不同,只有当黑客发现真正安全漏洞时,企业才会付费,价格是基于黑客利用所报告漏洞而对企业带来的潜在影响。
HackerOne会员报告的每个安全漏洞的严重程度是根据通用漏洞评分系统框架(CVSS)v3.0来测量,并相应设定价格。据Mickos称,可能带来严重影响的漏洞通常价格为5万到25万美元,但这种情况非常罕见,平均价格为600美元。
尽管HackerOne会根据经验、技能以及记录来对其平台会员排名,但其实年满14周岁以上且来自美国批准国家/地区的任何人都可以参加,并可获得支持和教育服务。
Mickos称:“在没有任何招聘的情况下,我们会员数量的增长速度让我们感到惊讶,但我认为我们目前还处于起步阶段,如果在未来几年我们有一百万注册黑客,我不会觉得惊讶,因为世界各地有很多人都拥有这种技能,并正在寻找有意义的工作。”
排名系统意味着HackerOne非常了解前1000名贡献者,他们大多数人都是个人,他表示:“当他们注册后,他们就有机会展现他们的技能,而当他们开始脱颖而出时,我们就会开始追踪他们的表现,很多贡献者都在主流网络安全行业有工作。”
Mickos声称:“这是一种比任何其他方式都更快、更高效和更低成本的寻找漏洞的方法。”HackerOne的客户包括广泛的公共和私营部门组织,包括美国国防部、美国通用服务管理局、通用汽车、推特、GitHub、任天堂、松下航空电子、高通、Square、星巴克和Dropbox。
未解决的问题
对于HackerOne会员的主要发现结果,Mickos称其中很多都是企业长期以来没有处理的漏洞,因为他们不了解他们所使用的旧软件并非设计为用于联网环境。
他表示:“对于企业而言,修复旧代码通常是挑战,因为在很多情况下,创建代码并理解代码工作原理的人已经离开公司,没有人知道他们在哪里。”
除了旧代码,最大的挑战还包括问题并非由于可修复的错误或缺陷所导致,而是因为软件响应的命令远远超过用户企业或者原始开发人员的预期。Mickos称:“在质量保证和其他测试中,我们很难发现软件将会以超出预期的水平来运行,而这给攻击者创造了机会。”
攻击者总是可找到漏洞利用的另一个重要原因是,尽管网络攻击的影响越来越大,企业仍然普遍存在“疏忽”。
“很多企业仍然像‘无头苍蝇’,不知道他们需要做什么来保护自己,或者让软件工程师创造新的东西来推动业务,而不是修复现有应用中的安全漏洞。很多业务激励措施导致企业忽视这个问题。”
然而,Mickos很乐观。“我相信我们会解决这个问题,但我知道这将需要社会做出强有力的回应,其中将包括法律命令。立法者需要制定法律,让企业和政府实体对此负责,正如汽车和航空安全那样。”
需要持续的安全系统
当被问及网络安全企业家在创新方面应该关注哪些领域时,Mickos称,鉴于企业和个人正在花更多的时间从事网络活动,这里需要更持续且实时运行的安全系统。
“很多传统安全系统只在固定的时间间隔运行,因此,从时间点解决方案切换到持续安全解决方案或者更快的系统将会给企业带来好处,因为最终安全是关于如何领先于网络敌人。
他表示:“其他正变得日益重要的领域包括,威胁情报以及通过改进的安全信息共享的集中防御。目前我们缺乏系统、方法和产品来做到这一点,但历史表明,集中防御可以击败不对称的威胁,我认为这将帮助企业取得最终胜利。”
在评论英国对网络安全的态度时,Mickos称,大多数企业领导者似乎都在认真对待这方面的责任,并愿意采取行动来发现其网络安全漏洞,他指出:“他们意识到这是可增强力量的地方。”
保护民众和小型企业
“与欧洲许多国家的安全机构相比,NCSC更加积极地构建邮件服务,阻止网络钓鱼和垃圾邮件,这让我印象非常深刻,”他指的是NCSC的主动网络防御(Active Cyber Defence)计划。
另一个积极举措是引入新的监管要求,例如欧盟的通用数据保护条例(GDPR)。
“国家安全机构为企业制定指导方针,但他们的方法不应是把责任归咎于企业。现在大家都真心希望解决这个问题,所以我们鼓励所有企业采取正确的行动,而当他们这样做时,局势就会转变。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
如何检测出定制服务器中预装的恶意软件?
定制服务器意味着企业需要对更多硬件安全承担责任,并更多地依靠定制制造商,而不是传统服务器供应商……
-
被忽视的Web安全漏洞:如何识别和解决?
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
-
泰雷兹威胁报告:安全支出上升,敏感数据仍易受攻击
日前,泰雷兹与分析机构451 Research联合发布《2017泰雷兹数据威胁报告》。其中,68%的受访者表示遭遇过安全漏洞,26%的受访者表示在去年遭遇过安全漏洞——两项数据同比均有所上升……
-
圣犹达医疗IoT设备存安全漏洞后续:已发布修复程序
在过去几个月,圣犹达医疗(St.Jude Medical)一直否认其IoT医疗设备存在问题,而日前圣犹达医疗终于针对其物联网(IoT)医疗设备的安全漏洞发布修复程序以及指导信息……