【51CTO。com快譯】由於極其容易出現漏洞、並引發安全事故,因此資料隱私的保護是目前絕大多數企業不可繞過的運維環節。不過,許多中小型企業往往會錯誤地認為只有大型企業才會成為駭客的目標。而實際統計數字卻截然不同:有43%的網路犯罪恰恰是針對小型企業的。而且,無論是系統陳舊且未給漏洞打上安全補丁,還是各種惡意軟體,甚至是一些人為的錯誤,都可以成為系統的受攻擊面。
如果仔細觀察當前的網路威脅態勢,您可能會驚訝地發現,90%的Web應用都可能成為攻擊者的潛在目標。因此,為了讓應用程式和資料資產免受威脅,各大線上社群(例如OWASP和NIST)努力制定了各種安全標準和優秀實踐,並以免費的文件、方法、工具等形式,協助企業透過對照實施,來增強其IT環境的安全態勢。
在我們開始深入討論之前,讓我們首先來看一些驚人的統計資料:
僅在2020年上半年間,企業資料的洩露量已累計高達360億條記錄。
86%的網路安全洩漏是出於經濟目的,而有10%是源於間諜活動。
從分類來看,有45%的洩漏源於駭客攻擊,17%源於惡意軟體,22%與網路釣魚有關。
許多金融企業會讓員工不受限地訪問各類文件資源,他們甚至可以訪問到本企業內部大約17%的敏感檔案(約1100萬個檔案)。
平均而言,只有5%的公司資料夾受到了適當的保護。而且,有超過77%的企業並無事件響應計劃。
可見,針對上述威脅,我們應採取主動的Web安全策略,以及嚴格的措施,來確保敏感的資料資訊、Web應用、以及資訊系統等資產,免受攻擊與侵害。下面,我將和您討論五種最主要的Web應用安全威脅,以及七種行之有效的防護措施與實踐。
1。注入漏洞
注入漏洞會讓攻擊者方便將惡意程式碼植入到目標應用系統(如,解析器)中。簡而言之,如果您的Web應用允許使用者將其輸入的資訊插入後端資料庫,或使用shell命令對作業系統進行呼叫,那麼您的應用就可能會受到注入漏洞的影響。
當然,您可以透過檢查應用的原始碼,或對應用進行徹底的滲透測試,來發現此類漏洞。注入漏洞最常見的型別是SQL注入。攻擊者會在SQL查詢中,插入惡意程式碼,並將其轉發到後端資料庫伺服器上,實施遠端盜竊或攻擊。
除常見的SQL注入之外,目前還有LDAP注入、XML注入、XPATH注入、OS命令注入、以及HTML注入。我們通常可以透過適當、及時地檢查與清理使用者的輸入,來防範此類威脅。
2。身份驗證失敗
身份驗證失敗是由身份驗證和會話管理控制元件的實施不當而引起的。如果攻擊者能夠成功地識別和利用那些與身份驗證相關的漏洞,那麼他們就能直接訪問到各種敏感資料和功能。
為了利用身份驗證漏洞,攻擊者需要透過採用諸如:憑證填充、會話劫持、密碼暴力破解、以及會話ID URL重寫等方法,來模擬應用程式的合法使用者。
我們可以透過實施健全的會話管理控制、多因素身份驗證、限制和監視失敗的登入嘗試,來防範此類攻擊。更多預防措施,請參見——https://cheatsheetseries。owasp。org/cheatsheets/Authentication_Cheat_Sheet。html。
3。敏感資料洩漏
當Web應用不能充分保護諸如:會話ID、密碼、財務資訊、以及客戶資料等敏感資訊時,資料洩露就會發生。
此類洩漏的內部原因主要包括:未對敏感資料實施加密,僅採用了弱加密方式,軟體應用的本身漏洞,以及操作員將資料上傳至錯誤的資料庫等方面。而外部攻擊因素則包括:SQL注入、身份驗證與訪問控制的破壞、網路釣魚攻擊、以及針對明文協議HTTP、FTP和SMTP傳輸資料等網路級別的攻擊。
為了應對此類洩漏,我們可以採取的主要措施包括:徹底檢查應用程式的原始碼與IT環境,尤其是正在使用安全密碼演算法等方面。
4。 XML外部實體
XML外部實體注入(通常被稱為XML External Entity,XXE)可以讓攻擊者透過Web應用的漏洞,干擾應用對於XML資料的處理。此類攻擊往往會導致諸如拒絕服務、資料洩露、伺服器端請求偽造等問題。
我們可以透過實施伺服器端的輸入驗證,修補和升級所有XML處理器,以及使用SAST工具來分析原始碼等方法,來有效地防止XML外部實體注入。
5。受損的訪問控制
從概念上說,訪問控制機制就是要確定使用者是否可以執行,與之身份和許可權相符的操作。而當用戶可以在其預期許可權之外執行某項操作時,那麼就出現了訪問控制的破壞。
鑑於Web應用在當下激烈競爭與快速發展的商業環境中尤為重要,我們可以透過如下七種針對Web應用的安全性防護措施與實踐,來協助企業保護系統與資料。
1。定義並採用合適的網路安全框架
網路安全框架包括一系列文件和指南,它定義了企業在管理網路安全風險,以及減少漏洞的過程中,需要遵循的各種優秀實踐。這裡主要強調的是“合適才是最好的”。我們需要對企業所處的行業,當前開展的業務進行調研。在此基礎上,透過利用專業知識和業界現有的安全標準,為本企業準備詳細的計劃與適合的安全策略。
2。跟蹤您的資產並進行威脅評估
如今,大多數企業都會透過線上運維的方式,對諸如:Web應用、網站、Web服務、API、以及基於雲的軟體即服務(SaaS)等IT資產,進行管理。因此在此類IT環境中,他們需要與內、外部的各種系統持續進行通訊。同時,許多功能性的介面都會被暴露出來。
對此,企業需要實施關鍵性網路安全計劃便是資產發現。該環節可幫助運維人員找到各種Web資產,以便他們按需保護目標元件,並制定出相應的安全策略。可以說,一旦建立了所有重要Web資產的列表,他們即可開始執行威脅評估,以識別出針對當前應用的潛在威脅,進而制定出有效的緩解計劃。
3。遵守安全編碼標準
據軟體工程研究所的統計,大約有90%的軟體安全問題,都是由軟體設計或程式碼中的缺陷引起的。誠然,開發人員的主要工作是讓應用程式能夠正常執行,但是如果忽略了安全編碼,則會無形中留下各種安全漏洞和被攻擊的後門。
可見,我們需要實施安全的編碼標準,以確保軟體和應用得到保護,並免受安全漏洞的影響。在實際專案中,我們可以在軟體開發生命週期(SDLC)的早期階段引入安全性,並透過遵循OWASP的安全編碼規範、以及SEI CERT編碼標準,這兩種時下流行的安全編碼標準,以避免在後期測試和部署階段,花費時間和精力去填補各種安全漏洞。
4。部署企業級安全解決方案
最常見的企業級智慧安全解決方案當屬Web應用防火牆(WAF)。它可以透過監控和過濾各種惡意HTTP流量,協助保護Web應用免受諸如SQL注入、跨站點指令碼等攻擊的侵害。也就是說,我們透過在Web應用程式和網際網路之間放置一道WAF屏障,可以僅允許合法使用者的訪問,並阻斷各種惡意的請求。
當然,我們也可以考慮使用諸如Burpsuite pro和Acunetix之類專業的Web安全掃描器,以實現對Web應用的快速掃描,並識別出潛在的漏洞。
5。儘可能自動化
在日常運維中,我們往往需要執行Web應用掃描、簽名與行為分析、以及DDoS緩解等重複性的任務。為了節省大量的時間和精力,安全人員應當與自動化技術人員合作,在確保各項任務得以自動化實施的前提下,增強Web應用的安全性。
6。加密資料
過去,Web應用往往使用明文的HTTP協議進行通訊。這會導致攻擊者能夠以中間人(MIM)的方式,扮演通訊中的某一方,竊取具體內容。如今,使用基於傳輸層安全協議(TLS)的HTTP加密方式,已經成為了許多企業應用的必選項。同時,它也成為了大多數瀏覽器的預設配置項。
HTTPS加密可以維護使用者瀏覽器和伺服器之間傳輸資料的完整性。也就是說,當用戶使用HTTPS協議連線到諸如某個網際網路銀行應用的網站時,瀏覽器會基於證書建立起安全的TLS會話,以保證瀏覽器和伺服器之間的請求和響應都處於加密狀態。顯然,此類加密技術對於維護敏感使用者資料的機密性和完整性都是不錯的實踐。
7。滲透測試
最後一項有效的安全策略是,定期對Web應用執行全面的滲透測試,以及時發現目標系統的關鍵漏洞。滲透測試可以模擬攻擊者或駭客對系統的出入口、原始碼、資料庫、公共可用源、以及後端網路,進行掃描和嘗試性地攻擊。
在完成測試後,滲透人員會出具已發現漏洞的優先順序排序報告,並協助開發團隊參照最佳的行業標準,予以漏洞修補和安全整改。
小結
至此,我們討論了企業目前所面臨的五種主要Web應用威脅,以及七種應對威脅的技術實踐與防護措施。當然,對運維人員和普通員工進行最新的威脅概念教育,以及基本的威脅識別和預防等培訓也是非常必要的。總之,對於攻擊而言,越早發現,越早處置,越能保障安全。
原文標題:5 Web Application Security Threats and 7 Measures to Protect Against Them,作者: Cyril James
【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO。com】