亚洲国产AV一区二区三区久久_乱人妻中文字幕视频_91麻豆精品国产一级_精品国产欧美另类一区

您的當(dāng)前位置: 首頁(yè)>>封丘新聞中心>>行業(yè)資訊

Web 應(yīng)用程序威脅:攻擊面映射與防護(hù)

瀏覽量(20269797) 時(shí)間:2020-09-25

      從網(wǎng)絡(luò)安全的角度來(lái)看,在現(xiàn)代Web應(yīng)用程序的黑暗世界中導(dǎo)航可能是一個(gè)雷區(qū)。這些關(guān)鍵應(yīng)用程序中有許多包含復(fù)雜的層,如果在設(shè)計(jì)中未考慮安全性,它們可能是漏洞的溫床。

因此,對(duì)于組織而言,至關(guān)重要的是找到并了解經(jīng)驗(yàn)豐富的黑客可能會(huì)用作切入點(diǎn)的任何方面。為此,安全團(tuán)隊(duì)必須更好地了解其應(yīng)用程序體系結(jié)構(gòu)中的弱點(diǎn),以減少總體攻擊面。

      通常,Web應(yīng)用程序是一個(gè)收集和存儲(chǔ)客戶(hù)個(gè)人身份信息(PII)和特權(quán)財(cái)務(wù)數(shù)據(jù)的地方。這些信息不僅對(duì)于日常業(yè)務(wù)運(yùn)營(yíng)具有不可思議的價(jià)值,而且還受到國(guó)際交叉法規(guī)要求的保護(hù),并且不遵守該信息可能會(huì)導(dǎo)致高額罰款,嚴(yán)重喪失客戶(hù)信任度和負(fù)面宣傳。

     此外,由于大多數(shù)公司在“在家辦公”的“新常態(tài)”之后將業(yè)務(wù)連續(xù)性放在首位,因此由于資源和時(shí)間的限制,許多應(yīng)用程序不夠安全。但是,這種誤導(dǎo)性方法可能與英國(guó)遠(yuǎn)程工作者的網(wǎng)絡(luò)安全和健康狀況惡化直接相關(guān)。

      網(wǎng)絡(luò)罪犯一直在采用策略來(lái)入侵網(wǎng)絡(luò)應(yīng)用程序并提取個(gè)人數(shù)據(jù)。有人可能會(huì)認(rèn)為,僅基本的用戶(hù)控件和Web應(yīng)用程序防火墻(WAF)可以預(yù)防災(zāi)難性的情況,但是不幸的是,沒(méi)有人能免受這些簡(jiǎn)單的應(yīng)用程序攻擊。

     根據(jù)記錄,Web應(yīng)用程序攻擊可能會(huì)對(duì)企業(yè)造成很大傷害。 2019年所有數(shù)據(jù)泄露中有超過(guò)五分之二(43%)與該威脅有關(guān)。此外,根據(jù)Verizon DBIR 2020報(bào)告,它們是造成數(shù)據(jù)泄露的最大原因。

網(wǎng)絡(luò)犯罪分子以盡職調(diào)查而聞名。在選擇目標(biāo),仔細(xì)收集有關(guān)潛在受害者的信息以及在發(fā)動(dòng)攻擊之前確定系統(tǒng)中的薄弱環(huán)節(jié)時(shí),他們將盡力而為。未能解決在線基礎(chǔ)設(shè)施內(nèi)潛在問(wèn)題的公司低估了現(xiàn)代黑客的意愿。

即使是最輕微的錯(cuò)誤,也可能使黑客在您的系統(tǒng)中找到立足點(diǎn),或者在您不注意的情況下,在現(xiàn)金箱中找到立足點(diǎn)。

重要的是要記住,在修補(bǔ)Web應(yīng)用程序時(shí),沒(méi)有一種萬(wàn)能的解決方案,因此對(duì)關(guān)鍵基礎(chǔ)結(jié)構(gòu)的內(nèi)部了解對(duì)于保護(hù)敏感信息至關(guān)重要。

攻擊面映射和保護(hù)

那么,安全團(tuán)隊(duì)如何才能成功映射Web應(yīng)用程序的整個(gè)攻擊面,并在為時(shí)已晚之前識(shí)別出關(guān)鍵的攻擊媒介?從應(yīng)用程序發(fā)現(xiàn)開(kāi)始,這可以分為三個(gè)關(guān)鍵階段。公司應(yīng)該列出自己擁有的關(guān)鍵Web應(yīng)用程序以及最有可能在何處公開(kāi)的列表。

這里存在一個(gè)問(wèn)題,因?yàn)閼?yīng)用程序和相關(guān)漏洞的數(shù)量很容易成千上萬(wàn),尤其是在陰影較為普遍的大型組織中,因此,在線路節(jié)奏以澄清潛在可能性的情況下,找到公開(kāi)的Web應(yīng)用程序很重要。盲點(diǎn)。

下一步是針對(duì)7種最常見(jiàn)的針對(duì)軟件漏洞的攻擊路徑,檢查所確定的Web應(yīng)用程序風(fēng)險(xiǎn)級(jí)別:

首先,您具有一種安全機(jī)制,該機(jī)制確定如何保護(hù)用戶(hù)與應(yīng)用程序之間的Web通信。
接下來(lái),根據(jù)使用哪種編碼語(yǔ)言和Web設(shè)計(jì)程序,創(chuàng)建頁(yè)面的方法將揭示更多的安全問(wèn)題。
第三種攻擊方法稱(chēng)為分布度,與創(chuàng)建的頁(yè)面數(shù)有關(guān),因?yàn)閯?chuàng)建的頁(yè)面越多,出現(xiàn)問(wèn)題的可能性就越大,因此必須監(jiān)視所有頁(yè)面。
身份驗(yàn)證欺騙發(fā)生在四個(gè)地方,并指出,在檢查所有訪問(wèn)權(quán)限之后,必須驗(yàn)證訪問(wèn)Web應(yīng)用程序的合法用戶(hù)的身份,并且僅應(yīng)驗(yàn)證需要驗(yàn)證的用戶(hù),否則任何人都可以輸入。
輸入向量越多,輸入向量也是一個(gè)問(wèn)題,攻擊面增加的可能性就越大,這可能導(dǎo)致跨站點(diǎn)腳本攻擊。
第六,我們擁有活動(dòng)內(nèi)容,如果應(yīng)用程序使用多種活動(dòng)內(nèi)容技術(shù)開(kāi)發(fā)網(wǎng)站,則活動(dòng)內(nèi)容將在應(yīng)用程序運(yùn)行腳本時(shí)使用,該腳本將啟動(dòng)活動(dòng)內(nèi)容,并取決于這些腳本的實(shí)現(xiàn)方式,攻擊面可能會(huì)增加。
最后,第七個(gè)攻擊媒介是cookie,它是允許實(shí)時(shí)應(yīng)用程序安全性監(jiān)視會(huì)話活動(dòng)所必需的,這有利于減少未經(jīng)授權(quán)的訪問(wèn)(尤其是對(duì)于網(wǎng)絡(luò)犯罪分子)。

保護(hù)皇冠上的寶石

當(dāng)針對(duì)以上七個(gè)向量對(duì)Web應(yīng)用程序進(jìn)行驗(yàn)證時(shí),必須將結(jié)果與時(shí)間(業(yè)務(wù)關(guān)鍵程度)和環(huán)境(更新頻率)相關(guān)聯(lián),以便確定總體風(fēng)險(xiǎn)狀況。在了解了有關(guān)總可尋址攻擊面(包括弱點(diǎn)和長(zhǎng)處)的知識(shí)之后,安全團(tuán)隊(duì)將擁有部署安全控制所需的彈藥。

一旦映射了風(fēng)險(xiǎn)評(píng)分,安全團(tuán)隊(duì)將擁有必要的數(shù)據(jù),以在安全防御中實(shí)施有效且連續(xù)的應(yīng)用程序測(cè)試并提供投資回報(bào)。


以上文章部分內(nèi)容采集于網(wǎng)絡(luò),如有侵權(quán)請(qǐng)聯(lián)系創(chuàng)一網(wǎng)客服處理,謝謝!

最新文章