從網(wǎng)絡安全的角度來看��,在現(xiàn)代Web應用程序的黑暗世界中導航可能是一個雷區(qū)���。這些關鍵應用程序中有許多包含復雜的層����,如果在設計中未考慮安全性,它們可能是漏洞的溫床���。
因此����,對于組織而言�����,至關重要的是找到并了解經(jīng)驗豐富的黑客可能會用作切入點的任何方面���。為此���,安全團隊必須更好地了解其應用程序體系結構中的弱點��,以減少總體攻擊面�����。
通常���,Web應用程序是一個收集和存儲客戶個人身份信息(PII)和特權財務數(shù)據(jù)的地方��。這些信息不僅對于日常業(yè)務運營具有不可思議的價值�����,而且還受到國際交叉法規(guī)要求的保護��,并且不遵守該信息可能會導致高額罰款��,嚴重喪失客戶信任度和負面宣傳�。
此外,由于大多數(shù)公司在“在家辦公”的“新常態(tài)”之后將業(yè)務連續(xù)性放在首位���,因此由于資源和時間的限制�,許多應用程序不夠安全����。但是,這種誤導性方法可能與英國遠程工作者的網(wǎng)絡安全和健康狀況惡化直接相關���。
網(wǎng)絡罪犯一直在采用策略來入侵網(wǎng)絡應用程序并提取個人數(shù)據(jù)��。有人可能會認為�,僅基本的用戶控件和Web應用程序防火墻(WAF)可以預防災難性的情況��,但是不幸的是,沒有人能免受這些簡單的應用程序攻擊����。
根據(jù)記錄,Web應用程序攻擊可能會對企業(yè)造成很大傷害����。 2019年所有數(shù)據(jù)泄露中有超過五分之二(43%)與該威脅有關。此外�,根據(jù)Verizon DBIR 2020報告,它們是造成數(shù)據(jù)泄露的最大原因�。
網(wǎng)絡犯罪分子以盡職調(diào)查而聞名。在選擇目標�����,仔細收集有關潛在受害者的信息以及在發(fā)動攻擊之前確定系統(tǒng)中的薄弱環(huán)節(jié)時�,他們將盡力而為。未能解決在線基礎設施內(nèi)潛在問題的公司低估了現(xiàn)代黑客的意愿�。
即使是最輕微的錯誤�,也可能使黑客在您的系統(tǒng)中找到立足點,或者在您不注意的情況下�����,在現(xiàn)金箱中找到立足點。
重要的是要記住��,在修補Web應用程序時�����,沒有一種萬能的解決方案����,因此對關鍵基礎結構的內(nèi)部了解對于保護敏感信息至關重要。
攻擊面映射和保護
那么�,安全團隊如何才能成功映射Web應用程序的整個攻擊面,并在為時已晚之前識別出關鍵的攻擊媒介��?從應用程序發(fā)現(xiàn)開始�,這可以分為三個關鍵階段。公司應該列出自己擁有的關鍵Web應用程序以及最有可能在何處公開的列表�����。
這里存在一個問題�,因為應用程序和相關漏洞的數(shù)量很容易成千上萬,尤其是在陰影較為普遍的大型組織中���,因此���,在線路節(jié)奏以澄清潛在可能性的情況下�,找到公開的Web應用程序很重要�。盲點。
下一步是針對7種最常見的針對軟件漏洞的攻擊路徑��,檢查所確定的Web應用程序風險級別:
首先����,您具有一種安全機制,該機制確定如何保護用戶與應用程序之間的Web通信��。
接下來��,根據(jù)使用哪種編碼語言和Web設計程序��,創(chuàng)建頁面的方法將揭示更多的安全問題�。
第三種攻擊方法稱為分布度,與創(chuàng)建的頁面數(shù)有關�,因為創(chuàng)建的頁面越多,出現(xiàn)問題的可能性就越大���,因此必須監(jiān)視所有頁面���。
身份驗證欺騙發(fā)生在四個地方,并指出����,在檢查所有訪問權限之后,必須驗證訪問Web應用程序的合法用戶的身份��,并且僅應驗證需要驗證的用戶��,否則任何人都可以輸入�。
輸入向量越多,輸入向量也是一個問題��,攻擊面增加的可能性就越大���,這可能導致跨站點腳本攻擊����。
第六����,我們擁有活動內(nèi)容,如果應用程序使用多種活動內(nèi)容技術開發(fā)網(wǎng)站�����,則活動內(nèi)容將在應用程序運行腳本時使用,該腳本將啟動活動內(nèi)容��,并取決于這些腳本的實現(xiàn)方式����,攻擊面可能會增加。
最后�,第七個攻擊媒介是cookie,它是允許實時應用程序安全性監(jiān)視會話活動所必需的�����,這有利于減少未經(jīng)授權的訪問(尤其是對于網(wǎng)絡犯罪分子)���。
保護皇冠上的寶石
當針對以上七個向量對Web應用程序進行驗證時�,必須將結果與時間(業(yè)務關鍵程度)和環(huán)境(更新頻率)相關聯(lián)�����,以便確定總體風險狀況����。在了解了有關總可尋址攻擊面(包括弱點和長處)的知識之后���,安全團隊將擁有部署安全控制所需的彈藥。
一旦映射了風險評分����,安全團隊將擁有必要的數(shù)據(jù)�,以在安全防御中實施有效且連續(xù)的應用程序測試并提供投資回報。
以上文章部分內(nèi)容采集于網(wǎng)絡����,如有侵權請聯(lián)系創(chuàng)一網(wǎng)客服處理,謝謝���!
