文档章节

威胁web应用安全的错误

上树的熊
 上树的熊
发布于 07/23 16:00
字数 772
阅读 6
收藏 0

一般绝大部分的web应用攻击都是没特定目标的大范围漏洞扫描,只有少数攻击确实是为入侵特定目标而进行的针对性尝试。这两种攻击都非常频繁,难以准确检测出来,许多网站的web应用防火墙都无法保证能够有效运行。有一些被忽略的安全错误可能会威胁到web应用的安全。

存在的SQL注入漏洞 SQL注入依然还活跃着,安全监控公司 Alert Logic 的研究显示,SQL注入攻击长期以来一直都是最普遍的Web攻击方式,占该公司客户报告事件的55%。不要存侥幸心理觉得SQL注入已经不存在了。 不安全的反序列话 反序列化过程就是应用接受序列化对象并将其还原的过程。如果序列化过程不安全,可能会出现大问题。Imperva Incapsula 报告称,不安全反序列化攻击近期快速抬头,2017年最后3个月里增长了300%,可能是受非法加密货币挖矿活动的驱动。 该不安全性可轻易导致Web应用暴露在远程代码执行的威胁之下——攻击者战术手册中排名第二的攻击技术。开放Web应用安全计划(OWASP)去年将不安全反序列化纳入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鲜明的例子就是Equifax大规模数据泄露事件——据称就是应用不安全反序列化漏洞发起的。 未使用内容安全策略组织跨站脚本 XSS是往带漏洞web应用中出入恶意代码的常见手段。XSS的目标不是web应用,而是使用web应用的用户。组织XSS最有效的方法是使用内容安全策略(CSP),这一技术发展良好但仍未被大多数网站采纳。

信息泄漏,50%的应用都有某种信息泄露漏洞。这些漏洞会将有关应用本身、应用所处环境或应用用户的信息暴露给黑客,供黑客进行进一步的攻击。信息泄漏可以是用户名/口令泄漏,也可以是软件版本号暴露。通常重新配置一下就能堵上漏洞,但缓解过程却往往视泄漏数据的种类耳钉。问题在于,即便是软件版本号泄漏了,也能够给黑客带来攻击上的优势。

© 著作权归作者所有

共有 人打赏支持
上树的熊
粉丝 1
博文 88
码字总数 50541
作品 0
朝阳
私信 提问
解析天下数据Web应用防火墙以及特征

随着信息和科技的发展,网站业务已经深入各行各业,成为主要的信息来源和业务平台,包括:电子政务、电子商务、网上银行、网上营业厅等。各类机构的不断增多,同时也优化了网站的功能,更好的...

冬眠的包子
2016/04/20
43
0
教你如何避免威胁建模7大“坑”

什么是威胁建模? 开放Web应用程序安全项目(OWASP)将威胁建模描述为“用于识别、量化和解决与应用程序相关的安全风险的结构化方法”。它本质上涉及在构建或部署系统时,战略性考虑的威胁,...

技术小能手
06/08
0
0
如何通过威胁建模构建安全的Web应用程序

一、Web应用程序安全概述 在当前的网络计算环境中,各种形式的安全已经成为所有Web应用程序的普遍需求。保密性、完整性和保密性的需求日益增加,可以说安全已经成为了一种至关重要的互联网技...

网络安全
2017/12/18
0
0
四月第一周安全要闻回顾:恶意软件和针对流行软件的漏洞攻击

本文同时发布在:[url]http://netsecurity.51cto.com/art/200904/120233.htm[/url] 近期值得关注的新闻以威胁和攻击领域内的为主。围绕疯狂扩散的Conficker蠕虫进行的攻防战本周仍在持续进行...

J0ker
2009/04/24
0
0
SDL-软件安全设计初窥

前言 本文详细介绍微软软件安全开发生命周期(SDL)相关概念,并讨论要遵循 SDL 过程所应执行的各种安全活动,其中着重对软件安全设计的原则进行探讨。并对STRIDE威胁建模方法进行深入介绍。...

老鹰a
2017/09/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

ConcurrentHashMap源码解析

初始化 先看看ConcurrentHashMap中几个重要的属性: // 初始化容量大小static final int DEFAULT_INITIAL_CAPACITY = 16;//默认负载因子static final float DEFAULT_LOAD_FACTOR = 0.75f...

grace_233
8分钟前
0
0
java对象的浅拷贝和深拷贝

浅拷贝 java的数据类型有基本数据类型(如:int、long等)和引用数据类型。例如:对象1中有属性a(基本数据类型)和属性b(引用数据类型),在进行浅拷贝到对象2时,属性a复制属性的值给对象...

yangyangyyyy
8分钟前
0
0
SQLServer AlwaysOn在阿里云的前世今生

缘起 早在2015年的时候,随着阿里云业务突飞猛进的发展,SQLServer业务也积累了大批忠实客户,其中一些体量较大的客户在类似大促的业务高峰时RDS的单机规格(规格是按照 内存CPUIOPS 一定比例...

阿里云云栖社区
10分钟前
0
0
ubuntu16.04 LNMP搭建 php7.1

sudo apt-get update sudo apt-get install mysql-server mysql-client sudo apt-add-repository ppa:ondrej/php sudo apt-get update sudo apt-get install php7.1 php7.1-fpm php7.1-cgi p......

一千零一夜个为什么
16分钟前
0
0
阿里云高级技术专家带你全面了解云主机性能评测

钱超,花名西邪,阿里云高级技术专家,超12年老阿里,是云主机性能领域的知名专家。 在目前的云计算测评领域,很多性能测评存在营销的包装,容易引起误导:比如用瞬时性能引导读者得出结论,...

阿里云官方博客
23分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部