文档章节

威胁web应用安全的错误

上树的熊
 上树的熊
发布于 07/23 16:00
字数 772
阅读 3
收藏 0

一般绝大部分的web应用攻击都是没特定目标的大范围漏洞扫描,只有少数攻击确实是为入侵特定目标而进行的针对性尝试。这两种攻击都非常频繁,难以准确检测出来,许多网站的web应用防火墙都无法保证能够有效运行。有一些被忽略的安全错误可能会威胁到web应用的安全。

存在的SQL注入漏洞 SQL注入依然还活跃着,安全监控公司 Alert Logic 的研究显示,SQL注入攻击长期以来一直都是最普遍的Web攻击方式,占该公司客户报告事件的55%。不要存侥幸心理觉得SQL注入已经不存在了。 不安全的反序列话 反序列化过程就是应用接受序列化对象并将其还原的过程。如果序列化过程不安全,可能会出现大问题。Imperva Incapsula 报告称,不安全反序列化攻击近期快速抬头,2017年最后3个月里增长了300%,可能是受非法加密货币挖矿活动的驱动。 该不安全性可轻易导致Web应用暴露在远程代码执行的威胁之下——攻击者战术手册中排名第二的攻击技术。开放Web应用安全计划(OWASP)去年将不安全反序列化纳入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鲜明的例子就是Equifax大规模数据泄露事件——据称就是应用不安全反序列化漏洞发起的。 未使用内容安全策略组织跨站脚本 XSS是往带漏洞web应用中出入恶意代码的常见手段。XSS的目标不是web应用,而是使用web应用的用户。组织XSS最有效的方法是使用内容安全策略(CSP),这一技术发展良好但仍未被大多数网站采纳。

信息泄漏,50%的应用都有某种信息泄露漏洞。这些漏洞会将有关应用本身、应用所处环境或应用用户的信息暴露给黑客,供黑客进行进一步的攻击。信息泄漏可以是用户名/口令泄漏,也可以是软件版本号暴露。通常重新配置一下就能堵上漏洞,但缓解过程却往往视泄漏数据的种类耳钉。问题在于,即便是软件版本号泄漏了,也能够给黑客带来攻击上的优势。

© 著作权归作者所有

共有 人打赏支持
上树的熊
粉丝 1
博文 79
码字总数 44111
作品 0
朝阳
解析天下数据Web应用防火墙以及特征

随着信息和科技的发展,网站业务已经深入各行各业,成为主要的信息来源和业务平台,包括:电子政务、电子商务、网上银行、网上营业厅等。各类机构的不断增多,同时也优化了网站的功能,更好的...

冬眠的包子
2016/04/20
43
0
如何通过威胁建模构建安全的Web应用程序

一、Web应用程序安全概述 在当前的网络计算环境中,各种形式的安全已经成为所有Web应用程序的普遍需求。保密性、完整性和保密性的需求日益增加,可以说安全已经成为了一种至关重要的互联网技...

网络安全
2017/12/18
0
0
教你如何避免威胁建模7大“坑”

什么是威胁建模? 开放Web应用程序安全项目(OWASP)将威胁建模描述为“用于识别、量化和解决与应用程序相关的安全风险的结构化方法”。它本质上涉及在构建或部署系统时,战略性考虑的威胁,...

技术小能手
06/08
0
0
四月第一周安全要闻回顾:恶意软件和针对流行软件的漏洞攻击

本文同时发布在:[url]http://netsecurity.51cto.com/art/200904/120233.htm[/url] 近期值得关注的新闻以威胁和攻击领域内的为主。围绕疯狂扩散的Conficker蠕虫进行的攻防战本周仍在持续进行...

J0ker
2009/04/24
0
0
别等遭遇了勒索病毒再防范!梭子鱼让你有备无患

2017年,安全界最为关注的话题莫过于勒索病毒。当时,很多安全企业及安全专家预测,WannaCry勒索病毒仅仅是开始,未来的形势将更加严峻,人们在安全防御上时刻面临挑战。 实际上,正如先前预...

玄学酱
05/01
0
0

没有更多内容

加载失败,请刷新页面

加载更多

初级开发-编程题

` public static void main(String[] args) { System.out.println(changeStrToUpperCase("user_name_abc")); System.out.println(changeStrToLowerCase(changeStrToUpperCase("user_name_abc......

小池仔
今天
4
0
现场看路演了!

HiBlock
昨天
12
0
Rabbit MQ基本概念介绍

RabbitMQ介绍 • RabbitMQ是一个消息中间件,是一个很好用的消息队列框架。 • ConnectionFactory、Connection、Channel都是RabbitMQ对外提供的API中最基本的对象。Connection是RabbitMQ的s...

寰宇01
昨天
9
0
官方精简版Windows10:微软自己都看不过去了

微软宣布,该公司正在寻求解决方案,以减轻企业客户的Windows 10规模。该公司声称,企业客户下载整个Windows 10文件以更新设备既费钱又费时。 微软宣布,该公司正在寻求解决方案,以减轻企业...

linux-tao
昨天
14
0
TypeScript基础入门之JSX(二)

转发 TypeScript基础入门之JSX(二) 属性类型检查 键入检查属性的第一步是确定元素属性类型。 内在元素和基于价值的元素之间略有不同。 对于内部元素,它是JSX.IntrinsicElements上的属性类型...

durban
昨天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部