文档章节

威胁web应用安全的错误

上树的熊
 上树的熊
发布于 07/23 16:00
字数 772
阅读 2
收藏 0

一般绝大部分的web应用攻击都是没特定目标的大范围漏洞扫描,只有少数攻击确实是为入侵特定目标而进行的针对性尝试。这两种攻击都非常频繁,难以准确检测出来,许多网站的web应用防火墙都无法保证能够有效运行。有一些被忽略的安全错误可能会威胁到web应用的安全。

存在的SQL注入漏洞 SQL注入依然还活跃着,安全监控公司 Alert Logic 的研究显示,SQL注入攻击长期以来一直都是最普遍的Web攻击方式,占该公司客户报告事件的55%。不要存侥幸心理觉得SQL注入已经不存在了。 不安全的反序列话 反序列化过程就是应用接受序列化对象并将其还原的过程。如果序列化过程不安全,可能会出现大问题。Imperva Incapsula 报告称,不安全反序列化攻击近期快速抬头,2017年最后3个月里增长了300%,可能是受非法加密货币挖矿活动的驱动。 该不安全性可轻易导致Web应用暴露在远程代码执行的威胁之下——攻击者战术手册中排名第二的攻击技术。开放Web应用安全计划(OWASP)去年将不安全反序列化纳入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鲜明的例子就是Equifax大规模数据泄露事件——据称就是应用不安全反序列化漏洞发起的。 未使用内容安全策略组织跨站脚本 XSS是往带漏洞web应用中出入恶意代码的常见手段。XSS的目标不是web应用,而是使用web应用的用户。组织XSS最有效的方法是使用内容安全策略(CSP),这一技术发展良好但仍未被大多数网站采纳。

信息泄漏,50%的应用都有某种信息泄露漏洞。这些漏洞会将有关应用本身、应用所处环境或应用用户的信息暴露给黑客,供黑客进行进一步的攻击。信息泄漏可以是用户名/口令泄漏,也可以是软件版本号暴露。通常重新配置一下就能堵上漏洞,但缓解过程却往往视泄漏数据的种类耳钉。问题在于,即便是软件版本号泄漏了,也能够给黑客带来攻击上的优势。

© 著作权归作者所有

共有 人打赏支持
上树的熊
粉丝 0
博文 60
码字总数 30902
作品 0
朝阳
解析天下数据Web应用防火墙以及特征

随着信息和科技的发展,网站业务已经深入各行各业,成为主要的信息来源和业务平台,包括:电子政务、电子商务、网上银行、网上营业厅等。各类机构的不断增多,同时也优化了网站的功能,更好的...

冬眠的包子
2016/04/20
43
0
教你如何避免威胁建模7大“坑”

什么是威胁建模? 开放Web应用程序安全项目(OWASP)将威胁建模描述为“用于识别、量化和解决与应用程序相关的安全风险的结构化方法”。它本质上涉及在构建或部署系统时,战略性考虑的威胁,...

技术小能手
06/08
0
0
如何通过威胁建模构建安全的Web应用程序

一、Web应用程序安全概述 在当前的网络计算环境中,各种形式的安全已经成为所有Web应用程序的普遍需求。保密性、完整性和保密性的需求日益增加,可以说安全已经成为了一种至关重要的互联网技...

网络安全
2017/12/18
0
0
四月第一周安全要闻回顾:恶意软件和针对流行软件的漏洞攻击

本文同时发布在:[url]http://netsecurity.51cto.com/art/200904/120233.htm[/url] 近期值得关注的新闻以威胁和攻击领域内的为主。围绕疯狂扩散的Conficker蠕虫进行的攻防战本周仍在持续进行...

J0ker
2009/04/24
0
0
SDL-软件安全设计初窥

前言 本文详细介绍微软软件安全开发生命周期(SDL)相关概念,并讨论要遵循 SDL 过程所应执行的各种安全活动,其中着重对软件安全设计的原则进行探讨。并对STRIDE威胁建模方法进行深入介绍。...

老鹰a
2017/09/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

centos7安装redis及开机启动

配置编译环境: sudo yum install gcc-c++ 下载源码: wget http://download.redis.io/releases/redis-3.2.8.tar.gz 解压源码: tar -zxvf redis-3.2.8.tar.gz 进入到解压目录: cd redis-3......

hotsmile
35分钟前
0
0
Confluence 6 数据库和临时目录

数据库 所有的其他数据库,包括有页面,内容都存储在数据库中。如果你安装的 Confluence 是用于评估或者你选择使用的是 Embedded H2 Database 数据库。数据库有关的文件将会存储在 database...

honeymose
49分钟前
1
0
day62-20180820-流利阅读笔记

1.今日导读 2.带着问题听讲解 3.新闻正文(中英文对照) 4.重点词汇 5.拓展内容

aibinxiao
59分钟前
0
0
分布式锁实现及对比

一、问题介绍 日常工作中很多场景下需要用到分布式锁,例如:任务运行(多个节点同一时刻同一个任务只能在一个节点上运行(分片任务除外)),交易接受(前端交易请求发送时,可能由于两次提...

yangjianzhou
今天
6
0
【AI实战】快速掌握TensorFlow(二):计算图、会话

在前面的文章中,我们已经完成了AI基础环境的搭建(见文章:Ubuntu + Anaconda + TensorFlow + GPU + PyCharm搭建AI基础环境),以及初步了解了TensorFlow的特点和基本操作(见文章:快速掌握...

雪饼
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部