OWASP TOP 10 – 2017:最关键的Web应用开心麻将安全风险

日期: 2017年12月6日
阅读时间: 7 min

随着现代软件开发流程的发展,当今企业使用的软件迅速发展,并且变得越来越复杂和紧密联系。 Web应用开心麻将安全风险正在增长,并且公司承受不了金钱和声誉损失方面的Web安全问题。

随着复杂性的增长,实现网络安全和避免损坏关键基础架构变得越来越困难。在这种情况下,软件安全问题正在发展。

考虑到应用开心麻将漏洞引起的威胁,活跃的开放式Web应用开心麻将安全项目(OWASP)社区致力于实现可信赖的应用开心麻将和API的开发,购买和维护。 OWASP着眼于提高对Web应用开心麻将安全性的认识,并定期发布 前十大漏洞列表

在本文中,我们将更接近OWASP TOP 10,列出最常见的Web应用开心麻将安全风险,将2017列表版本与以前的版本进行比较,并提出Web应用开心麻将安全性的下一步建议。

什么是OWASP TOP 10?

OWASP提供免费和开放的应用开心麻将安全工具和标准,以及有关安全测试,安全代码开发和审查的大量有价值的资料。此外,OWASP会定期准备OWASP Top 10列表。该列表列出了在Web应用开心麻将中最常见的十大漏洞,这些漏洞使它们易于利用。这些攻击不仅导致您的Web应用开心麻将出现安全漏洞-窃取数据或接管您的基础架构–但更重要的是,损害了公司的声誉。

OWASP TOP 10 – 2017 Web应用开心麻将安全风险。

看看OWASP确定的最常见的网络安全威胁。

– A1:2017 Injection

当攻击者将未经信任的数据发送给解释器时,就会出现诸如SQL或LDAP注入之类的注入缺陷,而这些未经解释的数据将在未经适当授权的情况下作为命令或查询执行。这可能会导致数据丢失,损坏,向未授权方披露甚至完全接管。

如何预防注射?

将数据与命令和查询分开。使用安全的API。进行应用开心麻将安全性测试。

–A2:2017身份验证和会话管理中断

错误配置的用户和会话管理身份验证可能允许攻击者破坏密码,密钥或会话令牌,或者控制用户的帐户以暂时或永久地获得其身份。这可能导致身份盗用,洗钱和泄露高度敏感的信息。

如何防止身份验证失败?

如果可能,请实施多因素身份验证以及强密码检查。不要使用任何默认凭据进行运送或部署。

–A3:2017敏感数据暴露

许多应用开心麻将和API不能正确保护敏感数据,例如财务,健康记录或其他个人信息。这可能使攻击者能够访问此类信息以进行欺诈或窃取身份。

如何防止敏感数据泄露?

根据法律法规对数据进行分类。不要不必要地存储敏感数据。确保对静态和传输中的所有数据进行加密。

–A4:2017 XML外部实体(XXE)

旧的或配置不正确的XML处理器评估XML文档中的外部实体引用。它们可用于攻击,包括远程执行代码,扫描内部系统和泄露内部文件。

如何预防XXE?

修补或升级所有XML处理器和库。使用静态应用开心麻将安全测试(SAST)工具来检查依赖关系。培训您的开发人员以识别和缓解XXE。

–A5:2017损坏的访问控制

错误配置或缺少经过身份验证的用户的限制,使他们可以访问未经授权的功能或数据。攻击者可以访问其他用户的帐户,查看敏感文档以及修改数据和访问权限。

如何防止访问控制损坏?

实施访问控制机制。进行渗透测试以检测访问控制功能不正常。

–A6:2017安全配置错误

这是不安全的默认配置,不完整或临时的配置,开放的云存储,配置错误的安全标头以及包含敏感信息的详细错误消息的常见结果。

如何防止安全配置错误?

定期修补和升级系统,框架和组件。进行动态应用开心麻将安全性测试(DAST)。

–A7:2017跨站点脚本(XSS)

只要应用开心麻将在未经适当验证或转义的情况下在新网页中包含不受信任的数据,就会发生跨站点脚本(XSS)漏洞。 XSS允许攻击者在受害者的浏览器中执行脚本,从而劫持用户会话,将用户重定向到恶意网站或破坏网站。

如何预防XSS?

将不受信任的数据与活动浏览器内容分开。使用自动设计的框架来逃避XSS。应用最佳编码实践,例如输入验证和编码数据。

–A8:2017不安全的反序列化

不安全的反序列化可能导致远程执行代码。它也可以用于执行注入,重播和特权升级攻击。

如何防止不安全的反序列化?

切勿接受来自不受信任来源的序列化对象,也不要使用仅允许原始数据类型的序列化介质。进行渗透测试。

–A9:2017使用具有已知漏洞的组件

对于许多公司而言,这种风险也许应该是首要问题。开发人员通常不知道他们的应用开心麻将中包含哪些组件(例如库,框架,模块)。使用使用具有已知漏洞的组件的应用开心麻将和API可能会导致利用不安全的组件并接管基础架构或窃取敏感数据。

如何防止使用已知漏洞的组件?

仅通过安全链接从官方来源获取资源。监视未维护的库和组件。分析您的软件组件。

–A10:2017日志记录和监控不足

记录和监视不足以及与安全响应系统的集成不足,使攻击者可以进一步攻击系统,保持持久性,提取或破坏数据并转移到其他系统。

如何避免记录和监视不足?

确保可以登录所有故障(登录,访问控制,服务器端输入验证)以识别可疑帐户并定期进行监视。进行渗透测试。

OWASP TOP 10 2017 –与以前版本的差异

随着开发应用开心麻将的技术和体系结构迅速且发生巨大变化,OWASP TOP 10 Web应用开心麻将安全风险列表需要不断适应新的现实。来自参与组织的大量社区反馈和大量数据汇总为新的准备工作提供了帮助 应用安全威胁列表。尽管该列表在许多方面看起来都与以前的版本非常相似,但是与商业部门的广泛联系确保OWASP列表可以解决威胁组织的最新和重要风险并涉及现代软件的关键问题。
与以前的OWASP TOP 10 2013版本最重要的区别如下:

合并损坏的访问控制类别

OWASP Top 10 2013中的“ A4-不安全的直接对象引用”和“缺少A7的功能级别访问控制”类别已合并为一个“ A4损坏的访问控制”类别。这消除了由先前类别的措词引起的任何可能的混淆,并促进了对该类别重点的关注。

删除打开的URL重定向和转发类别

“ A10-未经验证的重定向和转发”类别已从前10名列表中删除,因为现有研究证明,该类别不像过去那样普遍。

添加社区支持的新问题

根据社区对弱点类别的前瞻性了解,添加了“ A8不安全反序列化”和“ A10不充分的日志记录和监视”类别。

添加数据支持的新问题

由于安全测试工具(SAST)收集的数据集的支持,添加了“ A4-XML外部实体(XXE)”类别。

Web应用开心麻将安全性–后续步骤

多年来,OWASP TOP 10列表已发展成为最常见的安全合规性检查表。消除OWASP TOP 10漏洞是一个很好的起点,也是减少安全隐患的好方法。但是请记住–这只是迈向代码和整个组织安全的第一步!还有许多其他问题可能会破坏Web应用开心麻将的整体安全性。

标准违规检测时间超过200天,通常不是由内部流程检测,而是由外部各方检测。在网络安全方面仍有很多工作要做!

考虑实施真正的标准,例如OWASP应用开心麻将安全验证标准(ASVS)。专注于实现应用开心麻将安全性,明智地使用可用工具,并使安全性成为您的企业文化不可或缺的一部分。如果这超出了您的范围,请考虑使用外部 网络安全团队 它将提供指导并进行Web应用开心麻将安全性评估。在选择公司时,值得考虑的因素不仅是告诉您应用开心麻将存在哪些安全问题,还能够通过其开心麻将员有效地解决已确定的漏洞。

喜欢博客帖子吗?

请给我们反馈。

饼干

该网站在您的计算机上存储cookie。这些Cookies用于改善我们的网站并通过本网站或通过其他媒体为您提供更多个性化服务。要了解有关我们使用的cookie的更多信息,请参阅我们的 隐私政策.