众所周知,黑客入侵、网络攻击以及其他数字化安全漏洞从来都有百害而无一利。一个行业的烦恼可能是另一个行业的噩梦——如果你读过 Veracode 的《软件安全报告声明,卷6》,就会知道大多数安全漏洞在某些特定行业更为频繁。
1. 代码质量问题
这个问题排在第一是有理由的。根据 Veracode 的研究,所有受调查企业提交的应用至少有半数存在代码质量问题。虽然难以置信,这也是一种行动倡议:所有行业都应该切实执行安全编码,比如早期的专家投入,频繁且自动化的对问题进行排查等。
2. 加密问题
加密问题是最常见的安全漏洞之一,因为密码学隐藏了重要的数据:如果密码、支付信息或个人数据需要存储或者传输,它们必须通过某种方法进行加密。密码学也是一个自行其是的领域,白帽、黑帽专家不计其数,因此,请找专家解决加密问题,而不是埋头苦干。以上都是常识。
3. 信息泄露
信息泄露的形式很多,但基本定义非常简单:攻击者或其他人看到了不该看的信息,且该信息可造成危害(比如:发起注入攻击,或盗取用户数据)即为信息泄露。因为信息泄露的形式千变万化,必须找一个真正谨慎的专家来处理。无需多言。
4. CRLF 注入
CRLF 注入,从基本层面来说,是一种更强大的攻击方式。在意想不到的位置添加行末命令,攻击者可以注入代码进行破坏。根据 Veracode 的研究,这些破坏包括:网站篡改、跨站脚本攻击、浏览器劫持等。尽管这类攻击可能比其他攻击更容易防范,但若是忽视这一攻击,就会酿成大祸。
5. 跨站脚本攻击
另一种注入攻击——跨站脚本注入(也成为 XSS 攻击),可通过滥用网站内的动态内容以执行外部代码实现。这类攻击的后果包括:用户账户劫持,Web 浏览器劫持等等。在包含允许输入问号、斜杠等常用编码字符的网站中,这类攻击尤为常见。此 Veracode 博客详细介绍了该攻击的形式、后果,以及解决方法。
6. 目录遍历攻击
目录遍历攻击十分可怕,因为它不需要特定的工具或知识就能造成伤害。确实,只要有 Web 浏览器并掌握基本概念,任何人都可以对缺少防备的网站发起攻击,读取大的文件系统并获取其中包含的“干货”——用户名与密码、重要文件甚至网站或应用的源代码。鉴于此类攻击的门槛极低,强烈建议咨询专业人员解决该问题。
7. 输入验证不足
简单地说,妥善地处理并检查输入信息能确保用户传给服务器的数据不造成意外的麻烦。反之,如果输入验证不足,就会导致许多常见的安全漏洞,诸如恶意读取或窃取数据,会话及浏览器劫持,恶意代码运行等等。不要猜测用户的输入行为,要以偏执的心态对待用户输入。
8. SQL 注入
尽管排名较低,SQL 注入由于易于实现,已经成为最常见的安全漏洞之一。同是注入攻击,SQL 注入则专注于 SQL 查询语句。攻击者反复地将这些查询语句填入输入栏,给用户、网站管理员以及企业造成极大的麻烦。想了解更多信息?这篇 Veracode 博客对 SQL 注入有更为详细的说明。
9. 证书管理
当坏人未经授权进入安全系统时,就会有坏事发生。有时,这些坏事是此类入侵的直接结果;而别的时候,这类入侵会泄露一些信息,导致更大的攻击。不论是哪种情况,在准许读取重要信息时采取谨慎的措施以验证身份,永远都不是坏主意。
10. 时间与状态错误
这类漏洞最为狡猾,是由于分布式计算的兴起,多系统、多线程硬件等运行同时任务造成的。与其他攻击一样,它也有多种形式,若是被攻击者利用,执行未经授权的代码,也会造成验证的后果。此外,与多方面攻击相似,必须求助专业协作才能防御这类漏洞。比较,你无法抵御你不能预测的攻击。
保持系统安全
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。如果你想自己的应用在安全方面无懈可击,不要羞于寻求帮助,真的出现漏洞,就为时过晚了。OneRASP 应用安全防护利器, 可以为软件产品提供精准的实时保护,使其免受漏洞所累。
本文转自 OneAPM 官方博客
