Web應用程序中的主要網(wǎng)絡安全風險
      
                                    
                                
      
                                
      
                                    
      以信息傳播的速度,人們很容易忘記互聯(lián)網(wǎng)還相對年輕。憑借指數(shù)級增長的潛力,尤其是負面的預見,我們可以開始看到互聯(lián)網(wǎng)在使用數(shù)據(jù)推動技術(shù)進步時的好處。
      

      Web應用程序中的主要網(wǎng)絡安全風險-南華中天
      

      致力于分析、開發(fā)和研究漏洞的網(wǎng)絡安全項目現(xiàn)在正與 Cisco Talos、Google和 IBM 等行業(yè)領(lǐng)導者和公司合作,旨在有目的地暴露設計缺陷。從本質(zhì)上破壞軟件的努力在本質(zhì)上是惡意和粗魯?shù)?。然而,這些蓄意的攻擊提供了透明度,促進了安全性的加強,以抵御潛在的威脅。在實踐中,最好是好人在壞人利用之前發(fā)現(xiàn)漏洞。之前向供應商提供零日漏洞在公開披露,讓開發(fā)人員有機會實施補丁。這個想法是一起工作,因為像谷歌這樣的公司與自由軟件項目(如 GNU 項目)合作,為開源項目提供了一個改進的平臺。
      

      使用分析數(shù)據(jù)保護用戶
      

      開源項目主要是社區(qū)驅(qū)動的,許多項目是成員開發(fā)和研究貢獻的產(chǎn)物。Open Web Application Security Project,簡稱 OWASP,是一個致力于 Web 應用安全的非盈利組織。提供 Web App 安全和分析數(shù)據(jù),這個開源社區(qū)在服務器層面有更直接的影響。雖然思科、谷歌和 IBM 等大公司在前沿運營,但 OWASP 等項目使用 2017 年收集的數(shù)據(jù)編制了Web 應用程序中的十大安全風險。
      

      主要網(wǎng)絡安全風險
      

      1、注入:SQL、XML 解析器、操作系統(tǒng)命令、SMTP 標頭
      

      注入型攻擊顯著增加— 2017 年比 2016 年增長 37%。代碼注入攻擊可以包括整個系統(tǒng),完全控制。SQL 注入會破壞數(shù)據(jù)庫,查詢通常包含個人信息的最重要的組件。
      

      Web應用程序中的主要網(wǎng)絡安全風險-南華中天
      

      2、身份驗證:蠻力、字典、會話管理攻擊
      

      隨著單詞列表的不斷膨脹,弱密碼變得更容易受到字典攻擊。避免設置阻礙密碼復雜性的特殊字符限制和最大長度值。成功的身份驗證會生成具有空閑超時的隨機會話 ID。
      

      3、安全配置錯誤:未修補的缺陷、默認帳戶、未受保護的文件/目錄
      

      錯誤是幾乎五分之一的違規(guī)行為的核心。
      

      4、XML 外部實體:DDoS、XML 上傳、
      

      使用 XML-RPC 的 URI 評估 CMS,包括 WordPress 和 Drupal,容易受到遠程入侵。有許多用于發(fā)送 DoS/DDoS 流量的pingback 攻擊實例。在大多數(shù)情況下,可以完全刪除 XML-RPC 文件。XML 處理器可以評估 URI,該 URI 可被用來上傳惡意內(nèi)容。
      

      5、記錄和監(jiān)控不足
      

      防止不可挽回的數(shù)據(jù)泄露需要意識。68% 的違規(guī)行為需要數(shù)月或更長時間才能發(fā)現(xiàn)。記錄和監(jiān)控警報對于記錄異常情況至關(guān)重要。
      

      Web應用程序中的主要網(wǎng)絡安全風險-南華中天
      

      網(wǎng)絡安全的未來
      

      了解風險是最好的防御。對看似不可避免的攻擊的準備是在漏洞百出的世界網(wǎng)絡中最大的資產(chǎn)。毫無疑問,安全始于個人。大多數(shù) IT 專業(yè)人士同意相關(guān)課程應該是一項要求。漏洞會隨著技術(shù)的進步而出現(xiàn),作為一個社區(qū),我們可以看到數(shù)據(jù)和分析在創(chuàng)新中的重要性。