情侣AV在线久久美日韩免费,91幺成人性爱熟女第9页,免费特级黄片日皮欧美

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

一位網(wǎng)絡(luò)滲透測試專家給企業(yè)的5條忠告

架構(gòu)Nick Merritt是Halo Security公司主管安全產(chǎn)品和服務(wù)的副總裁，他已經(jīng)負責(zé)并領(lǐng)導(dǎo)開展了超過300次的網(wǎng)絡(luò)安全滲透測試工作。通過在各類企業(yè)中的大量安全性測試實踐，Nick Merritt從攻擊者的視角，總結(jié)了目前企業(yè)組織在信息化系統(tǒng)防護中的普遍弱點和常見錯誤，并給出了提升應(yīng)用系統(tǒng)安全性的五點建議：

創(chuàng)新互聯(lián)公司自2013年創(chuàng)立以來，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都網(wǎng)站制作、網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元云巖做網(wǎng)站,已為上家服務(wù),為云巖各地企業(yè)和個人服務(wù),聯(lián)系電話:028-86922220

01 自動化安全掃描還遠遠不夠

如果企業(yè)只是使用自動化工具掃描Web應(yīng)用程序的安全性，那么很多安全漏洞都會成為漏網(wǎng)之魚，因為這類工具通常使用了模糊測試（一種將畸形數(shù)據(jù)注入系統(tǒng)來驗證安全的方法），而這種技術(shù)會產(chǎn)生大量的誤報和漏報。

企業(yè)應(yīng)該明白，自動化掃描工具的研發(fā)還難以跟上現(xiàn)代Web應(yīng)用程序開發(fā)的步伐，技術(shù)上的局限性讓掃描工具不能夠為JavaScript頁面應(yīng)用、WebAssembly或圖技術(shù)（Graph）提供最佳的安全檢測結(jié)果。特別是對一些比較復(fù)雜的漏洞，企業(yè)安全團隊需要專門編寫有針對性的載荷才可以檢測出它們。

目前，要實現(xiàn)對安全漏洞和利用情況進行全面的分析還離不開安全專家的人工操作，而自動化安全掃描工具可作為輔助性的檢測手段，幫助安全分析師提升漏洞發(fā)現(xiàn)的效率。

02應(yīng)用系統(tǒng)自帶的身份驗證通常不可靠

身份驗證是確保Web應(yīng)用程序安全性的關(guān)鍵因素之一。但是在實際測試中發(fā)現(xiàn)，開發(fā)人員在應(yīng)用系統(tǒng)中創(chuàng)建的身份驗證及密碼管理流程，通常都沒有采用安全、可靠的方式。

滲透測試人員很容易繞過系統(tǒng)自帶的驗證功能，輕松訪問其他用戶的隱私信息，或者擁有與其角色不相符的過多特權(quán)，這就會帶來橫向和縱向身份訪問控制方面的安全威脅問題。

企業(yè)必須要重視和加強對應(yīng)用系統(tǒng)的身份管理和驗證，其關(guān)鍵在于相關(guān)的安全協(xié)議是否能夠得到有效實時。比如說，安全聲明標記語言（SAML）身份驗證是一種流行并且有效的單點登錄控制協(xié)議，但如果開發(fā)人員在系統(tǒng)開發(fā)時未能正確理解和引入，反而留下更多的安全漏洞。

03攻擊者更善于發(fā)現(xiàn)業(yè)務(wù)邏輯中的漏洞

開發(fā)人員在研發(fā)Web應(yīng)用系統(tǒng)時，一般都是從產(chǎn)品的應(yīng)用場景角度進行分析和設(shè)計，但是他們常常不會從攻擊者的角度去分析各種功能是否可能被惡意利用。一個典型的事例是電商網(wǎng)站中的購物車，它是這類網(wǎng)站的關(guān)鍵性應(yīng)用，但常常不安全，存在嚴重的業(yè)務(wù)邏輯漏洞，比如攻擊者在結(jié)賬前將總數(shù)歸零，或者在完成付款后將低價商品替換成其他高價值商品。

我們不能過多苛責(zé)開發(fā)人員只關(guān)注系統(tǒng)的使用場景，而忽視其可能的風(fēng)險場景。但是安全管理人員需要看到問題的各個方面，明白業(yè)務(wù)邏輯應(yīng)該與安全邏輯相關(guān)聯(lián)。

04不存在“超范圍”的滲透測試觀念

Web應(yīng)用程序已經(jīng)變得非常復(fù)雜，會涉及較廣泛的資源和資產(chǎn)整合與利用。這就需要開發(fā)時通過后端API服務(wù)器利用，以支持主應(yīng)用程序的各種功能。

企業(yè)應(yīng)該向執(zhí)行滲透測試的安全人員告知所有這些外部資產(chǎn)，以及它們?nèi)绾闻c應(yīng)用系統(tǒng)之間進行關(guān)聯(lián)交互，這對保障安全很重要。開發(fā)人員可能認為這些資產(chǎn)“超范圍”，因此不需要對它們負責(zé)。但攻擊者可不會遵守任何的攻擊界限，大量滲透測試結(jié)果也表明，企業(yè)中的資源和資產(chǎn)，沒有什么是“超范圍”的。

應(yīng)用系統(tǒng)開發(fā)人員應(yīng)該更好地與安全測試人員合作，減少滲透測試工作帶來的流程影響。開發(fā)人員只有兼顧創(chuàng)造力和安全框架，才能知道哪里可以自由編程，而哪里需要設(shè)置應(yīng)用程序安全護欄機制。

05跨站腳本（XSS）攻擊不可忽視

XSS屬于被動式攻擊，是一種較盛行的Web應(yīng)用程序漏洞利用方式。2021年，由于應(yīng)用程序開發(fā)框架的改進，XSS首次跌出了OWASP（開放Web應(yīng)用程序安全項目）前10名榜單，因此有人開始認為這種攻擊將會很少被應(yīng)用。但事實上，“無孔不入”是網(wǎng)絡(luò)黑客們最基本的信念和意志表現(xiàn)，它仍是我們執(zhí)行每次滲透測試任務(wù)中，最有效的模擬攻擊手法之一。

XSS攻擊造成的安全風(fēng)險往往會很高，包括賬戶接管、數(shù)據(jù)竊取以及對應(yīng)用程序基礎(chǔ)設(shè)施的全面破壞。許多開發(fā)人員以為，使用成熟的輸入驗證庫和配置適當?shù)腃ookie屬性就足夠防止XSS攻擊，但實際上這遠遠不夠。因為在今天的應(yīng)用程序開發(fā)中，必然會使用大量自定義的代碼，此時XSS漏洞就會趁虛而入。以WordPress網(wǎng)頁為例，針對其的XSS攻擊非常危險，因為一旦獲取了管理員級訪問憑據(jù)，攻擊者就可以在應(yīng)用中加載各種插件，并在應(yīng)用服務(wù)器上執(zhí)行代碼中的惡意載荷。

參考鏈接：

??https://www.darkreading.com/application-security/5-lessons-learned-from-hundreds-of-penetration-tests??

網(wǎng)頁名稱：一位網(wǎng)絡(luò)滲透測試專家給企業(yè)的5條忠告
當前網(wǎng)址：http://www.5511xx.com/article/cdojdso.html