龙岗 Web 应用程序威胁:攻击面映射与防护

发布时间:2020-09-25 作者: 来源: 浏览量(143317)
从网络安全的角度来看,在现代Web应用程序的黑暗世界中导航可能是一个雷区。这些关键应用程序中有许多包含复杂的层,如果在设计中未考虑安全性,它们可能是漏洞的温床。因此,对于组织而言,至关重要的是找到并了解经验丰富的黑客可能会用作切入点的任何方面。为此,安全团队必须更好地了解其应用程序体系结构中的弱点,以减少总体攻击面。 通常,Web应用程序是一个收集和存储客户个人身份信息(PII)和特权财务数据的地方。这些信息不仅对于日常业务运营具有不可思议的价值,而且还受到国际交叉法规要求...

      从网络安全的角度来看,在现代Web应用程序的黑暗世界中导航可能是一个雷区。这些关键应用程序中有许多包含复杂的层,如果在设计中未考虑安全性,它们可能是漏洞的温床。

因此,对于组织而言,至关重要的是找到并了解经验丰富的黑客可能会用作切入点的任何方面。为此,安全团队必须更好地了解其应用程序体系结构中的弱点,以减少总体攻击面。

      通常,Web应用程序是一个收集和存储客户个人身份信息(PII)和特权财务数据的地方。这些信息不仅对于日常业务运营具有不可思议的价值,而且还受到国际交叉法规要求的保护,并且不遵守该信息可能会导致高额罚款,严重丧失客户信任度和负面宣传。

     此外,由于大多数公司在“在家办公”的“新常态”之后将业务连续性放在首位,因此由于资源和时间的限制,许多应用程序不够安全。但是,这种误导性方法可能与英国远程工作者的网络安全和健康状况恶化直接相关。

      网络罪犯一直在采用策略来入侵网络应用程序并提取个人数据。有人可能会认为,仅基本的用户控件和Web应用程序防火墙(WAF)可以预防灾难性的情况,但是不幸的是,没有人能免受这些简单的应用程序攻击。

     根据记录,Web应用程序攻击可能会对企业造成很大伤害。 2019年所有数据泄露中有超过五分之二(43%)与该威胁有关。此外,根据Verizon DBIR 2020报告,它们是造成数据泄露的更大原因。

网络犯罪分子以尽职调查而闻名。在选择目标,仔细收集有关潜在受害者的信息以及在发动攻击之前确定系统中的薄弱环节时,他们将尽力而为。未能解决在线基础设施内潜在问题的公司低估了现代黑客的意愿。

即使是最轻微的错误,也可能使黑客在您的系统中找到立足点,或者在您不注意的情况下,在现金箱中找到立足点。

重要的是要记住,在修补Web应用程序时,没有一种的解决方案,因此对关键基础结构的内部了解对于保护敏感信息至关重要。

攻击面映射和保护

那么,安全团队如何才能成功映射Web应用程序的整个攻击面,并在为时已晚之前识别出关键的攻击媒介?从应用程序发现开始,这可以分为三个关键阶段。公司应该列出自己拥有的关键Web应用程序以及最有可能在何处公开的列表。

这里存在一个问题,因为应用程序和相关漏洞的数量很容易成千上万,尤其是在阴影较为普遍的大型组织中,因此,在线路节奏以澄清潜在可能性的情况下,找到公开的Web应用程序很重要。盲点。

下一步是针对7种最常见的针对软件漏洞的攻击路径,检查所确定的Web应用程序风险级别:

首先,您具有一种安全机制,该机制确定如何保护用户与应用程序之间的Web通信。
接下来,根据使用哪种编码语言和Web设计程序,创建页面的方法将揭示更多的安全问题。
第三种攻击方法称为分布度,与创建的页面数有关,因为创建的页面越多,出现问题的可能性就越大,因此必须监视所有页面。
身份验证欺骗发生在四个地方,并指出,在检查所有访问权限之后,必须验证访问Web应用程序的合法用户的身份,并且仅应验证需要验证的用户,否则任何人都可以输入。
输入向量越多,输入向量也是一个问题,攻击面增加的可能性就越大,这可能导致跨站点脚本攻击。
第六,我们拥有活动内容,如果应用程序使用多种活动内容技术开发网站,则活动内容将在应用程序运行脚本时使用,该脚本将启动活动内容,并取决于这些脚本的实现方式,攻击面可能会增加。
最后,第七个攻击媒介是cookie,它是允许实时应用程序安全性监视会话活动所必需的,这有利于减少未经授权的访问(尤其是对于网络犯罪分子)。

保护皇冠上的宝石

当针对以上七个向量对Web应用程序进行验证时,必须将结果与时间(业务关键程度)和环境(更新频率)相关联,以便确定总体风险状况。在了解了有关总可寻址攻击面(包括弱点和长处)的知识之后,安全团队将拥有部署安全控制所需的弹药。

一旦映射了风险评分,安全团队将拥有必要的数据,以在安全防御中实施有效且连续的应用程序测试并提供投资回报。


以上文章部分内容采集于网络,如有侵权请联系创一网客服处理,谢谢!

感兴趣吗?

欢迎联系我们,我们愿意为您解答任何有关网络疑难问题!