目前,企業開發的很多新應用程式都是web應用程式,而且web服務也被越來越頻繁地用於整合web應用程式或與其進行互動,這些趨勢帶來的問題就是:web應用程式和服務的增長已超越了程式開發人員所接受的安全培訓和安全意識的範圍。
非法輸入 unvalidated input
在資料被輸入程式前忽略對資料合法性的檢驗是乙個常見的程式設計漏洞。隨著owasp對web應用程式脆弱性的調查,非法輸入的問題已成為大多數web應用程式安全漏洞方面的乙個普遍現象。
失效的訪問控制 broken access control
大部分企業都非常關注對已經建立的連線進行控制,但是,允許乙個特定的字串輸入可以讓攻擊行為繞過企業的控制。
失效的賬戶和執行緒管理 broken authentication and session management
有良好的訪問控制並不意味著萬事大吉,企業還應該保護使用者的密碼、會話令牌、賬戶列表及其它任何可為攻擊者提供有利資訊、能幫助他們攻擊企業網路的內容。
跨站點指令碼攻擊 cross site scripting flaws
這是一種常見的攻擊,當攻擊指令碼被嵌入企業的web頁面或其它可以訪問的web資源中,沒有保護能力的台式電腦訪問這個頁面或資源時,指令碼就會被啟動,這種攻擊可以影響企業內成百上千員工的終端電腦。
快取溢位問題 buffer overflows
這個問題一般出現在用較早的程式語言、如c語言編寫的程式中,這種程式設計錯誤其實也是由於沒有很好地確定輸入內容在記憶體中的位置所致。
注入式攻擊 injection flaws
如果沒有成功地阻止帶有語法含義的輸入內容,有可能導致對資料庫資訊的非法訪問,在web表單中輸入的內容應該保持簡單,並且不應包含可被執行的**。
異常錯誤處理 improper error handling
當錯誤發生時,向使用者提交錯誤提示是很正常的事情,但是如果提交的錯誤提示中包含了太多的內容,就有可能會被攻擊者分析出網路環境的結構或配置。
不安全的儲存 insecure storage
對於web應用程式來說,妥善儲存密碼、使用者名稱及其他與身份驗證有關的資訊是非常重要的工作,對這些資訊進行加密則是非常有效的方式,但是一些企業會採用那些未經實踐驗證的加密解決方案,其中就可能存在安全漏洞。
與拒絕服務攻擊 (dos)類似,應用程式的dos攻擊會利用大量非法使用者搶占應用程式資源,導致合法使用者無法使用該web應用程式。
不安全的配置管理 insecure configuration management
有效的配置管理過程可以為web應用程式和企業的網路架構提供良好的保護。
以上十個漏洞並不能涵蓋如今企業web應用程式中的全部脆弱點,它只是owasp成員最常遇到的問題,也是所有企業在開發和改進web應用程式時應著重檢查的內容。
2020十大安全漏洞介紹
乙個小團隊執行的乙個開源專案論壇軟體被利用其軟體中的乙個漏洞進行了黑客攻擊。攻擊者設法清除了包含下乙個版本和所有論壇內容的內部源 儲存庫。儘管可以恢復源,但是缺少監視,記錄或警報功能導致更嚴重的漏洞。由於此問題,論壇軟體專案不再處於活動狀態。攻擊者掃瞄具有公共密碼的使用者。他們可以使用此密碼接管所有...
十大安全評估工具
本文為您介紹10個流行的安全評估工具,並分成網路安全評估工具和web安全評估工具兩類進行介紹。五大網路安全評估工具 wireshark 原名ethereal 是乙個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包,並盡可能顯示出最為詳細的網路封包資料。站點 2.nmap nmap是一款用於網路...
SaaS CRM系統存在的五大安全漏洞
crm工具,尤其得益於基於雲的整合架構,因為客戶資料很容易收集起來,然後在整個企業進行共享。你在將敏感的客戶資料和商業機密裝入到saas系統之前,確實需要留意saas環境存在漏洞,檢查一下你的saas crm系統存在這些漏洞嗎?crm工具,尤其得益於基於雲的整合架構,因為客戶資料很容易收集起來,然後...