一般绝大部分的web应用攻击都是没特定目标的大范围漏洞扫描,只有少数攻击确实是为入侵特定目标而进行的针对性尝试。这两种攻击都非常频繁,难以准确检测出来,许多网站的web应用防火墙都无法保证能够有效运行。有一些被忽略的安全错误可能会威胁到web应用的安全。
存在的SQL注入漏洞
SQL注入依然还活跃着,安全监控公司 Alert Logic 的研究显示,SQL注入攻击长期以来一直都是最普遍的Web攻击方式,占该公司客户报告事件的55%。不要存侥幸心理觉得SQL注入已经不存在了。
不安全的反序列化
反序列化过程就是应用接受序列化对象并将其还原的过程。如果序列化过程不安全,可能会出现大问题。Imperva Incapsula报告称,不安全反序列化攻击近期快速抬头,2017年最后3个月里增长了300%,可能是受非法加密货币挖矿活动的驱动。
该不安全性可轻易导致Web应用暴露在远程代码执行的威胁之下——攻击者战术手册中排名第二的攻击技术。开放Web应用安全计划(OWASP)去年将不安全反序列化纳入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鲜明的例子就是Equifax大规模数据泄露事件——据称就是应用不安全反序列化漏洞发起的。
未使用内容安全策略组织跨站脚本
XSS是往带漏洞web应用中出入恶意代码的常见手段。XSS的目标不是web应用,而是使用web应用的用户。组织XSS最有效的方法是使用内容安全策略(CSP),这一技术发展良好但仍未被大多数网站采纳。
信息泄漏,50%的应用都有某种信息泄露漏洞。这些漏洞会将有关应用本身、应用所处环境或应用用户的信息暴露给黑客,供黑客进行进一步的攻击。信息泄漏可以是用户名/口令泄漏,也可以是软件版本号暴露。通常重新配置一下就能堵上漏洞,但缓解过程却往往视泄漏数据的种类耳钉。问题在于,即便是软件版本号泄漏了,也能够给黑客带来攻击上的优势。
网友评论