阿卡邁(Akamai)最近的《互聯網安全狀況》報告中寫道：“絕大部分Web應用攻擊都是沒有特定目标的大範圍漏洞掃描，但少數攻擊确實是為入侵特定目标而進行的針對性嘗試。無論哪種情況，攻擊都非常頻繁而‘嘈雜’，難以準确檢測，以緻許多公司企業都無法保證其Web應用防火牆(WAF)能夠有效運行，也沒有空餘時間來擔心其系統可能漏掉了什麼。”

2016年第4季度到2017年第4季度期間，Web應用攻擊增長了10%，整體呈上升趨勢。

公司企業至少應加強代碼安全，減少自身層面上的風險。那麼，在Web應用方面，公司企業往往又會犯下哪些“緻命”的安全錯誤呢？

1. 依然存在SQL注入漏洞

或許難以置信，但SQL注入漏洞今年12月份就該過20周歲生日了。而即便到了現在，SQL注入依然活躍在大量網站和Web應用中。安全監控公司 Alert Logic 的研究顯示，SQL注入攻擊長期以來一直都是最普遍的Web攻擊方式，占該公司客戶報告事件的55%。

2. 不安全的反序列化

反序列化過程就是應用接受序列化對象(序列化是将對象以某種形式編碼以便于存儲或傳輸)并将其還原的過程。如果反序列化過程不安全，可能會出現大問題。

即便開發人員知道不能信任用戶輸入，但序列化對象總被高看一眼，在處理序列化對象的時候安全意識往往會松懈。這種情況下，不安全的反序列化過程不過是發送攻擊載荷的另一種方式而已。

Imperva Incapsula 報告稱，不安全反序列化攻擊近期快速擡頭，2017年最後3個月裡增長了300%，可能是受非法加密貨币挖礦活動的驅動。

其中最大的擔憂就是，該不安全性可輕易導緻Web應用暴露在遠程代碼執行的威脅之下——攻擊者戰術手冊中排名第二的攻擊技術。開放Web應用安全計劃(OWASP)去年将不安全反序列化納入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什麼後果呢？最鮮明的例子就是Equifax大規模數據洩露事件——據稱就是應用不安全反序列化漏洞發起的。

3. 依賴開源組件

說到Equifax數據洩露事件，攻擊者利用的反序列化漏洞并沒有包含在底層軟件代碼本身當中，而是存在于嵌入該軟件的開源 Apache Struts 組件裡。

這就引出了Web應用安全中的另一個緻命因素——依賴未打補丁的風險性開源組件。軟件開發中開源組件的應用越來越廣，開發小組往往并沒有跟蹤都有哪些組件應用到了哪個位置，更别說跟蹤所用版本和組件依賴關系了。

開發人員喜歡根據組件的流行程度來假定其安全性，總覺得越多人用的組件就越安全。然而，組件或庫可能會依賴其他庫，産生複雜的依賴鍊。依賴鍊深層可能會有安全防護很弱的庫，甚至可能會出現多種惡意行為，讓用了這些組件的軟件面臨所謂的供應鍊攻擊風險。

4. 未使用内容安全策略阻止跨站腳本

XSS是往帶漏洞Web應用中插入惡意代碼的常見手段。與其他類型的Web攻擊不同，XSS的目标不是Web應用，而是使用Web應用的用戶，最終傷害的是公司企業的聲譽及其客戶。

與SQL注入類似，XSS誕生已久，但仍對公司企業造成傷害和威脅。阻止XSS攻擊的最有效方式是使用内容安全策略(CSP)——發展良好但仍未被大多數網站采納的技術。

Mozilla Observatory 掃描Alexa排名前100萬的網站發現，當前僅0.022%的網站使用了CSP。使用CSP但忽略了内聯樣式表(CSS)的站點則占0.112%，稍微多一點點。

5. 信息洩露

White Hat Security 表示，50%的應用都有某種信息洩露漏洞。Veracode标定的信息洩露漏洞存在比率更高——65.8%。這些漏洞會将有關應用本身、應用所處環境或應用用戶的信息暴露給黑客，供黑客進行進一步的攻擊。

信息洩露可以是用戶名/口令洩露的嚴重程度，也可以是軟件版本号暴露這種“無害”的程度。通常重新配置一下就能堵上漏洞，但緩解過程卻往往視洩露數據的種類而定——敏感數據就及時解決，其他數據則不然。

然而，問題在于，即便是軟件版本号這種“無害”的洩露，都能給黑客帶來攻擊上的優勢，為其将來的攻擊鋪平道路。

6. API漏洞

去年Web應用頂級威脅還包括防護不周的API。

API在最近幾年很是火爆，開發人員在打造應用的時候經常用到API——作為向其他應用提供服務或數據的一種方式。但不幸的是，這些API在Web應用中實現時往往沒怎麼考慮過安全問題，而且這些防護不周的API還通常沒納入到傳統應用安全測試過程中。

OWASP去年的十大安全漏洞榜單中也因此而将防護不周的API包含了進來。随着越來越多的公司企業将API用作當今開發運維團隊鐘愛的輕量級快速部署軟件間的潤滑劑，API漏洞威脅也随之增大了。

Imperva幾個月前的一項研究表明，公司企業平均管理着363個API，其中2/3都對公衆和合作夥伴開放。

7. 忽視傳輸層保護

公司企業在部署HTTPS上做得越來越好了，但距離理想程度還有很長一段路要走。

上個月 Mozilla Observatory 掃描的結果顯示，Alexa 排名前100萬的網站中54.3%已使用HTTPS，比去年夏天的掃描結果高出19%，很不錯的進步。但這一結果也反映出，還有接近一半的頂級網站依然落後于時代。

不僅如此，當前狀态距離絕大多數站點禁用HTTP也還很遠。禁用HTTP通過應用 HTTP 嚴格傳輸安全協議(HSTS)實現，Mozilla表示，Alexa 前100萬頂級網站中用了HSTS的僅占6%。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部