近日,開放式 Web 應用程序安全項目(OWASP)發佈了最終版 2017 Top 10 榜單。Top 10 項目幫助企業組織找出所面臨的最嚴重的風險,成為全球 Web 開發和運維人員的必讀指南。
A1 注入攻擊漏洞 A6 安全配置錯誤
A2 失效的身份認證 A7 跨站腳本 XSS
A3 敏感信息洩露 A8 不安全反序列化漏洞
A4 XXE 漏洞 A9 使用含有已知漏洞的組件
A5 失效的訪問控制 A10 不足的記錄和監控
在 2017 威脅榜單中,注入攻擊漏洞仍然位居 Top 10 威脅之首,而 XSS 的威脅程度從 A3 降到了 A7。敏感信息洩露、安全配置錯誤、失效的訪問控制等威脅均有提升,值得企業重視。
與此同時,榜單中還出現了一些新的安全威脅,包括 XXE 漏洞(A4:2017, XML External Entity attack)、針對 Java 平臺的不安全反序列化漏洞(A8:2017, Insecure Deserialization)以及記錄和監控不足風險(A10:2017, Insufficient Logging & Monitoring)等,這些新興的安全威脅也值得企業重點關注。
隨著網貸、購物和社交等一系列新型互聯網產品的誕生,企業信息化的過程中越來越多的應用都架設在 Web 平臺上,接踵而至的就是 Web 安全威脅的凸顯。
大量黑客利用網站操作系統的漏洞和 Web 服務程序的 SQL 注入漏洞等得到 Web 服務器的控制權限,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。
什麼是 Web 應用安全風險?
如下圖所示,攻擊者可以通過應用程序中許多不同的路徑和方法來危害您的業務或者企業組織。每種路徑方法都代表了一種風險,有些路徑方法很容易被發現並利用,有些則很難被發現。
為了確定您企業面臨的風險,可以結合其產生的技術影響和對企業的業務影響,去評估威脅代理、攻擊向量和安全漏洞的可能性。
接下來,重點分析排名前三的 Web 安全威脅以及應對方法:
注入攻擊漏洞
注入攻擊漏洞,例如 SQL、OS 以及 LDAP 注入。這些攻擊發生在當不可信的數據作為命令或者查詢語句的一部分,被髮送給解釋器的時候,攻擊者發送的惡意數據可以欺騙編輯器,以執行計劃外的命令或者在未被恰當授權時訪問數據。
檢查是否存在「注入漏洞」的方法
最好的辦法就是確認所有解釋器的使用都明確地將不可信數據從命令語句或查詢語句中區分出來。對於 SQL 調用,在所有準備語句和存儲過程中使用綁定變量,並避免使用動態查詢語句。
檢查應用程序是否安全使用解釋器的最快最有效的辦法是代碼審查,代碼分析工具能幫助安全分析者找到使用解釋器的代碼並追蹤應用的數據流。
可以執行應用程序的動態掃描器能夠提供信息,幫助確認一些可利用的注入漏洞是否存在。
典型案例
NextGEN Gallery 插件是眾所周知的 WordPress 相冊插件,這款插件功能強大,可以在博客中任意插入動態圖片效果,提供了很完美的照片管理方法,在 WordPress 平臺上擁有過百萬的安裝量。
今年 3 月 NextGEN Gallery 插件被曝存在嚴重的 SQL 注入漏洞,影響上百萬用戶,攻擊者利用 SQL 注入漏洞獲取了數據庫中包括用戶信息在內的敏感數據。
失效的身份認證
與身份認證和會話管理相關的應用程序功能常常被錯誤地實現,攻擊者使用認證管理功能中的漏洞,採用破壞密碼、密鑰、會話令牌去冒充其他用戶的身份。
檢查是否存在「失效的身份認證」的方法
用戶身份驗證憑證是否使用哈希或加密保護;是否可以通過薄弱的賬戶管理功能(例如賬戶創建、密碼修改、密碼修復、弱會話 ID)重寫。
會話 ID 暴露在 URL 裡;會話 ID 沒有超時限制,用戶會話或身份驗證令牌(特別是單點登錄令牌)在用戶註銷時沒有失效;密碼、會話 ID 和其他認證憑據使用未加密鏈接傳輸等。
典型案例
機票預訂應用程序支持 URL 重寫,把當前用戶的會話 ID 放在 URL 中:http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
該網站一個經過認證的用戶希望讓他朋友知道這個機票打折信息。他將上面鏈接通過郵件發送給朋友們,並不知道已經洩露了自己會話 ID. 當他的朋友們使用上面的鏈接時,可以輕而易舉地使用他的會話和信用卡。
敏感信息洩露
許多 Web 應用程序沒有正確保護敏感數據,如信用卡、身份證 ID 和身份驗證憑據等。攻擊者可能會竊取或篡改這些弱保護的數據以進行信用卡詐騙、身份竊取或其他犯罪。
敏感數據需額外的保護,比如在存放或在傳輸過程中進行加密,以及在與瀏覽器交換時進行特殊的預防措施。
檢查是否存在「敏感信息洩露」的方法
首選需要確認哪些數據時敏感數據而需要被加密。當這些數據被長期存儲的時候,無論存儲在哪裡,是否被加密和備份?
無論內部數據還是外部數據,傳輸時是否是明文傳輸?是否還在使用舊的或者脆弱的加密算法?
加密密鑰的生成是否缺少恰當的密鑰管理或缺少密鑰迴轉?當瀏覽器接收或發送敏感數據時,是否有瀏覽器安全指令?
典型案例
一個網站上所有需要身份驗證的網頁都沒有使用 SSL 加密。攻擊者只需要監控網絡數據流(比如一個開放的無線網絡或其社區的有限網絡),並竊取一個已驗證的受害者的會話 Cookie. 攻擊者利用這個 Cookie 執行重放攻擊並接管用戶的會話,從而訪問用戶的隱私數據。
如何有效地防範 Web 應用安全風險?
安全防護要貫穿整個 Web 應用生命週期
在 Web 開發階段需要對代碼進行核查,在測試階段需要對上線前的 Web 應用做完整的安全檢查,在運營階段,建議在事前、事中和事後進行分階段、多層面的完整防護。
構建以漏洞、事件生命週期閉環管理體系
通過監測系統平臺進行漏洞生命週期的管理,包含漏洞掃描、人工驗證、漏洞狀態的追蹤工作以及漏洞修復後的複驗工作等,使漏洞管理流程化。
提升安全管理人員工作能力
安全管理崗位人員需要建立起信息安全管理的概念,清楚 Web 威脅的危害,掌握識別安全漏洞及風險的專用技術,以及對安全問題進行加固處置的技能。
查看和下載完整版報告:
https://community.qingcloud.com/topic/1012
青雲QingCloud 對於 Web 安全防護整體解決方案的建議
預防 Web 應用安全,應該在軟件開發生命週期遵循安全編碼原則,並在各階段採取相應的安全措施。對於已經投入使用的 Web 應用系統,如何在運行階段進行有效的安全防護成為重點。
QingCloud 建議對 Web 應用的安全威脅及業務運維路徑採取以下安全措施進行防護:
DDoS 防禦
DDoS 防禦一般包含兩個方面:
一是針對不斷髮展的攻擊形式,尤其是採用多種欺騙技術的技術,能夠有效地進行檢測;
二是如何降低對業務系統的影響,從而保證業務系統的連續性和可用性。
訪問控制
利用防火牆進行訪問控制,防止不必要的服務請求進入網站系統,減少被攻擊的可能性。利用 IP Sec/SSL VPN 實現對遠程用戶的安全加密接入功能。
應用層防護
通過 Web 應用防護系統可有效控制和緩解 HTTP 及 HTTPS 應用下各類安全威脅,如 SQL 注入、XSS、 跨站腳本(XSS)、Cookie 篡改以及應用層 DDoS 等,有效應對網頁篡改、網頁掛馬、敏感信息洩露等安全問題,充分保障 Web 系統的高可用性和可靠性。
系統安全加固
通過安全評估系統找出主機系統、網絡設備及其他設備系統中存在的補丁漏洞和配置漏洞,進行加固,以保障系統的安全性。
SSL 加密
SSL 加密是在瀏覽器和 Web 服務器之間為應用程序提供加密數據通道,SSL 數字證書是其代表應用,SSL 證書可實現網站 HTTPS 化,使網站可信,防劫持、防篡改、防監聽。
數據庫審計
通過數據庫審計系統實現對所有訪問 Web 應用系統引起的數據庫操作進行精細化審計,涵蓋可能訪問數據的所有途徑,無論是外部訪問還是雲端數據庫管理員的訪問。
運維安全審計
通過堡壘機實現對所有運維人員的操作進行集中管控,對重要主機的操作做到實時跟蹤,形成可視化的操作日誌,對於高風險的操作進行實時的預警,全程審計運維操作的每一個細節。
青雲QingCloud Web 應用防火牆,通過雲端大數據監測和學習引擎,完美防範 Web 應用攔截 SQL 注入、XSS 跨站腳本、網站掛馬、OWASP Top 10 等各類 Web 安全威脅,過濾海量惡意訪問,持續更新防護策略,從而降低網站資產和數據洩露的風險,保障 Web 應用的可用性。
福利時間
12 月 12 日,青雲QingCloud 下一代企業級雲架構 ——「全模雲」線上發佈會,活動門票限量贈送
報名:
http://t.cn/RYAz05V
閱讀更多 青雲QingCloud 的文章
