来自 资讯 2021-10-12 23:06 的文章

cdn防御_高防ip是什么意思啊_新用户优惠

cdn防御_高防ip是什么意思啊_新用户优惠

第三方组件用于构建大多数新的web应用程序,这些组件非常容易受到攻击。以下是如何使用泰纳布尔.ioWeb应用程序扫描(WAS)以评估自定义代码中的常见漏洞。今天的web应用程序在业务特性和技术架构方面非常复杂。这种复杂性导致攻击面急剧扩大,Apache防御cc教程,需要一种新的web应用程序扫描方法。传统web应用程序扫描的局限性传统上,Web应用程序扫描主要集中在一般Web应用程序漏洞检测上。这是发现和修复常见漏洞(如注入、跨站点脚本、损坏的身份验证或不安全的反序列化)的强制要求(有关详细信息,请参阅OWASP和CWE)。然而,传统的web应用程序扫描常常会漏掉组件的漏洞,这些漏洞可以在现实世界的攻击中被利用。web应用程序的复杂性范围很广—从单个静态页面到完整的事务性业务平台。然而,即使是一个简单的web应用程序也是由多层第三方组件构建的,比如web服务器、web应用程序服务器、web框架、编程语言和JavaScript库。这些团队的许多安全漏洞是高风险的。第三方组件正在造成越来越大的网络风险虽然常见的web漏洞(如OWASP所识别的漏洞)通常用于目标攻击,但第三方组件漏洞正被武器化,用于自动攻击,寻找可攻击的组件。Equifax是过去两年中最著名的漏洞,免费防御ddos云,因为威胁行为体利用第三方组件。入口点很可能是一个过时的apachestruts,利用它可以在目标web应用程序上远程执行代码。因此,第三方组件的漏洞是主要问题。内容管理系统(CMS)也正在成为一个重要的网络攻击载体。在过去的几年中,使用未修补Drupal的Web应用程序被Drupalgeddon(1、2和3)攻击广泛利用。WordPress被估计有30%的web应用程序使用,最近也成为攻击目标,2017年CVE-2017-1001000被积极利用。识别和评估这些第三方组件的能力在web应用程序安全性中至关重要,它必须是全面的web应用程序扫描解决方案的一部分。支持Web应用程序扫描的方法Web应用程序安全评估必须涵盖内部开发和用于构建Web应用程序的第三方组件的弱点和漏洞。评估过程包括以下主要步骤:浏览和列举隐藏的文件和目录,以确定web应用程序入口点;提供有关所有使用的组件及其版本的信息的指纹,可识别额外的入口点;以及漏洞和错误配置检测基于在前面步骤中收集的信息,ddos防御入门,以了解要修复的安全问题。由于不断变化的攻击面和威胁情况,这一完整的评估过程必须经常运行,这会产生新的切入点和漏洞。在Tenable,我们有一种产品叫做泰纳布尔.ioWeb应用程序扫描(WAS),可用于评估自定义代码中的常见漏洞,如SQL注入、跨站点脚本(XSS)、XML外部实体、命令注入和路径遍历等。一旦覆盖了常见的web漏洞,WAS也可以评估第三方组件的漏洞。例如,对于使用Drupal构建的web应用程序,WAS可以检测Drupal并标识其版本。然后,可以使用基于版本的插件(例如,SA-CORE-2019-003安全版本的插件之一)或远程检查插件(例如SA-CORE-2018-002的插件)报告漏洞。错误配置检测也是一个潜在的关键安全问题,因为如果没有正确配置web应用程序,它会导致整个web应用程序接管。一个完全修补的WordPress可以泄露用户名,cc防御最好的服务器,并提供对其管理控制台的无限制访问。有了这些错误配置,免费cc攻击防御,攻击者就可以强行使用用户名密码访问WordPress管理面板并控制web应用程序。为了防范这个安全威胁示例,WAS能够枚举WordPress用户名并检测WordPress管理面板是否可用。同样的方法也适用于更难检测和评估的web框架组件。ThinkPHP是能够识别指纹的web框架之一,它可以为关键漏洞提供远程检查插件,如CVE-2018-20062,以及ThinkPHP 5.x