来自 应用 2021-06-10 18:14 的文章

cc防护_抗ddos是什么意思_秒解封

cc防护_抗ddos是什么意思_秒解封

ImmuniWeb>安全博客Mobile后端仍然是移动生态系统的阿喀琉斯之踵2.6k 26 2 8 2 2更多10 15 13周五,2018年10月5日星期五,阅读时间:5分钟。API和Web服务被现代移动应用广泛使用。它们往往得不到充分保护,是关键缺陷和数据泄露的常见来源。移动后端呈现出与内部桌面和web应用程序完全不同的环境。虽然移动提供了许多简化和互连的机会,但这些机会往往隐藏了一种新的脆弱性类别。什么是移动应用的"后端"?在数据中心,大多数应用程序的"后端"指的是用户不能直接与之交互或看到的应用程序的所有方面。数据存储、服务器和与其他应用程序的连接都是后端的一部分。应用程序的大部分代码组成了它的后端,而用户界面和可见函数构成了前端。在移动世界里就不那么简单了。在这里,前端主要是移动设备上的一个自包含的应用程序,而后端通常是位于云端某处的数据库(以及运行数据库的所有IT基础设施)。如果数据库所有者希望从数据库中存储的知识中获利,他几乎肯定会开发api或sdk,ddos产品可防御,供第三方用于开发移动应用程序。API中的缺陷会在任何经常使用它的应用程序中产生安全漏洞,这些API和SDK包含的漏洞可被黑客用来访问云数据,而无需对应用程序或云存储库进行黑客攻击。API中的缺陷会在任何使用它的应用程序中产生安全漏洞;SDK中的安全漏洞可能意味着用它制作的大多数应用程序都存在该漏洞。在某些情况下,特别是在较小的有限用途的私有应用程序中,不涉及API——只是应用程序和数据库之间的直接连接。在这些情况下,如果应用程序没有充分验证数据库,数据可能再次被盗,而无需直接入侵前端或后端。与有限用途数据库的连接问题最近有三个移动应用程序不安全地连接到私人数据库的例子-所有这些都是巧合地涉及会议软件:4月举行的RSA安全会议,8月的黑帽子会议,以及本周举行的英国保守党年会。2018年BlackHat和RSA安全会议应用程序都存在严重的RSAC后端数据漏洞,Twitter用户@svblxyz(handle svbl)在RSA大会的移动应用程序中发现了数据泄露。多亏了一个不安全的API,与会者的名字和姓氏都可以从应用程序的后端免费下载。目前还不知道是否有更多的个人信息被曝光;svbl只确认他能够访问名字,之后RSAC的工作人员报告了这个漏洞,并迅速纠正了这个漏洞。然而,这些数据很可能包括电话号码、电子邮件地址或作为活动注册一部分的任何其他信息。在这个例子中,后端数据库似乎可以通过一个不安全的API被发现,这个API可以通过硬编码到应用程序中的凭证来访问。今年晚些时候,安全研究员兼博客写手NinjaStyle在博客中称,他能够提取黑帽参与者的个人数据。通过使用一个反编译的Android NFC阅读器应用程序,再加上一些推理和独创性,他能够设计出一种方法来访问任何与会者的完整个人数据。本周,保守党党代会上出现了最搞笑的——也许是荒谬的——会议应用程序缺陷。在应用程序和注册与会者的后端数据库之间,ddos防御多少g,似乎除了用户ID(即用户的电子邮件地址)之外,没有其他身份验证。这意味着任何攻击者(在本例中,通常只是一个恶作剧者)都可以猜测目标与会者的电子邮件地址并直接登录到该用户的数据库详细信息。《卫报》专栏作家道恩·福斯特(Dawn Foster)在推特上写道:"保守党会议应用程序允许你以其他人的身份登录,只需查看他们的电子邮件地址,不必通过电子邮件发送安全链接,并以他们的身份发表评论。他们基本上公开了每个记者、政治家和与会者的手机号码。太荒谬了,很有趣,但这个小插曲可能会让人感到刺痛。英国数据保护监管机构(ICO)正在调查是否违反了GDPR规定。如果是这样的话,保守党可能会受到相当大的GDPR罚款,而GDPR(以及其他国家隐私法)是所有应用程序开发者都应该记住的。Hospitalgown的问题是移动应用程序与其后端之间缺乏安全连接,这被描述为Hospitalgown漏洞,它会让用户的背部暴露在外。这个词最早是由Appthority使用的。Hospitalgown是一个间接的漏洞,因为它不是应用程序核心代码中的缺陷,而是在没有确保适当安全性的情况下使用后端服务时发生的-这不是利用漏洞,而是一种易受攻击的情况。这可能是由于开发人员的错误或服务本身的安全问题造成的。Appthority扫描了几个后端平台——Elasticsearch、MySQL、Redis、CouchDB和MongoDB——发现了惊人的43TB暴露的、不安全的数据。这些数据包括敏感的个人信息,如密码、支付信息以及公司和客户的详细信息。医院礼服的弱点越来越成为黑客的攻击目标,因为它只需要很少的技术知识或努力就可以利用。由于Hospitalgown是移动应用程序后端基础设施中固有的弱点,攻击者只需识别漏洞即可。不需要复杂的恶意软件,技术性的网络攻击或复杂的编码知识,当这么多的数据暴露给任何人谁知道去哪里寻找。Appthority的移动威胁团队对后端平台的扫描发现了43 TB的暴露数据移动后端服务;不太安全,cdn和高防ip,移动应用程序将后端功能外包给基于云的服务提供商的情况越来越普遍。这被称为移动后端即服务(MBaaS,或者有时只是BaaS或者平台即服务),51ddos攻击防御,这可以极大地简化应用程序的开发和维护。然而,BaaS可能导致严重的安全问题;一旦某个服务或该服务的某个方面出现安全缺陷或被破坏,则意味着使用该服务的所有内容也不安全。googlefirebase是Android开发者最受欢迎的BaaS平台之一,在今年的另一份Appthority报告中显示,它存在配置错误的问题。超过3000个移动应用程序没有得到适当的保护,2300个不安全的Firebase数据库中总共暴露了113GB的数据。暴露的记录包括明文密码、财务记录和其他个人信息。由于这是一个错误的配置错误,它可以归咎于谷歌服务的实施有缺陷,而不是一个固有的平台问题或恶意攻击。然而,BaaS平台正日益成为黑客的目标。2017年,微软的BaaS和其他云服务平台Azure的网络攻击增长了300%。2017年,微软的Azure后端服务平台的网络攻击上升了300%,MitM攻击后端问题并不总是由于配置错误。2017年底,伯明翰大学的研究人员发现了一种中间人攻击,防御ddos费用,可以用来对付银行应用程序。如果攻击者在同一个网络上(例如,如果应用程序通过公共wifi使用),则MitM攻击可以检索用户的凭据并获得对后端银行帐户的访问权限。据估计,汇丰银行(HSBC)、纳特韦斯特(NatWest)、合作社(Co-op)和美国银行健康保险公司(Bank of America Health)的1000万客户都面临这一漏洞。ImmuniWeb MobileSuite High Tech Bridge首席执行官Ilia Kolochenko解释了移动应用程序及其后端的潜在问题。"在大多数情况下,利用移动应用程序漏洞需要一些预先存在的条件,例如已在同一设备上安装了恶意应用程序或攻击者可以访问受害者的数据通道(例如公共wi-fi)。所有这些都使得移动应用程序对于网络犯罪分子来说并不是一个很有吸引力的目标,他们更愿意将目标锁定在移动后端——API和Web服务——一旦出现漏洞,这可能是阿里巴巴的洞穴。虽然许多公司甚至不考虑用WAF来保护移动后端,认为这是不必要的,但移动应用程序只是冰山一角。"很简单,攻击移动应用程序和后端之间的关系比攻击移动应用程序本身更容易。即使应用程序的移动后端拥有比大多数应用程序更多的内部开发,漏洞仍然可以传播到不同的api、托管或数据存储上。为了解决这个问题,High Tech Bridge推出了ImmuniWeb MobileSuite。作为其人工智能和手动测试平台的一部分,ImmuniWeb MobileSuite对前端和后端进行扫描和测试,寻找隐私和安全风险,并允许您保护应用程序的各个方面。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i