来自 网络 2021-06-10 19:03 的文章

ddos防御_防御ddos价格_打不死

ddos防御_防御ddos价格_打不死

ImmuniWeb>安全博客OWASP Top 10:安全配置错误安全漏洞实用概述25.5k 78 5 9 2 More 4 20 9周四,2018年7月19日,智能dns防御ddos,服务器ddos防御软件,星期四,按应用程序安全系列阅读时间:6分钟。安全配置错误在当前OWASP十大最关键Web应用程序安全风险中排名第六。错误配置可能包括安装安全性时的错误和安装可用安全性控件的完全失败。IBM 2018年4月的一份报告指出,2017年安全趋势发生了一些有趣的变化。其中一个关键点是配置不当的云基础设施的增长率急剧上升。该报告估计,与不良配置相关的违规行为增加了424%,占全年泄露记录的近70%。虽然数据安全越来越复杂,防止违规的最佳实践也越来越精细,但简单的人为错误正成为一个越来越大的问题。这些人为错误导致安全配置错误,在OWASP 2017年的应用程序安全风险列表中排名第6位。想深入了解现代安全的各个方面,错误配置安全漏洞的实用概述。请仔细阅读这篇文章,并将其添加书签以便以后返回,我们定期更新此页面。IBM报告称,2018年与不良配置相关的违规行为激增424%,占全年泄露记录的近70%。什么是安全配置错误的风险?配置不当的应用程序安全性可以有许多不同的形式。错误配置可能发生在开发人员自己的代码中,在预先制作的特性和函数的代码中,或者通过API。它们可以出现在应用程序本身、应用程序使用的服务器和数据库中,或者出现在开发过程中使用的资源中。组织的应用程序堆栈的任何级别都可能显示配置缺陷,层越多,错误导致漏洞的可能性就越大。例如,防火墙经常被用户错误配置。政策可能过于宽泛,实际上会使网络永久暴露在外。测试系统可能无法从生产系统中正确地进行防火墙保护;并且不总是强制执行最小特权的基本原则。随着应用程序范围的扩大,要保持安全配置的严密性和有效性变得越来越困难。如果应用程序包含不必要或未使用的功能,这将成为一个更大的问题。这可能是由诸如在开发周期中启用了不必要的端口、未正确删除默认帐户等原因造成的。如果保留这些未使用的特性,它们很可能会被忽略,或者至少维护得很差,从而使攻击者更有可能发现漏洞。如何检测安全性错误配置漏洞免费网站安全性测试非侵入性GDPR测试非侵入性PCI DSS测试免费测试ImmuniWeb®随需应变完成GDPR审核完整PCI DSS审核修正指南DevSecOps集成了解更多安全漏洞可从意外的地方暴露出来。如果处理不当,错误消息可能包含攻击者的线索。开发过程中遗留的代码和示例应用程序可能包含已知的漏洞,使攻击者能够访问应用程序服务器。如果配置不当,调试信息(如这些错误消息和详细的堆栈跟踪,对开发人员至关重要)可能成为攻击者手中的武器。然而,随着云存储选项的不断增加,一个更简单但破坏性更大的安全配置错误已经转移到了舞台的中心:无法锁定对存储在面向互联网的存储设备中的数据的访问。人们似乎认为任何第三方都会提供安全保障,但事实并非如此。2017年,埃森哲在AWS S3存储桶上留下了137GB的数据,包括40000个明文密码、哈希密码、enStratus云基础设施管理平台的访问密钥、电子邮件数据以及咨询公司ASGARD数据库的信息。同样在2017年,维亚康姆将敏感公司数据暴露在S3存储桶中,包括维亚康姆服务器的密码和清单。该公司的AWS帐户的访问密钥和密钥类似地存储在存储库中。此错误配置问题也可能发生在使用第三方软件的专用服务器上。今年早些时候,数据代理Exactis披露了一个庞大的个人信息数据库,其中包括2.18亿个人、1.1亿个家庭和2100万个公司。数据库由Elasticsearch前端,防御ddos产品,但没有部署访问控制。公司需要认识到,无论数据存储在何处,以何种方式存储,他们都要对数据负责。解决这类错误配置的方法相对简单——公司需要认识到,无论数据存储在何处,以何种方式存储,他们都要对数据负责。保护它是他们自己的责任——通常由第三方提供身份验证控制。安全性错误配置的影响错误配置的安全性可能源于非常简单的疏忽,但也可能使应用程序对攻击者敞开大门。在某些情况下,美国cdn高防,配置错误会导致数据暴露,而不需要恶意代理进行主动攻击。2014年10月,安全记者布莱恩·克雷布斯(Brian Krebs)报道了美国最大的债券保险公司MBIA Inc.的网站存在漏洞。由于数据库服务器配置不当,搜索引擎已经为数百页的用户帐户报表编制了索引,使数据可以通过简单的网络搜索轻松访问。这还包括一页管理员凭据,这意味着攻击者可能访问了公司服务器上尚未被搜索引擎索引的更多数据。在早期的存储设备安全控制错误配置(本例中没有)的例子中,大量的个人和敏感数据暴露在互联网上的每个人面前。在数据受到保护之前,通常无法知道谁可能访问过该数据。向用户公开的数据和代码越多,应用程序安全的风险就越大。目录列表尤其是许多web应用程序的一个问题,尤其是那些基于已有框架(如WordPress)的web应用程序。如果用户可以自由地访问和浏览文件结构,那么就有足够的时间来发现安全漏洞。如果不能正确锁定对应用程序结构的访问,甚至会让攻击者有机会对应用程序进行反向工程,甚至修改部分应用程序。如果一个应用程序要传送到移动设备,这可能很难控制。正如OWASP关于防止逆向工程的页面所说:未能正确锁定对应用程序结构的访问,甚至会让攻击者有机会对应用程序进行反向工程,甚至修改部分应用程序。"在转向移动应用程序的过程中,企业现在更多地将应用程序的表示层和业务层部署在电话上,而不是在自己的服务器上。结果,他们失去了对谁可以查看或修改应用程序代码的更多控制。"解决方案安全性错误配置源于人为错误,而不是协议或常见攻击向量的一般弱点。这意味着一个结构良好的开发和更新周期,如果得到适当的实施,将可靠地抵消这种风险。应该有一个可重复的过程,以便在开发期间、在部署任何新特性时以及在更新或更改任何组件时保护和测试应用程序。对合规性的关注将为安全配置提供良好的指导,例如NIST关于保持服务器安全的指南。High Tech Bridge首席执行官伊利亚·科洛琴科(Ilia Kolochenko)就渗透测试在发现错误配置方面的重要性发表了评论:"将渗透测试适当地集成到所有其他业务流程中非常重要—我们需要彻底计划测试什么、如何测试以及何时进行测试。之后,我们还需要一个过程来确保所有检测到的漏洞都得到了正确的修补。最后但并非最不重要的是,对检测到的漏洞负责的人需要修改他们的程序,以避免将来出现类似的缺陷和错误配置。"应用程序开发人员应该保持应用程序的效率,尽可能少地使用组件和框架来实现所需的功能。特性蠕变增加了错误配置的可能性。应用程序架构应该采用分段的方法,强大的强化技术应该集成到开发周期中。尽可能地,这个应用程序强化应该是可重复和自动化的。Gartner 2014年的一份报告指出,自动化和自测试应用程序强化将是未来的发展方向,预计到2020年,25%的web和云应用程序将以这种方式自我保护。Gartner认为,自动化和自测试应用程序强化将是未来的发展方向,预计到2020年,25%的web和云应用程序将以这种方式自我保护。幸运的是,网站高防cdn,安全性和配置错误是已知的。这意味着自动化测试资源对于检测这类问题特别有用,特别是如果测试工具被很好地集成到开发计划中的话。High Tech Bridge的ImmuniWeb是开始查找和消除web应用程序错误配置的好地方。函数add_favorite(a){title=文件名称;网址=文件.位置;尝试{window.external.AddFavorite(url,title);}catch(e){尝试{window.sidebar.addPanel(title,url,"";}catch(e){if(typeof(opera)=="object"){a.rel="sidebar";a.title=title;a.url=url;return true;}else{alert('请单击Ctrl+D添加到书签');}}}返回false;}函数添加收藏夹(a){title=文件名称;网址=文件.位置;尝试{window.external.AddFavorite(url,title);}catch(e){尝试{window.sidebar.addPanel(title,url,"";}catch(e){if(typeof(opera)=="object"){a.rel="侧边栏";a.title=title;a.u