来自 网络 2021-10-11 14:08 的文章

防cc攻击_云盾智慧安全科技有限公司_解决方案

防cc攻击_云盾智慧安全科技有限公司_解决方案

注入漏洞是可利用的最古老的软件缺陷之一,不幸的是,今天仍然普遍存在。做一个简单的搜索网址:cve.mitre.org自2000年以来,com在商业和开源软件中发现了10852个与注入相关的漏洞,并且注入漏洞的数量每天都在增长。最早的跟踪注入漏洞是当年发现的CVE-2000-1233,允许远程攻击者在易受攻击的系统上执行任意代码。那么究竟什么是注入漏洞呢?在进行简短的解释之前,首先让我们讨论一下注入漏洞有多丰富。例如,ddos防御100g,Injection已将OWASP列为2010年、2013年和2017年最关键Web应用程序风险的前10名。Injection也进入了2019年OWASP API安全性前10名。显然,注入风险和相关攻击已经存在了近20年,并且常常是许多报告数据泄露的催化剂。注入漏洞导致计算系统潜在地处理攻击者引入的恶意数据。简单地说,攻击者将代码注入易受攻击的软件,并改变软件的执行方式。因此,注入攻击可能具有一定的灾难性,因为它们通常涉及数据盗窃、数据丢失、数据损坏、拒绝服务等。根据OWASP Top 10 2017,"当不可信的数据作为命令或查询的一部分发送到解释器时,会出现注入缺陷,如SQL、NoSQL、OS和LDAP注入。攻击者的恶意数据可以诱使解释器在未经适当授权的情况下执行意外命令或访问数据。"例如,有关SQL注入和LDAP注入的更多信息,Checkmarx在我们的漏洞知识库中提供了详细描述。鉴于近20年来普遍存在的注入漏洞,我请我们的客座专家Inon Shkedy就以下几个问题提供他的见解。Inon在OWASP API安全项目上与Checkmarx安全研究主管erezyalon密切合作。他们一起带头制定了2019年OWASP API安全十大风险,其中定义了十大最关键的API安全风险。…问:为什么注射剂仍然在十大风险之列,ddos软件防御,这个问题现在不应该得到纠正吗?伊诺:注射领域有两大趋势:一方面,由于适当的安全教育和一套现代技术,某些类型的注射变得越来越不普遍。另一方面,新的框架和技术为新型注射打开了大门。例如,对于使用NoSQL的系统来说,NoSQL注入是一种相对较新的攻击向量。这两种趋势使注射变得不那么严重和普遍,但同时它们仍然在名单上占有一席之地。问:开发人员在他们生成的代码中写入注入漏洞的原因是什么?伊诺:主要原因如下:缺乏意识:经常看到初级软件工程师编写易受攻击的代码。"注入"的概念对他们来说可能不是很直观,他们交付易受攻击的代码,因为这是他们实现特定组件的最简单/最快的方式。拉什:我们都知道现代软件开发环境有多大的压力和要求。像敏捷和CI/CD这样的概念对于快速交付是很好的,但是当开发人员只关注于交付代码时,他们可能会忘记检查安全问题。复杂性:API和现代应用程序非常复杂。例如,从用户体验的角度来看,像Uber这样的现代应用程序可能看起来非常简单,但在后端,有许多数据库和微服务在幕后进行通信。在许多情况下,客户机的输入很难被跟踪(在这种情况下,需要对系统内部的输入进行更多的扫描和跟踪)。问:如何才能最终让开发人员停止在代码中写入注入漏洞,和/或组织发布带有注入漏洞的代码?伊诺:提高认识:我相信安全编码是教育的结果。通过为公司的新软件工程师提供安全指南来提高人们的安全意识,并就安全问题进行持续的培训、谈话和讨论,这一点非常重要。预生产自动化:使用SAST和IAST等自动化工具,在代码暴露于全世界之前发现代码中的注入漏洞。使用ORMs:当您使用ORMs时,编写易受攻击的代码更加困难。它们通过设计提供安全机制。…显然,在软件开发过程中,必须首先检测到注入缺陷,然后通过修复漏洞来缓解这些缺陷。如果带有注入缺陷的应用程序进入互联网,cc防御能力,大规模DDoS攻击的最佳防御点,那么它们被攻击者发现并最终被利用只是时间问题。应用程序安全警告应用程序安全漏洞CVeInjection AttacksSQL注入生物最新帖子斯蒂芬·盖茨Stephen Gates是一位经验丰富的作家、博客作者和出版作家,他为Checkmarx团队带来了15年以上的信息安全实践知识。Stephen致力于传达事实、数字和信息,免费dd和cc防御,使所有组织和消费者都认识到网络安全问题。为了配合Checkmarx为所有组织提高软件安全性的使命,他是全球范围内解决方案的倡导者和推动者。斯蒂芬·盖茨的最新帖子关于真实世界网络安全培训的卓越大学研究-2020年9月23日应用安全:动荡往往会导致变革-2020年9月9日DevSecOps之路:根据NIST SP 800-53的安全和隐私控制-2020年9月1日