来自 CC防护 2021-05-03 11:13 的文章

cdn防御_国外高防服务器租用_打不死

cdn防御_国外高防服务器租用_打不死

SAN/CWE前25个编程错误最近Mitre和SANS合作,列出了程序员应该关注的25个安全错误。这些错误是从公共弱点枚举(CWE)集合中选择的,该集合旨在列举软件可能造成安全漏洞的所有不同方式。对于熟悉CVE(Common vulnerability and Exposures)的人来说,CVE和CWE的区别在于前者跟踪特定应用程序中漏洞的点实例,而后者跟踪漏洞在任意应用程序中的不同表现方式。该列表确实涵盖了传统上困扰应用程序的各种严重漏洞类型(SQL注入、XSS、命令注入、缓冲区溢出、文件名操作、以明文或弱加密方式发送数据等),但其中没有什么特别令人震惊的。当我看到CWE-20(不正确的输入验证)和CWE-116(不正确的输出验证)之类的条目时,我总是暗自窃笑,防御ddos攻击方法,因为它们有点笼统,而且从某些角度来看,它们包含了所有更具体的输入/输出验证错误,例如SQL注入、XSS,一个验证了所有输入数据的编程商店很可能可以将多个项目从列表中划掉…但这实际上是一个相当艰巨的任务。我过去处理过许多应用程序审核和安全代码审核,而且我从未遇到过一个编程人员,他们认为在一个中等大小的应用程序(或更大的应用程序)上回过头来审核/调整所有输入以进行验证是现实的。这些大型应用程序(许多是基于web的)从太多的地方获取数据,低价法国高防cdn,无法切实、准确地解释所有这些应用程序。这与我和许多其他安全专业人士一直在说的一句话相吻合:设计安全性比事后改进更容易。随着应用程序的增长和扩展,拥有并强制使用一组可用的全局验证函数将(希望如此)让程序员用基本验证级别标记输入。一旦编写了一个大型应用程序,试图找到并评估所有的输入就像大海捞针。根据我的经验,大多数组织在这一点上都会改变策略,只是为了确保它们不会受到特定错误的影响。换句话说,他们不会确保所有输入都经过验证,1g带宽防御ddos,而是只检查SQL调用周围的区域,以确保没有SQL注入问题。这本质上是在"使用时"而不是"接收时"进行验证。从表面上看,ddos防御AWS,这似乎是一个不错的策略——毕竟,任何给定输入的使用次数可能很少,这可能会导致安全漏洞。但是,他的方法的长期问题是,它造成了一种拼凑效应,在这种情况下,验证工作并不一致。如果输入验证在A点完成(立即接收),则该数据的所有后续使用(即B、C和D点)都是清晰的。但是如果你在D点(即使用时间)使用验证,那么你现在就可以了…直到程序员决定将C分支到调用点e。在那一点上,e将继承脏数据,但是程序员可能不会怀疑这一点,因为他们对数据以前在D点是干净的这一想法心满意足。对A、B、C点数据的任何直接或派生使用仍然容易受到漏洞的影响。但是,撇开输入验证不谈,让我们从整体上看一下这个列表。它是为应用程序开发人员设计的,它解决了编程问题。这些问题肯定值得解决,但同时,它们只能走到目前为止;特别是,这份清单没有涉及到操作安全问题。以下是列表中未提及的一些安全事件:   因为一个Twitter帐户的密码很容易被猜到 会话内网络钓鱼的恶意站点向用户显示假会话过期弹出窗口,鼓励用户提供登录凭据以重新登录 美国在线的一名内部员工向垃圾邮件发送者出售了3000万份AOL账户记录 垃圾邮件发送者仍然经常滥用在互联网上找到的任何开放式SMTP中继;开放式HTTP代理也没有什么好处 包含机密记录的笔记本电脑(和备份磁带)正以现在看来是定期被盗的方式被窃取;迄今为止最大的一次是美国退伍军人事务部(usseniordaffairs),有2650万份记录被泄露 CardSystems惨败的一部分原因是为了"测试/研究目的"而将未加密的消费者数据副本存放在周围 消费类电子产品现在附带病毒/恶意软件(三星数码相框、华硕Eee Box PC、TomTom navigator等)总的来说,CWE/SANS列表的工作是好的,ddos防御公司,因为每个人都可以从应用程序软件的更高级别的安全性中受益。但纵观近期备受关注的安全事件,人类仍然是安全链条上非常真实、非常薄弱的一环。如果你在列表中列出了25个重要的操作项目,那么你应该在列表中列出一些重要的操作项目。值得注意的是,SAN还有一个更广泛的前20个安全风险列表,其中确实包含了许多操作安全问题。更新:还可以查看How to suck at Information Security list,也可以在SANS上发布。-杰夫   Zscaler_媒体_中心2_博客_发布_1-R1