来自 CC防护 2021-10-11 17:00 的文章

防cc_卸载阿里云盾_怎么防

防cc_卸载阿里云盾_怎么防

openwebapplicationsecurityproject(OWASP)是一个由来自世界各地的安全专家组成的组织,他们以最直接、最中立和最实用的方式提供有关应用程序和风险的信息。自2003年ASP/OWASP发布以来,每三年都是ASP/OW10的前十名。根据OWASP,这个列表由最大的应用程序安全风险组成。 此列表被视为AppSec基准,并得到应用程序安全社区的认可。该列表包含最新的漏洞、威胁和攻击,以及检测策略和补救措施。OWASP前10名项目成员通过分析我们快速发展的应用程序世界面临的每种威胁的发生率和一般严重程度来创建列表。 将2013年的榜单与最新发布的2017年榜单进行比较,来源(PDF) 2017年OWASP前10名榜单最近再次向公众发布,此前最初的版本受到一些争议。这份新的和修订的名单是基于40多份来自专门从事应用程序安全的公司提交的数据和一份由500多人完成的行业调查。它包含三个大规模的漏洞更新和更新的攻击场景。让我们仔细看看2017年ASP应用程序中最重要的10项变化。 A1–注射如果您的应用程序能够接收到进入后端数据库、命令或调用的用户输入,那么您的应用程序就能够面对代码注入攻击。注入缺陷是一组安全漏洞,ddos防御整体方案,当可疑数据作为命令或查询插入到应用程序中时会出现。已知的注入攻击包括SQL、OS、XXE和LDAP。 最常见的代码注入攻击是SQL注入,也称为SQLi。因此,当向服务器发送错误的数据时,会导致数据暴露。而且这种攻击方式非常简单和容易,任何有权访问互联网的人都可以做到这一点——SQLi脚本可以下载,而且很容易获得。作为最常见的漏洞之一,我们似乎对此了解很多,但新的SQLi攻击总是层出不穷——只要快速浏览一下SQLi的耻辱堂,亲自看看。 继续阅读:知识库:SQL注入SQL注入教程 A2–中断的身份验证当应用程序的功能没有正确实现时,攻击面就为犯罪分子打开了大门,他们可以利用窃取的凭证轻松侵入并泄露密码、会话ID和利用其他缺陷。会话对每个单独的用户都是唯一的,在没有必要的会话管理的情况下,攻击者可以潜入,伪装成用户窃取令牌和密码以获得访问权限。 A3–敏感数据暴露当安全控制(如HTTPS)未正确实施时,可能会发生敏感数据泄露,从而给攻击者留下漏洞,窃取敏感信息,如密码、支付信息、ID、地址以及您存储的任何其他有价值的信息。应用程序应该确保访问经过身份验证,数据被加密。否则可能会导致严重的隐私侵犯。 A4–XML外部实体(XXE)[新]XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置的XML解析器处理时,就会发生此攻击。此攻击可能导致机密数据泄露、拒绝服务、伪造服务器端请求、从解析器所在机器的角度扫描端口以及其他系统影响。 A5–访问控制中断有缺陷的访问控制可能是由非强制用户限制引起的,这使得攻击者能够利用和访问未经授权的功能或数据。访问控制是为了控制"授权"用户在一个应用程序中允许和不允许做什么,为了建立正确的访问控制,搭建高防cdn,应用程序必须确保它正在执行可靠的授权检查,并且有适当的身份验证来分辨哪些用户是特权用户,哪些用户实际上是随机的互联网用户。 破坏的访问控制可能是由于开发人员经常遇到在所有规则都到位的情况下实现适当的访问控制的困难。在各种情况下,访问控制规则被放置在整个代码中,规则的集合变得分散,DDos防御攻击与云服务,几乎不可能遵循和理解。 A6–安全配置错误根据ASP的安全性问题,最常见的是错误配置。强大的安全性要求为应用程序、框架、服务器、数据库和自定义代码部署一个良好且安全的配置集,并且所有配置都应保持最新。否则,由此产生的缺陷可能会被攻击者利用,并允许他们访问特权数据。应用程序整个环境的正确配置需要定义、实现和管理,否则可能会导致严重的安全漏洞。 A7–跨站点脚本(XSS)在与之前的A7(即"攻击保护不足")存在广泛分歧之后,OWASP更新了列表,并将跨站点脚本作为更新的A7。跨站点脚本(通常称为XSS)是web应用程序中常见的一个漏洞。XSS允许攻击者将客户端脚本注入面向公共的网页中,在许多情况下,攻击者可以利用它绕过访问控制。 这是通过欺骗浏览器,使其接受来自不可信来源的数据,这通常发生在攻击者使用熟悉的代码(例如JavaScript)时,因为开发人员没有清除这些字符。 允许用户输入而不完全控制输出的应用程序可能很容易受到XSS攻击。当XSS攻击成功时,攻击者能够对网站造成严重损害,并能够将用户拖到其他网站(通常托管更多恶意代码)。其他已知的XSS攻击有存储XSS、基于DOM的XSS和反射XSS。 继续阅读:知识库:跨站点脚本人人都在谈论网络钓鱼,但没有人指责XSS A8–不安全的反序列化[新]根据OWASP的说法,ddos免费防御,"序列化是将某些对象转换为以后可以恢复的数据格式的过程。人们经常序列化对象以便将其保存到存储中,或作为通信的一部分发送。反序列化与此过程相反—从某种格式获取结构化数据,然后将其重建为对象。"不安全的反序列化通常会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,它们也可以用于执行攻击,包括重放攻击、注入攻击和权限提升攻击。 A9–使用具有已知漏洞的组件组件(包括库和框架)可能来自开源社区,使用时应谨慎,以防潜在的漏洞。当一个易受攻击的组件被利用时,攻击者可以利用它并导致应用程序严重损坏和大量数据丢失,从而破坏应用程序,甚至可能破坏组织。 通过使用具有已知漏洞的组件,攻击者可以利用容易尝试SQLi和XSS(以及其他攻击方法)来尝试接管占领应用程序。A10–记录和监控不足根据OWASP,不充分的日志记录和监控,加上与事件响应的集成缺失或无效,使得攻击者能够进一步攻击系统,保持持久性,转向更多的系统,如何大家ddos防御系统,篡改、提取或销毁数据。大多数违规研究表明,检测违规行为的时间超过200天,通常由外部人员检测,而非内部流程或监控。 单击此处查看OWASP发布的列表(PDF)  进一步了解我们支持的OWASP标准应用程序安全OWASP生物最新帖子拉贾伊·努塞比赫数据驱动、注重结果、精力充沛的产品经理,在数字营销、数字产品管理、技术和安全SaaS公司拥有专业知识。Rajai Nuseibeh的最新帖子Checkmarx Research:SoundCloud API安全咨询-2020年2月11日检查马克思研究:库伯内特斯的种族状况-2020年2月5日Checkmarx Research:从安全角度看稳健和智能合约-2020年1月15日