来自 DDOS 2021-06-10 21:32 的文章

网站防御_防ddos攻击设备_怎么防

网站防御_防ddos攻击设备_怎么防

ImmuniWeb>安全博客群组安全测试对web应用程序是否具有成本效益?2.7k 95 9 10 10更多4 6 11 2016年6月30日星期四,Ilia Kolochenko为CSO阅读时间:4分钟。Bug Bounty程序可以作为现代web应用程序安全测试的一个经济高效的补充吗?上周,Bugcrowd发表了一份综合报告,解释了日益增长的臭虫市场的现状。几乎同时,High Tech Bridge发布了2016年上半年的网络安全趋势报告。同时,开放的Bug悬赏社区帮助网站所有者(包括像WordPress和Amazon这样的巨头)修复了将近25000个XSS漏洞。我已经写了关于缺陷奖励的潜在好处和陷阱,但是上面提到的报告中的一些数字对我来说似乎很有趣——突出了以前不明显的趋势。在本文中,我们将尝试将web应用程序的bug数量和web安全的最新趋势联系起来,以了解群组安全测试是否可以作为现有web安全测试技术的一种经济高效的补充。WhiteHat Security称,定价过高的XSS和CSRF占据了大量提交的bug,几乎80%的网站都容易受到XSS的攻击。同时,根据Bugcrowd的报告,通过Bug Bounty程序提交的所有(分类)漏洞中,66.24%是跨站点脚本(XSS)。CSRF漏洞分别占19.71%。总计超过85%的投稿量。然而,如今,即使是一个自动化的漏洞扫描器,也或多或少能够可靠地检测到各种类型的XSS漏洞。当然,扫描器会产生大量误报,需要额外的技能和时间才能将其报告转换为有意义的内容,但是正确的缺陷奖励计划的实施和管理会消耗更多的内部资源(包括您的法律部门)。考虑到,根据Bugcrowd的数据,2016年第一季度平均bug支出为505.79美元,购买一个web应用程序扫描仪年度许可证的成本可能低于支付十几个报告的XSS的费用(当然,如果您支付现金,而不是T恤)。我甚至还没有谈到Open Bug bonunty的XSS漏洞报告程序,在这个程序中,安全研究人员可以得到一份推荐或一份小的"谢谢"礼物作为奖励。远程PHP文件包含(RFI)的时代已经一去不复返了,几年后XSS可能会像今天的SQL注入一样稀少。现代web安全技术也在不断发展:正确配置的内容安全策略(CSP)HTTP报头和SameSite cookie属性为抵御大多数经典XSS和CSRF攻击提供了相当可靠的保护。因此,实际上,在通过[付费]悬赏计划报告的所有web应用程序漏洞中,超过85%的公司要比购买一个web漏洞付出更多的代价扫描仪。年轻来自发展中国家的人才在人群中占主导地位。报告还说,超过50%的研究人员来自印度和巴基斯坦。另一个有趣的事实是,75%的研究人员年龄在18到29岁之间。作为一个年轻人,我不得不承认,我认识的专业渗透测试人员很少比27岁年轻。它不是关于技术知识或技能,而是关于通过使用正确的方法和适当的格式报告安全漏洞为客户提供价值的经验。漏洞发现只是第一步,之后你需要以一种有意义和有用的方式对它进行评估、包装和呈现,否则你的发现毫无价值。因此,归根结底,你最好联系印度众多网络安全公司中的一家,进行更可靠和全面的渗透测试,提供某种保险、截止日期、索赔可能性以及更低的价格价格。黑色帽子会进来,研究人员会放弃网络雇佣兵,或者黑帽子,ddos攻击犯怎么防御,他们的动机是大把的钱(甚至远远超过谷歌的奖金),防御cc攻击c源码,并希望保持自己能够打入任何目标的声誉。他们是经验丰富的专业人士,往往比一个普通的缺陷悬赏研究人员更有资格。他们会在数周内日以继夜地工作,而根据Bugcrowd的调查,85%的研究人员将参与悬赏项目作为一种业余爱好,其中70%的人每周花在捕杀臭虫上的时间不到10个小时。显然,黑帽子会找到他们想要的,而研究人员不会找到的。当然也有一些例外,但例外证明了这一规则。对于为大量用户设计的web系统或平台来说,群组安全测试的概念可以获得很大的成功,但对于中小型公司来说,它可能会给人一种错误的、因而非常危险的安全感。一些公司开始认为,如果群众在测试他们,他们没有什么可冒险的。只有在妥协。复杂crowd High Tech Bridge的报告强调了现代web应用程序漏洞及其利用技术的日益复杂。如今,经典的SQL注入或rce变得非常罕见,而复杂的应用程序逻辑漏洞(自动扫描器无法检测到,并且常常被大量的bug研究人员忽略),仍然存在于许多web应用程序中。许多漏洞只能与其他漏洞成对使用,防御cc盾,从而产生了复杂的攻击技术。人群,discuz防御cc,以结果为报酬,通常不会费心去发现它们,在下一个新加入的项目中,很快就会转向更有利可图的xss。纯自动化,以及纯手工测试,正在变得低效,目前正在下降。新的趋势是一种混合方法,即所有可以自动化的东西都是自动化的,cc攻击防御的工作方式,而其余的都由合格的人来管理。成熟的网络安全市场领导者与网络安全初创公司合作,通过管理机器学习技术和手动渗透测试来补充其自动化网络脆弱性评估。这种混合方法可能是技术效率和成本。结论作为一家像Google、Uber或Facebook这样的跨国公司,你绝对需要为你的web应用程序建立一个完善的、管理得当的Bug悬赏计划。然而,对于中小型公司,或者不是为所有大洲的数百万用户设计的web应用程序,bug的大量出现不仅会增加测试的总体成本,降低测试的质量和可靠性,还会带来额外的风险。因此,如果您正在考虑用缺陷奖励计划来补充现有的web安全测试组合,请确保它适合您的web应用程序大小、复杂性和预期的生产使用情况。想一想你准备奖励哪种类型的漏洞,你将支付多少钱,然后再次检查是否同样的漏洞无法以更经济、更可靠的方式检测到。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i