OWASP發(fā)布 2017 Top 10 Web應用安全威脅

　　在 2017 威脅榜單中，注入攻擊漏洞仍然位居 Top 10 威脅之首，而 XSS 的威脅程度從 A3 降到了 A7。敏感信息泄露、安全配置錯誤、失效的訪(fǎng)問(wèn)控制等威脅均有提升，值得企業(yè)重視。

　　與此同時(shí)，榜單中還出現了一些新的安全威脅，包括 XXE 漏洞（A4:2017, XML External Entity attack）、針對 Java 平臺的不安全反序列化漏洞（A8:2017, Insecure Deserialization）以及記錄和監控不足風(fēng)險（A10:2017, Insufficient Logging & Monitoring）等，這些新興的安全威脅也值得企業(yè)重點(diǎn)關(guān)注。

　　隨著(zhù)網(wǎng)貸、購物和社交等一系列新型互聯(lián)網(wǎng)產(chǎn)品的誕生，企業(yè)信息化的過(guò)程中越來(lái)越多的應用都架設在 Web 平臺上，接踵而至的就是 Web 安全威脅的凸顯。

　　大量黑客利用網(wǎng)站操作系統的漏洞和 Web 服務(wù)程序的 SQL 注入漏洞等得到 Web 服務(wù)器的控制權限，輕則篡改網(wǎng)頁(yè)內容，重則竊取重要內部數據，更為嚴重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪(fǎng)問(wèn)者受到侵害。

　　如下圖所示，攻擊者可以通過(guò)應用程序中許多不同的路徑和方法來(lái)危害您的業(yè)務(wù)或者企業(yè)組織。每種路徑方法都代表了一種風(fēng)險，有些路徑方法很容易被發(fā)現并利用，有些則很難被發(fā)現。

　　為了確定您企業(yè)面臨的風(fēng)險，可以結合其產(chǎn)生的技術(shù)影響和對企業(yè)的業(yè)務(wù)影響，去評估威脅代理、攻擊向量和安全漏洞的可能性。

　　接下來(lái)，重點(diǎn)分析排名前三的 Web 安全威脅以及應對方法：

　　注入攻擊漏洞，例如 SQL、OS 以及 LDAP 注入。這些攻擊發(fā)生在當不可信的數據作為命令或者查詢(xún)語(yǔ)句的一部分，被發(fā)送給解釋器的時(shí)候，攻擊者發(fā)送的惡意數據可以欺騙編輯器，以執行計劃外的命令或者在未被恰當授權時(shí)訪(fǎng)問(wèn)數據。

　　最好的辦法就是確認所有解釋器的使用都明確地將不可信數據從命令語(yǔ)句或查詢(xún)語(yǔ)句中區分出來(lái)。對于 SQL 調用，在所有準備語(yǔ)句和存儲過(guò)程中使用綁定變量，并避免使用動(dòng)態(tài)查詢(xún)語(yǔ)句。

　　檢查應用程序是否安全使用解釋器的最快最有效的辦法是代碼審查，代碼分析工具能幫助安全分析者找到使用解釋器的代碼并追蹤應用的數據流。

　　可以執行應用程序的動(dòng)態(tài)掃描器能夠提供信息，幫助確認一些可利用的注入漏洞是否存在。

　　NextGEN Gallery 插件是眾所周知的 WordPress 相冊插件，這款插件功能強大，可以在博客中任意插入動(dòng)態(tài)圖片效果，提供了很完美的照片管理方法，在 WordPress 平臺上擁有過(guò)百萬(wàn)的安裝量。

　　今年 3 月 NextGEN Gallery 插件被曝存在嚴重的 SQL 注入漏洞，影響上百萬(wàn)用戶(hù)，攻擊者利用 SQL 注入漏洞獲取了數據庫中包括用戶(hù)信息在內的敏感數據。

　　與身份認證和會(huì )話(huà)管理相關(guān)的應用程序功能常常被錯誤地實(shí)現，攻擊者使用認證管理功能中的漏洞，采用破壞密碼、密鑰、會(huì )話(huà)令牌去冒充其他用戶(hù)的身份。

　　用戶(hù)身份驗證憑證是否使用哈希或加密保護；是否可以通過(guò)薄弱的賬戶(hù)管理功能（例如賬戶(hù)創(chuàng )建、密碼修改、密碼修復、弱會(huì )話(huà) ID）重寫(xiě)。

　　會(huì )話(huà) ID 暴露在 URL 里；會(huì )話(huà) ID 沒(méi)有超時(shí)限制，用戶(hù)會(huì )話(huà)或身份驗證令牌（特別是單點(diǎn)登錄令牌）在用戶(hù)注銷(xiāo)時(shí)沒(méi)有失效；密碼、會(huì )話(huà) ID 和其他認證憑據使用未加密鏈接傳輸等。

　　機票預訂應用程序支持 URL 重寫(xiě)，把當前用戶(hù)的會(huì )話(huà) ID 放在 URL 中：http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii

　　該網(wǎng)站一個(gè)經(jīng)過(guò)認證的用戶(hù)希望讓他朋友知道這個(gè)機票打折信息。他將上面鏈接通過(guò)郵件發(fā)送給朋友們，并不知道已經(jīng)泄露了自己會(huì )話(huà) ID. 當他的朋友們使用上面的鏈接時(shí)，可以輕而易舉地使用他的會(huì )話(huà)和信用卡。

　　許多 Web 應用程序沒(méi)有正確保護敏感數據，如信用卡、身份證 ID 和身份驗證憑據等。攻擊者可能會(huì )竊取或篡改這些弱保護的數據以進(jìn)行信用卡詐騙、身份竊取或其他犯罪。

　　敏感數據需額外的保護，比如在存放或在傳輸過(guò)程中進(jìn)行加密，以及在與瀏覽器交換時(shí)進(jìn)行特殊的預防措施。

　　首選需要確認哪些數據時(shí)敏感數據而需要被加密。當這些數據被長(cháng)期存儲的時(shí)候，無(wú)論存儲在哪里，是否被加密和備份？

　　無(wú)論內部數據還是外部數據，傳輸時(shí)是否是明文傳輸？是否還在使用舊的或者脆弱的加密算法？

　　加密密鑰的生成是否缺少恰當的密鑰管理或缺少密鑰回轉？當瀏覽器接收或發(fā)送敏感數據時(shí)，是否有瀏覽器安全指令？

　　一個(gè)網(wǎng)站上所有需要身份驗證的網(wǎng)頁(yè)都沒(méi)有使用 SSL 加密。攻擊者只需要監控網(wǎng)絡(luò )數據流（比如一個(gè)開(kāi)放的無(wú)線(xiàn)網(wǎng)絡(luò )或其社區的有限網(wǎng)絡(luò )），并竊取一個(gè)已驗證的受害者的會(huì )話(huà) Cookie. 攻擊者利用這個(gè) Cookie 執行重放攻擊并接管用戶(hù)的會(huì )話(huà)，從而訪(fǎng)問(wèn)用戶(hù)的隱私數據。

　　如何有效地防范 Web 應用安全風(fēng)險？

　　在 Web 開(kāi)發(fā)階段需要對代碼進(jìn)行核查，在測試階段需要對上線(xiàn)前的 Web 應用做完整的安全檢查，在運營(yíng)階段，建議在事前、事中和事后進(jìn)行分階段、多層面的完整防護。

　　構建以漏洞、事件生命周期閉環(huán)管理體系

　　通過(guò)監測系統平臺進(jìn)行漏洞生命周期的管理，包含漏洞掃描、人工驗證、漏洞狀態(tài)的追蹤工作以及漏洞修復后的復驗工作等，使漏洞管理流程化。

　　安全管理崗位人員需要建立起信息安全管理的概念，清楚 Web 威脅的危害，掌握識別安全漏洞及風(fēng)險的專(zhuān)用技術(shù)，以及對安全問(wèn)題進(jìn)行加固處置的技能。

　　查看和下載完整版報告：

　　https://community.qingcloud.com/topic/1012

　　青云QingCloud 對于 Web 安全防護整體解決方案的建議

　　預防 Web 應用安全，應該在軟件開(kāi)發(fā)生命周期遵循安全編碼原則，并在各階段采取相應的安全措施。對于已經(jīng)投入使用的 Web 應用系統，如何在運行階段進(jìn)行有效的安全防護成為重點(diǎn)。

　　QingCloud 建議對 Web 應用的安全威脅及業(yè)務(wù)運維路徑采取以下安全措施進(jìn)行防護：

　　DDoS 防御

　　DDoS 防御一般包含兩個(gè)方面：

　　利用防火墻進(jìn)行訪(fǎng)問(wèn)控制，防止不必要的服務(wù)請求進(jìn)入網(wǎng)站系統，減少被攻擊的可能性。利用 IP Sec/SSL VPN 實(shí)現對遠程用戶(hù)的安全加密接入功能。

　　通過(guò) Web 應用防護系統可有效控制和緩解 HTTP 及 HTTPS 應用下各類(lèi)安全威脅，如 SQL 注入、XSS、 跨站腳本（XSS）、Cookie 篡改以及應用層 DDoS 等，有效應對網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、敏感信息泄露等安全問(wèn)題，充分保障 Web 系統的高可用性和可靠性。

　　通過(guò)安全評估系統找出主機系統、網(wǎng)絡(luò )設備及其他設備系統中存在的補丁漏洞和配置漏洞，進(jìn)行加固，以保障系統的安全性。

　　SSL 加密是在瀏覽器和 Web 服務(wù)器之間為應用程序提供加密數據通道，SSL 數字證書(shū)是其代表應用，SSL 證書(shū)可實(shí)現網(wǎng)站 HTTPS 化，使網(wǎng)站可信，防劫持、防篡改、防監聽(tīng)。

　　通過(guò)數據庫審計系統實(shí)現對所有訪(fǎng)問(wèn) Web 應用系統引起的數據庫操作進(jìn)行精細化審計，涵蓋可能訪(fǎng)問(wèn)數據的所有途徑，無(wú)論是外部訪(fǎng)問(wèn)還是云端數據庫管理員的訪(fǎng)問(wèn)。

　　通過(guò)堡壘機實(shí)現對所有運維人員的操作進(jìn)行集中管控，對重要主機的操作做到實(shí)時(shí)跟蹤，形成可視化的操作日志，對于高風(fēng)險的操作進(jìn)行實(shí)時(shí)的預警，全程審計運維操作的每一個(gè)細節。

　　青云QingCloud Web 應用防火墻，通過(guò)云端大數據監測和學(xué)習引擎，完美防范 Web 應用攔截 SQL 注入、XSS 跨站腳本、網(wǎng)站掛馬、OWASP Top 10 等各類(lèi) Web 安全威脅，過(guò)濾海量惡意訪(fǎng)問(wèn)，持續更新防護策略，從而降低網(wǎng)站資產(chǎn)和數據泄露的風(fēng)險，保障 Web 應用的可用性。

　　12 月 12 日，青云QingCloud 下一代企業(yè)級云架構 ——「全模云」線(xiàn)上發(fā)布會(huì )，活動(dòng)門(mén)票限量贈送，點(diǎn)擊「閱讀原文」馬上獲取~