网站是功能强大的应用程序,它依赖于服务器和浏览器之间的双向信息流。例如:从登录、注册、金融交易、个人信息存储、用户浏览习惯,到用户社交生活洞察等,都是为了呈现用户量身定制的具体内容。这是由 Web 应用程序实时动态完成的。
美国国家标准与技术研究院将云计算定义为
“A model for enabling on-demand and convenient network access to a shared pool of configurable computing resources (e.g., networks, servers, storage applications, and services) that may be speedily provisioned and free with token management effort or service supplier interaction”.
云中信息的可用性以及 365 天 24/7 的访问对于应用程序在业务中工作和与业务一起使用变得非常重要。然而,它也有将数据暴露给包含漏洞的应用程序的同样风险,因为其中使用了过时的技术,这使得它们容易受到 2013 年 OWASP 中的 A9的“具有已知漏洞的组件”的攻击。 OWASP 发布的 10 大攻击。类似地,一旦来宾操作系统在虚拟机管理程序上运行,同时不知道来宾操作系统的依赖关系,如果来宾操作系统已经过时或使用未打补丁的安全组件运行,则将虚拟化用于云计算可能会带来误导用户信息的风险可以使系统易受攻击。从提供后门访问到运行远程过程调用。
在所有这些中,处理的大部分信息都是私密和敏感的,因此隐私成为一个主要问题。作为 Internet 的一部分,Web 应用程序同样是 Intranet 的一部分,以支持涉及处理用户特定数据的业务功能。例如,员工、客户、企业资源、与其他企业资源(如服务器、工作站、虚拟机等)的相互依赖关系的业务详细信息。
随着业务中的云解决方案被证明更加可靠和高效,被认为是企业内部的资源现在越来越多地托管到云中。由于云采用除 PaaS 和 IaaS 之外的面向服务的方法,具有扩展以满足用户需求、多租户等的能力。
云使用位置透明模型隐藏其服务和数据的位置。因此,供应商能够从云中的任何地方托管他们的服务。在这种情况下,组织可能会失去对信息的控制,并且可能不熟悉存储其信息的远程位置的适当安全机制。所有这些都可以使数据和架构中使用的技术对更广泛的潜在攻击透明,因为安全防御的完整性不受组织的控制。
尽管对数据收集和传输的组织施加了平等的法规,但组织大多被要求存储与其地理范围内的国家公民相关的数据,因为它可以在一个国家的合规性下进行监管,而组织必须遵循开展他们的“数据业务”。
因此,对 Web 应用程序最严重的攻击是那些利用敏感数据或对应用程序后端提供无限制访问权限的攻击。
大多数应用程序声明它们是安全的,因为它们使用 SSL。
例子:
"This site is designed to use 128-bit Secure Socket Layer (SSL) technology."
用户经常被敦促根据站点的证书和使用的加密协议信任站点,以传输他们的个人信息。越来越多的组织还引用他们对支付卡行业 (PCI) 标准的遵守情况,以向用户保证他们是安全的。
例子:
"This site is scanned daily to ensure that we remain PCI compliant and safe from hackers."
但是,尽管 SSL/TLS技术的广泛使用和常规 PCI 扫描的采用,大多数互联网应用程序是不安全的,因此检查漏洞评估和渗透测试是由他们自己在他们的网络上完成的,以了解他们自己的漏洞。
ISO/IEC 27001:2013要求组织每年由经过认证的审核员进行至少 2 次检查,以增强企业的最终用户客户和服务提供商的信心。
OWASP 根据研究全球破坏最大的攻击的调查,每三年发布 10 大漏洞。云的优势也带来了使用风险。大多数针对 Internet 应用程序的攻击都涉及向服务器注入输入,这些输入经过精心设计,会导致应用程序设计人员无法预料或不希望发生的某些事件。前任。服务器端的恶意代码注入,无论是SQL注入还是XSS。
对于此应用程序,必须假设所有输入都可能是恶意的,并且必须采取措施确保攻击者无法使用精心设计的输入通过干扰逻辑和行为来破坏应用程序,从而允许未经授权访问数据和凭据而不是功能。提交精心制作的输入以实现这些目标的示例是:
- 更改在隐藏 HTML 表单字段中传输的产品价格
- 更改一些将由后端数据库处理的输入以注入恶意数据库查询并访问敏感数据
- 修改 HTTP cookie 中传输的会话令牌以劫持合法用户的会话
- 删除通常提交以利用应用程序处理中的逻辑缺陷的某些参数
SSL 不会阻止向服务器提交精心制作的输入。如果应用程序使用 SSL/TLS,这仅意味着网络上的其他用户无法查看或修改攻击者在传输中的数据。因为攻击者可以通过他这边的 SSL 隧道发送任何东西。
如果任何可以利用任何未修补漏洞的攻击在服务器端工作,都会给整个业务带来很大程度的损害。此类攻击的示例是“ Wanna-cry 病毒”攻击,该攻击针对的是整个欧洲的医疗保健系统,因为他们运行的 Windows XP 存在一个未修补的安全漏洞被利用。 Wanna-Cry 最初是由于丢失了来自 CIA 的软件源代码而创建的,CIA 将其作为间谍软件保留在自己的身边,然后被一些黑客团体制作成病毒。最近华硕供应链面临类似的攻击,但这次攻击仅针对 27 个(不确定!!)特定的基于 MAC id 的设备。