📜  Web 应用程序中的 10 大安全风险

📅  最后修改于: 2021-10-21 05:36:54             🧑  作者: Mango

在当今世界,由于互联网的巨大进步,我们可以在互联网上找到任何东西。需要吃点好东西吗?在线订购食物,几分钟后即可送达。想买些衣服吗?网上订购!不仅是产品,我们还可以在线预订服务甚至付款。但所有这些都是建立在现代应用程序之上的,无论是网络还是移动。由于我们严重依赖这些网站,因此我们不介意在 Web 应用程序上存储我们的个人数据,甚至信用卡号等财务详细信息。但有时这会导致数据和声誉方面的巨大损失。

Web 应用程序中的 10 大安全风险

在 Covid-19 情景中,我们已经看到互联网是一切的支柱,无论是办公室会议、在线课程、医生的虚拟预约等等。我们严重依赖 Web 应用程序及其附带的服务和产品。没有身体接触甚至促使越来越多的卖家或服务提供商上网。但这也增加了随之而来的大量安全威胁。我们数据的安全性取决于我们存储信息的网站。最近,安全攻击激增,即使是最大的品牌也无法逃脱。最近违规的几个例子是 Microsoft Exchange(2021 年 3 月)、Facebook 和 LinkedIn(2021 年 1 月和 3 月)、Clubhouse(2021 年 4 月)、Bose(2021 年 5 月)。因此,保护您的 Web 应用程序至关重要,今天我们将讨论与 Web 应用程序相关的 10 大安全风险,以便您可以采取必要的步骤来防止它们!

1. 注射

注入或 SQL 注入是一种安全攻击,其中恶意攻击者通过从客户端到服务器的输入数据(就像通过填写网站上的表格一样简单)插入或注入查询。如果成功,攻击者可以从数据库中读取数据、添加新数据、更新数据、删除数据库中存在的一些数据、发出管理员命令来执行特权数据库任务,甚至在某些情况下向操作系统发出命令.

2. 破解认证

这是Web应用程序的身份验证系统被破坏并可能导致一系列安全威胁的情况。如果对手进行暴力攻击以伪装成用户,允许用户使用弱密码,例如字典词或“12345678”、“密码”等常用密码,这是可能的。 这很常见,因为令人震惊59% 的人在他们使用的所有网站上使用相同的密码。而且,90%的密码可以在近6小时内破解!因此,重要的是允许用户使用由字母数字和特殊字符组合而成的强密码。由于凭证填充、URL 重写或不轮换会话 ID,这也是可能的。

3. 敏感数据暴露

顾名思义,这意味着存储的敏感数据会泄露给恶意攻击者。这些信息可能包括姓名、地址、性别、出生日期等个人数据、Aadhar 卡号或 SSN 等个人身份号码、帐号、信用卡号等财务数据、健康相关信息等。 这可能会导致如果攻击者使用用户的财务信息进行在线支付(在大多数情况下是加密货币)、身份盗用和声誉损失,则会造成金钱损失。

4. XML 外部实体

这种类型对于解析 XML 输入的 Web 应用程序很常见。它在 XML 形式的输入引用外部实体但由弱 XML 解析器处理时执行。它会给品牌造成巨大损失,因为它反过来又会允许分布式拒绝服务、端口扫描、服务器端请求伪造、敏感信息泄露等。

5. 破坏访问控制

访问控制指定允许用户操作的限制或边界。例如,root 权限通常授予管理员而不是实际用户。访问控制系统损坏或泄漏可能会导致意外的信息泄漏、修改其他用户帐户的详细信息、操纵元数据、充当管理员、未经授权的 API 访问等。

6. 安全配置错误

这通常会为攻击者提供对系统的完全访问权限,从而导致系统完全受损。如果 Web 应用程序对云服务的权限配置较弱,启用了无用的功能会增加攻击的机会,错误处理不当使堆栈跟踪和相关信息清晰可见,糟糕的更新时间段和如果没有删除带有密码的默认帐户。

7. 跨站脚本

通常称为 XSS 攻击,当攻击者通过 Web 应用程序注入恶意脚本(主要作为浏览器端脚本)并将其发送给同一 Web 应用程序的另一个合法用户时,就会发生这些类型的攻击。合法用户反过来不知道代码不是网站的一部分,因此执行脚本。该脚本可以访问用户的任何敏感信息,如会话令牌和 cookie。

8. 不安全的反序列化

Web 应用程序中的序列化通常用于数据库、缓存、保存、文件系统、缓存系统、进程间通信、Web 服务等。攻击。如果攻击成功,攻击者将能够进行远程代码执行,这是最重要的攻击之一。

9. 使用已知漏洞的组件

今天的大多数网站都依赖于组件密集型开发模式,这意味着在某些情况下,开发团队甚至可能不知道组件的内部工作。这意味着,如果使用的组件本身由于某些损坏的代码而容易受到威胁,那么将其与您的应用程序结合起来也会引发威胁向量。如果您使用旧版本的组件或嵌套依赖项,也会出现这种情况。

10. 日志记录和监控不足

这是发生大多数重大违规行为的最常见原因。由于大多数组织没有投资于监控和有效日志记录或及时响应威胁,因此攻击者可以轻松破坏安全系统并可以运行数天。大多数组织在几个月后未能识别出违规行为,并且发现接近 91% 的违规行为没有生成警报。这给公司带来了巨大的经济损失,因为黑客不断窃取数据,甚至可能造成其他损害。

这些是与 Web 应用程序相关的 10 大安全风险,因此可以帮助您计划如何在发生此类威胁时进行处理。