OWASp发布了2017十大web应用程序安全威胁，web安全保护正处于最佳时机

最近，开放式web应用程序web安全项目发布了最终2017前10名名单。在2017威胁列表中，注入攻击漏洞仍然在前10个威胁中排名第一，而XSS的威胁程度已从A3降至A7。敏感信息泄露、安全配置错误、无效访问控制等威胁不断增加，值得企业关注。

时机

A1注入攻击漏洞

A2无效的身份验证

A3敏感信息的披露

A4XXE漏洞

A5无效的访问控制

A6安全配置错误

A7跨站点脚本XSS

A8不安全反序列化漏洞

A9使用具有已知漏洞的组件

A10记录和监控不足

什么是web应用程序安全风险？

本文重点介绍了三大网络安全威胁和应对措施：

注入攻击漏洞

检查是否存在“注入漏洞”的方法

最好的方法是确保所有解释器的使用清楚地将不受信任的数据与命令语句或查询语句区分开来。对于SQL调用，在所有准备语句和存储过程中使用绑定变程序量，并避免使用动态查询语句。

检查应用程序是否安全使用解释器的最快、最有效的方法是代码检查。代码分析工具可以帮助安全分析师使用解释器查找代码并跟踪应用程序数据流。

可以执行应用程序的动态扫描程序可以提供信息，帮助确认存在一些可利用的注入漏洞。

无效身份验证

与身份验证和会话管理相关的应用程序功能经常被错误地实现。攻击者利用身份验证管理功能中的漏洞破坏密码、密钥和会话令牌，以模拟其他用户的身份。

检查是否存在“无效身份验证”的方法

是否使用用户认证证书哈希或加密保护；是否可以通过弱账户管理功能（如账户创建、密码修改、密码修复、弱会话ID）进行重写。

披露敏感资料

敏感数据需要额外的保护，例如存储或传输期间的加密，以及与浏览器交换时的特殊预防措施。

检查是否存在“敏感信息泄露”的方法

最好确认哪些数据是敏感的，需要加密。当这些数据长时间存储时，无论它们存储在发布何处，它们是否加密和备份？

内部数据还是外部数据以明文形式传输？您是否仍在使用旧的或易碎的加密算法？

加密密钥的生成是否缺少相应的密钥管理或缺少键？当浏览器接收或发送敏感数据时，是否有浏览器安全说明？

如何有效防范web应用程序安全风险？

安全保护应该贯穿整个web应用程序生命周期

构建漏洞和事件生命周期闭环管理系统

通过监控系统平台对漏洞生命周期进行管理，包括漏洞扫描、手动验证、漏洞状态跟踪、漏洞修复后的重新检查，从而制定漏洞管理流程。

提高安全管理人员的工作能力

安全管理人员需要树立信息安全管理的理念，了解网络威胁的危害，掌握识别安全漏洞和风险的特殊技术，以及加强和处理安全问题的技能。

雷锋网雷锋网雷锋网

本站声明：本站所有好东西均来源于互联网，不保证100%完整、不提供任何技术支持，分享目的仅限于学习和测试，一切商业行为与本站无关，下载后请在24小时内删除。请勿用于商业用途，如需商业使用请向官方购买授权，由于使用该资源引起的侵权行为与本站无关！如有侵权，请联系info#sogua2008.com(将#换为@)及时删除！
本文地址：搜刮好东西 » OWASp发布了2017十大web应用程序安全威胁，web安全保护正处于最佳时机