被忽视的Web安全漏洞:如何识别和解决?

在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。

在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。有些人称他们的应用是正在进行的渗透测试工作的一部分,并感觉这可确保安全性。还有些人认为管理web安全漏洞不是他们的职责,因为网站和应用托管在云端。

我理解前两种做法,但第三种则不可原谅。企业需要专注于安全工作,特别是安全评估,对web环境的评估可确保安全性,而无论它们托管在哪里。

这个问题是可以解决的。首先,现在有很多非常好的在线资源可提升网络安全状态,例如OWASP Top 20和OWASP WebGoat项目。

我发现有些人从未听说过OWASP,他们不了解它可为其信息安全计划带来的价值。如果您希望提高网络安全状态,对于初学者来说,我建议您查看OWASP
Top 10以及其网站上其他资源。OWASP Top 10仍然还是2013年版,目前新版本正在公开征询阶段,计划在2017年8月之前发布。

如果您想要了解应该学习哪些web安全漏洞,Foundstone软件应用安全服务工具(例如Hacme Bank)是非常不错的工具。虽然它们已经过时,但仍然有效。您可关注这些资源和其他免费工具。

在web安全方面,您无法修复您不知道的网络漏洞。测试web安全漏洞应该被视为独立的计划,至少对于核心或关键应用是这样。这意味着您需要将个别应用作为独立项目进行测试。

我看到太多扫描(通常使用通用网络漏洞扫描程序执行)和渗透测试掩盖了企业web应用的重要部分。基于您web系统的可视性,以及高潜在风险,您应该花时间对应用进行测试,无论是否使用用户身份验证。您应该在代码中先查找明显的漏洞,然后再找不那么明显的漏洞。

下面是内部和云技术应用、营销网站及其随附内容管理系统中最常见的web安全漏洞,以及网络基础设施系统和物联网设备中经常被忽视的问题:

1.跨站脚本,这可方便客户端漏洞利用。

2.SQL注入,这可允许直接的数据库连接以及远程命令提示符。

3.低强度或默认密码以及弱密码策略,包括无入侵者锁定,这可方便密码破解。

4.糟糕设计的密码重置功能,这可被攻击者操纵或者用于创建不必要的密码泄露。

5.用户会话管理问题,例如使用在初次登录和注销后未更改的cookie,这可通过中间人攻击或本地浏览器操纵被攻击者利用。

6.开放代理(内部和外部),允许人们使用您的网络进行web访问或者绕过内部安全控制

7.输入验证漏洞,可方便HTTP重定向和帧注入

8.网络表单缺乏CAPTCHA,这可创造电子邮件拒绝服务攻击。

还有缺少OS和应用修补程序,虽然这并不直接相关,但这会影响Web安全性,因此请务必对其进行测试。

Web安全的目标不是寻找所有系统中的所有漏洞。您需要专注于寻找重要应用和系统中的紧急web安全漏洞。当您专注于紧急和重要漏洞时,根据80/20定律,通过查找并解决20%的漏洞,您可解决它们制造的80%的问题。

在您控制好后,您可进一步查找所有web系统中的漏洞。您可使用Nmap或SoftPerfect Network
Scanner等工具进行端口扫描,以寻找在通常端口(例如80、443和8080)运行的网站和应用。您会发现大量您可能不知道的系统,扫描这些系统,并查看它们包含的漏洞。即使是多功能打印机和复印机的web端口都可能带来风险。如果您没有找到任何漏洞,说明您不够用心,或者没有使用正确的工具(即专业web漏洞扫描仪,例如Netsparker和Acunetix
Web安全扫描仪)。

从开发和质量保证一直到测试和持续监督,您需要将安全视为整体安全计划的核心组件,否则您将继续面临外部攻击者、恶意内部人员和恶意软件带来的风险。

请不要再使用通用扫描和测试,这非常重要。专业扫描测试不仅会发现更多漏洞,还能让您更好的了解您的网络,从而先解决最重要的风险。

作者:佚名
来源:51CTO

时间: 2024-11-05 17:34:14

被忽视的Web安全漏洞:如何识别和解决?的相关文章

施耐德电气重要信息安全通知——M340以太网模块Web服务漏洞

漏洞概述 本文讲的是 施耐德电气重要信息安全通知--M340以太网模块Web服务漏洞,在登录M340web页面时,输入90-100个字符的随机密码可导致M340以太网模块拒绝服务.通讯中断. 受影响用户 使用M340web页面或未关闭web服务,并未经防火墙或其他隔离保护将M340接入其他网络或公共网络的用户. 凡采用施耐德电气整体解决方案的用户,以及由施耐德电气实施的项目,以太网模块与非生产网络之间已经部署了保护或隔离措施. 受影响产品 BMXNOC0401 (版本早于 v2.09)BMXNO

Win7系统插入U盘无法识别的解决方法

  Win7系统插入U盘无法识别的解决方法           1.点击"开始"--"运行",中输入"regedit"字符命令后,点击"确定"键. 2.在打开的"注册表编辑器"窗口左侧窗口依次展开以下注册项: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E967-E325-11CE-BFC1-08002BE10318}; 3.鼠标右键并

Win8.1系统USB鼠标无法识别的解决方法

Win8.1系统USB鼠标无法识别的解决方法 解决方案: 1.直接在USB Root Hub上右击,检测硬件变化; 2.控制面板---管理工具---服务---开启 Plug and Play服务(使计算机在极少或没有输入的情况下能识别并适应硬件的更改.终止或禁用此服务会造成系统不稳定.),如果默认是开启的,请禁止,再重新开启.

Win8建行网银盾无法识别怎么解决

  现在我们都流行网上购物,那在网上购物当然的需要在网上支付啊!这时候我们的网银就起到作用了.但最近有Win8系统的用户,出现这样的问题,下载安装建行的网银盾驱动,系统就检测不出建行网银盾,检测说没有插上,也不能付款.如何解决这样的问题呢?现在就和大家说一下Win8建行网银盾无法识别的解决方法. 步骤如下: 1.首先,将U盾插在电脑的USB孔里,双击打开我的电脑有没有CD驱动器. 2.如果没有的话,一般都是缺少驱动造成的,在我的电脑上右击,选择管理,在管理中选择设备管理器. 3.在右侧的选项中找

Win8系统建行网银盾无法识别如何解决?

  随着网购的盛行,越来越多的人喜欢用网银支付.但最近有Win8系统的用户,出现这样的问题,下载安装建行的网银盾驱动,系统就检测不出建行网银盾,检测说没有插上,也不能付款.怎么办?如何解决这样的问题呢?现在就和大家说一下Win8建行网银盾无法识别如何解决. 步骤如下: 1.首先,将U盾插在电脑的USB孔里,双击打开我的电脑有没有CD驱动器. 2.如果没有的话,一般都是缺少驱动造成的,在我的电脑上右击,选择管理,在管理中选择设备管理器. 3.在右侧的选项中找到其他设备或者智能卡,一般是带有问好?或

win7 宽带连接本地连接未识别的解决方法

本地连接未识别问题的具体描述: win7系统中,通过ADSL PPPOE进行宽带上网,但是一直连接不上去,在连接过程中,右下角的宽带连接就会转啊转,等到提示连接不上的时候,把鼠标放到右下角的图标会提示 "Internet访问 - 本地连接显示未识别".下面方法也是只是这个问题的解决方法之一. 2 右键右下角的小图标,然后选择打开网络和共享中心. 3 选择左边,第二个的"更改适配器设置" 4 右键本地连接,选择属性,去掉 internet协议版本4 TCP/IPv4前

Win8.1系统下移动硬盘无法被USB 3.0识别的解决方法

  近期有网友反应在win8.1系统下,原来能被USB2.0接口识别移动硬盘现在却不能被USB3.0接口识别了,这是怎么回事呢?请看小编遇到这种情况是怎么处理的. 解决方法: 1.首先在电脑上下载USB2.0,把移动硬盘连接电脑,打开移动硬盘中自带的WD SES Driver.WD Drive Utilities这两个程序. 2.完成上述操作后重启电脑. 3.看现在是不是能显示移动硬盘了?!如果还是无法识别,就在网上下载驱动精灵,对移动硬盘自动扫描,安装与硬盘和USB相关的最新驱动,安装完成后再

MAC使用技巧之电池不能被识别的解决办法

苹果电脑Macbook和MacbookPro的锂离子电池在完全耗尽后,再次开机时菜单栏中看到一个电池上带有红X 的图标,表明您的电池仍不能被计算机识别.MAC电池不能被识别的解决办法如下. 如果您的 MacBook 或 MacBook Pro电脑的电池电量完全耗尽,那么电脑电池将会自动进入一个低电量状态,以保持它将来充电的能力.完全耗尽电池电量可能是因使用电池直到计算机睡眠,然后将电池保持放在睡眠的计算机中一段时间而没有充电造成的. 如果您完全耗尽电池电量,那么当您插上 MacBook 或 Ma

java web模拟word考试系统如何解决对word操作的自动判断问题?

问题描述 java web模拟word考试系统如何解决对word操作的自动判断问题? 这个考试系统是关于计算机基础的,现在大学生考试都是上机考,会考查word.Excel的操作题,每道题会规定你做哪些操作,比如:word中,字体都用黑色?8号宋体,等等然后系统可以自动评阅.请问该如何去做? ? 解决方案 用poi库读取word文件解析http://haohaoxuexi.iteye.com/blog/2031335