在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
在各种类型和规模的企业中,有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。有些人称他们的应用是正在进行的渗透测试工作的一部分,并感觉这可确保安全性。还有些人认为管理web安全漏洞不是他们的职责,因为网站和应用托管在云端。
在web安全方面,您无法修复您不知道的网络漏洞。测试web安全漏洞应该被视为独立的计划,至少对于核心或关键应用是这样。这意味着您需要将个别应用作为独立项目进行测试。
下面是内部和云技术应用、营销网站及其随附内容管理系统中最常见的web安全漏洞,以及网络基础设施系统和物联网设备中经常被忽视的问题:
1.跨站脚本,这可方便客户端漏洞利用。
2.SQL注入,这可允许直接的数据库连接以及远程命令提示符。
3.低强度或默认密码以及弱密码策略,包括无入侵者锁定,这可方便密码破解。
4.糟糕设计的密码重置功能,这可被攻击者操纵或者用于创建不必要的密码泄露。
5.用户会话管理问题,例如使用在初次登录和注销后未更改的cookie,这可通过中间人攻击或本地浏览器操纵被攻击者利用。
6.开放代理(内部和外部),允许人们使用您的网络进行web访问或者绕过内部安全控制
7.输入验证漏洞,可方便HTTP重定向和帧注入
8.网络表单缺乏CAPTCHA,这可创造电子邮件拒绝服务攻击。
国舜股份的专家认为:“完全修复Web安全漏洞是不现实的,企业应该合理分配自己的安全精力,并将目标放在那些刚刚暴露出的漏洞方面,这些漏洞最有可能被黑客利用。此外,通用的扫描和测试对于及时修复漏洞作用不大,企业最好能够通过专业的网站安全综合监控管理平台来及时发现漏洞,这还能让您更好的了解您的网络,从而先解决最重要的风险。”
最后,企业还需要从开发和质量保证一直到测试和持续监督,并将安全视为整体安全计划的核心组件,否则您将继续面临外部攻击者、恶意内部人员和恶意软件带来的风险。
???
(更多技术干货、行业动态请看白癜风的医院哪比较好北京最好白癜风中医医院