日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
被忽視的Web安全漏洞:如何識別和解決?

在Web安全方面,面對各種安全漏洞,IT和安全專業(yè)人員通常采取防御措施,而缺少積極主動的措施。

成都創(chuàng)新互聯(lián)主要從事成都網(wǎng)站建設、成都網(wǎng)站制作、網(wǎng)頁設計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務。立足成都服務始興,10多年網(wǎng)站建設經(jīng)驗,價格優(yōu)惠、服務專業(yè),歡迎來電咨詢建站服務:13518219792

在各種類型和規(guī)模的企業(yè)中,有些網(wǎng)絡安全人員(包括CIO和其他高管)稱他們會定期掃描其網(wǎng)站和應用。有些人稱他們的應用是正在進行的滲透測試工作的一部分,并感覺這可確保安全性。還有些人認為管理web安全漏洞不是他們的職責,因為網(wǎng)站和應用托管在云端。

我理解前兩種做法,但第三種則不可原諒。企業(yè)需要專注于安全工作,特別是安全評估,對web環(huán)境的評估可確保安全性,而無論它們托管在哪里。

這個問題是可以解決的。首先,現(xiàn)在有很多非常好的在線資源可提升網(wǎng)絡安全狀態(tài),例如OWASP Top 20和OWASP WebGoat項目。

我發(fā)現(xiàn)有些人從未聽說過OWASP,他們不了解它可為其信息安全計劃帶來的價值。如果您希望提高網(wǎng)絡安全狀態(tài),對于初學者來說,我建議您查看OWASP Top 10以及其網(wǎng)站上其他資源。OWASP Top 10仍然還是2013年版,目前新版本正在公開征詢階段,計劃在2017年8月之前發(fā)布。

如果您想要了解應該學習哪些web安全漏洞,F(xiàn)oundstone軟件應用安全服務工具(例如Hacme Bank)是非常不錯的工具。雖然它們已經(jīng)過時,但仍然有效。您可關注這些資源和其他免費工具。

在web安全方面,您無法修復您不知道的網(wǎng)絡漏洞。測試web安全漏洞應該被視為獨立的計劃,至少對于核心或關鍵應用是這樣。這意味著您需要將個別應用作為獨立項目進行測試。

我看到太多掃描(通常使用通用網(wǎng)絡漏洞掃描程序執(zhí)行)和滲透測試掩蓋了企業(yè)web應用的重要部分。基于您web系統(tǒng)的可視性,以及高潛在風險,您應該花時間對應用進行測試,無論是否使用用戶身份驗證。您應該在代碼中先查找明顯的漏洞,然后再找不那么明顯的漏洞。

下面是內(nèi)部和云技術應用、營銷網(wǎng)站及其隨附內(nèi)容管理系統(tǒng)中最常見的web安全漏洞,以及網(wǎng)絡基礎設施系統(tǒng)和物聯(lián)網(wǎng)設備中經(jīng)常被忽視的問題:

1.跨站腳本,這可方便客戶端漏洞利用。

2.SQL注入,這可允許直接的數(shù)據(jù)庫連接以及遠程命令提示符。

3.低強度或默認密碼以及弱密碼策略,包括無入侵者鎖定,這可方便密碼破解。

4.糟糕設計的密碼重置功能,這可被攻擊者操縱或者用于創(chuàng)建不必要的密碼泄露。

5.用戶會話管理問題,例如使用在初次登錄和注銷后未更改的cookie,這可通過中間人攻擊或本地瀏覽器操縱被攻擊者利用。

6.開放代理(內(nèi)部和外部),允許人們使用您的網(wǎng)絡進行web訪問或者繞過內(nèi)部安全控制

7.輸入驗證漏洞,可方便HTTP重定向和幀注入

8.網(wǎng)絡表單缺乏CAPTCHA,這可創(chuàng)造電子郵件拒絕服務攻擊。

還有缺少OS和應用修補程序,雖然這并不直接相關,但這會影響Web安全性,因此請務必對其進行測試。

Web安全的目標不是尋找所有系統(tǒng)中的所有漏洞。您需要專注于尋找重要應用和系統(tǒng)中的緊急web安全漏洞。當您專注于緊急和重要漏洞時,根據(jù)80/20定律,通過查找并解決20%的漏洞,您可解決它們制造的80%的問題。

在您控制好后,您可進一步查找所有web系統(tǒng)中的漏洞。您可使用Nmap或SoftPerfect Network Scanner等工具進行端口掃描,以尋找在通常端口(例如80、443和8080)運行的網(wǎng)站和應用。您會發(fā)現(xiàn)大量您可能不知道的系統(tǒng),掃描這些系統(tǒng),并查看它們包含的漏洞。即使是多功能打印機和復印機的web端口都可能帶來風險。如果您沒有找到任何漏洞,說明您不夠用心,或者沒有使用正確的工具(即專業(yè)web漏洞掃描儀,例如Netsparker和Acunetix Web安全掃描儀)。

從開發(fā)和質(zhì)量保證一直到測試和持續(xù)監(jiān)督,您需要將安全視為整體安全計劃的核心組件,否則您將繼續(xù)面臨外部攻擊者、惡意內(nèi)部人員和惡意軟件帶來的風險。

請不要再使用通用掃描和測試,這非常重要。專業(yè)掃描測試不僅會發(fā)現(xiàn)更多漏洞,還能讓您更好的了解您的網(wǎng)絡,從而先解決最重要的風險。


文章題目:被忽視的Web安全漏洞:如何識別和解決?
網(wǎng)頁路徑:http://m.5511xx.com/article/copohpc.html