ウェブの浸透の概要
記事のディレクトリ
2.ウェブの浸透の概要
Webが広く企業の情報技術、電子商取引、電子政府から中等度、ウェブの急速な発展に使用するだけでなく、セキュリティの脅威の大多数をもたらしてきました。
サイバー攻撃は、アプリケーション層のフォーカスをシフトしていると、Webは、Webベースの攻撃や破壊に対するハッカーのための選択の目標は成長を続けてとなっている、ゴールドマン・サックスによると、統計は、Webアプリケーションに対する攻撃の75%を示しました。
しかし、Webアプリケーションセキュリティ分野のために、多くの企業は、まだ完全には準備ができていない、理解していない。多くの開発者のハッカーに機会を与えていない対応する経験を、持っています。
2.1 Webセキュリティ上のリスクと動向
- ホワイトハットWebセキュリティの統計情報は、鉛の研究者ガブリエルGumbsがレポートを書くための責任があり、30,000サンプル調査のウェブサイトを受け入れショーをレポートの最新リリースは指摘:単一の開発言語やプラットフォームには、脆弱性の数から、明らかなセキュリティ上の利点を持っていません外観は、異なる開発言語のサイト利用状況の数が多いとの大きな違いはありませんが、基本的に同じ大きさの順にいくつかの主要な開発プラットフォームの脆弱性の数。
- ウェブ攻撃のインターネットセキュリティレポートレポートの2018年夏の国家は、Web攻撃に、最大値が16以上の万回に到達することができ兆約10倍の毎日の平均発生頻度を指摘し、同時に最も広く使用されている攻撃はまだSQLインジェクション、XSSに集中しています、ファイルが含まれています。レポートの対象時間枠内で、ロシア、中国とインドネシアは、観光産業のための主な情報源国がヒットライブラリーの活動の半分はホテル、クルーズライン、航空会社や旅行サイトを指して、ライブラリーの攻撃をヒットされたです。ホテル業界と観光産業のための中国とロシアは、米国の攻撃トラフィックからの攻撃の3倍の組み合わせの流れです。
- より多く生成されたWebサイトをハッキングによる情報漏えい。今日の大規模な相互接続されたネットワークでは、すべての人が、また、ハッカーに非常に大きな駆動力を与えるサイトやレコード、上のユーザー自己登録で最大のうち、ネットワーク内の機密性の高い個人情報が残るのすべての種類を、持っていますブラック生産に入稿のユーザデータ、ユーザテレマーケティング、通信詐欺および他のチャネルへの情報の流れを盗みます
共通の目的2.3のWeb攻撃
- いたずら;
- 通常のサービスに拒否したWebサイトを、閉じます。
- 、企業の評判へのダメージを改ざんするWebページ。
- プレミアムコンテンツへの無料アクセス。
- 盗窃用户隐私信息,例如 Email;
- 以用户身份登录执行非法操作,从而获取暴利;
- 以此为跳板攻击企业内网其他系统;
- 网页挂木马,攻击访问网页的特定用户群;
- 仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;
2.4 Web 安全术语
-
后门
绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。 -
Webshell
Webshell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门。 -
0day漏洞
通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞 -
Exploit
简称 exp,漏洞利用 -
提权
提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升 Webshell 权限以夺得该服务器权限。 -
跳板
跳板,简单来说,就是在进行攻击或渗透时,不直接发起,而是控制一台中间主机来进行。这台中间主机就成为跳板。 -
拖库
网站遭到入侵后,黑客窃取其数据库。 -
社会工程学
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法,已成迅速上升甚至滥用的趋势。 -
Apt 攻击
高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式
2.5 Web 常见攻击手段(OWASP TOP 10)
针对 Web 服务的攻击手段五花八门,形形色色。为了帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性,OWASP 组织每年都会发布 OWASP TOP 10 年度报告,该报告总结了 Web 应用程序最可能、最常见、最危险的十大漏洞
OWASP:开放式 Web 应用程序安全项目,是一个非营利组织,不附属于任何企业或财团。因此,由 OWASP 提供和开发的所有设施和文件都不受商业因素的影响。OWASP 支持商业安全技术的合理使用,它有一个论坛,在论坛里信息技术专业人员可以发表和传授专业知识和技能。
2.6 OWASP TOP 10 2017
-
A1 - Injection(注入漏洞)
当不可信的数据作为命令或查询语句的一部分被发送给解释器的时候,会发生注入漏洞,包括 SQL、NoSQL、OS 以及 LDAP 注入等。
攻击者发送的恶意数据可能会诱使解释器执行计划外的命令,或在没有适当授权的情况下访问数据。 -
A2 - BrokenAuthentication(中断身份认证)
与认证和会话管理相关的应用函数经常被错误地实现,从而允许攻击者破坏密码、密钥或是会话令牌
或者利用其他的应用漏洞来暂时或永久地获取用户身份信息。 -
A3 - Sensitive DataExposure(敏感数据泄露)
许多 Web 应用程序和 API 不能正确的保护敏感数据,如金融、医疗保健和 PII(个人身份信息)等。攻击者可能会窃取或篡改这些弱保护的数据,从而进行信用卡欺诈、身份盗窃或其他犯罪行为。
在缺少额外保护(例如,在存放和传输过程中加密,且在与浏览器进行交换时需要特别谨慎)的情况下,敏感数据可能会受到损害。 -
A4 - XML ExternalEntities(XXE)XML 外部处理器漏洞
许多过时的或配置不当的XML处理器在XML文档内进行外部实体引用。
外部实体可用于泄露内部文件,通过使用文件URI处理器、内部文件共享、内部端口扫描、远程代码执行以及拒绝服务攻击等手段。 -
A5 - Broken AccessControl(中断访问控制)
限制“认证的用户可以实现哪些操作”的命令没有得到正确的执行。
攻击者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的账户,查看敏感文件,篡改其他用户的数据,更改访问权限等。 -
A6 - SecurityMisconfiguration(安全配置错误)
安全配置错误是最常见的问题。
这通常是由不安全的默认配置,不完整或 ad hoc 配置,开放云存储,错误配置的 HTTP 标头,以及包含敏感信息的详细错误信息造成的。
所有的操作系统、框架、库、应用程序都需要进行安全配置外,还必须要及时进行系统更新和升级。 -
A7 - Cross-SiteScripting(XSS)跨站脚本攻击
如果应用程序在未经适当验证或转义的情况下,能够在新网页中包含不受信任的数据,或是使用可以创建 HTML 或者 JavaScript 的浏览器 API 更新包含用户提供的数据的现有网页,就会出现 XSS 漏洞。
XSS 允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意网站中。 -
A8 - InsecureDeserialization(安全ではない、デシリアライゼーション)
安全ではない、逆シリアル化の脆弱性は、多くの場合、リモートでコードが実行される問題につながります。
でも、逆シリアル化のエラーにより、リモートでコードが実行される可能性はありません、また、リプレイ攻撃、インジェクション攻撃と権限昇格攻撃などの攻撃を、実行するために使用することができます。 -
A9 -既知の脆弱性を持つUsingComponents(アセンブリ既知の脆弱性を含む)
(例えば、ライブラリ、フレームワークと他のソフトウェアモジュールとして)コンポーネントとアプリケーションを実行するために同じ権限です。コンポーネントが利用されている抜け穴がある場合は、このような攻撃は、危機を引き継ぐために、データやサーバの重大な損失を引き起こす可能性があります。
より深刻な影響を引き起こし、攻撃の様々な形を開始するために、アプリケーションのAPI防衛システムを壊すかもしれないアプリケーションやコンポーネントで既知の脆弱性を使用してください。 -
A10 - InsufficientLogging&モニタリング(脆弱性を記録および監視の欠如)
、攻撃者は、より攻撃を支持して、その永続性を維持し、さらにシステムを攻撃することができるように不十分記録脆弱性を監視、インシデント対応と相まって、容量不足と効果的な統合の欠如、マルチシステム、および改ざん、抽出またはデータの破壊。
データ漏洩の研究のほとんどは、データの発生を検出する時間を示している通常200日以上必要であり、通常は外部機関のデータ漏洩ものではなく、内部の発見を通じて事実を発見する最初のです漏れます。
