2014年數據洩漏調查報告解析
在Web應用程序攻擊是關於在2014年的Verizon數據洩露調查報告(DBIR)數據披露最關心的問題之一。這些事件進行了主要是通過在輸入驗證漏洞和認證影響常見的內容管理系統,如的Joomla!,WordPress的,和Drupal的漏洞。
報告指出,這些類型的攻擊不僅是一個可靠的方法黑客,也有快60%花幾分鐘或更少的妥協。隨著Web應用程序通常作為一個組織的公眾形象到互聯網,便於開發基於網絡的脆弱性令人擔憂。
該DBIR報告建議修復漏洞的攻擊者之前找到他們,但你如何找到這些漏洞之前,壞人都關閉你的數據在幾分鐘之內?一個方法來識別Web應用程序漏洞是開放Web應用安全項目(OWASP)十大文件,旨在籌集約在Web應用程序中10個最關鍵的安全漏洞的意識。
就在OWASP十大頂部,你會發現“注入”,如SQL注入叫出來的DBIR。注入漏洞是一種非常常見的安全漏洞,非常容易利用無需工具使用基於簡單的文本命令。
最好的辦法,以避免基於Web的如SQL注入攻擊是防止在首位的漏洞安全編程實踐,但安全編程必須在Web應用程序的開發過程中發生的。那麼Web應用程序已經在生產中可能包含像SQL注入漏洞?
在廣泛使用的Web應用程序像WordPress或Drupal的漏洞可能會得到重視安全研究人員和漏洞管理廠商可能會包括在他們的產品的檢查。
然而,傳統的漏洞掃描器是不可能找到鮮為人知的和定制的Web應用程序的漏洞,如果安全研究團隊不重視他們(或不知道它們的存在,在內置的內部Web應用程序的情況下)。
使用像Tripwire的WebApp360一個漏洞管理解決方案,包括覆蓋在OWASP十大的每個區域可以幫助識別安全漏洞在生產環境中的Web應用程序,甚至是定制或不太知名的Web應用程序。
不同於傳統的漏洞檢查,Web應用程序漏洞掃描器采取啟發式的,而不是基於規則的方法來發現Web應用程序漏洞無證。結果在網絡上找到這些問題之前,黑客這樣做,你可以采取措施補救或減輕風險。
