Web应用程序：网络罪犯的一个重要目标

Web应用程序无处不在，在大多数情况下是公司的核心组件。由于各种原因，它们经常获取，处理，存储和传输敏感数据（机密业务信息，员工信息，客户个人数据，财务信息等）。

 

事实上，Web应用程序是网络犯罪分子获取敏感信息，入侵您的组织的最简单的途径之一。众多调查报告包括2016年的Verizon数据泄露调查报告（DBIR）证实，Web应用攻击是数据泄露的第一来源！

 

 

本文向您介绍了为什么Web应用程序会成为是黑客重要的攻击目标，以及需要对其给予额外关注的原因。

 

一个简单的目标

 

大多数的Web应用程序和网站都暴露在互联网上，允许任何用户通过互联网连接，使用web浏览器访问他们。Web应用程序的广泛曝光不仅允许有针对性的攻击，还允许恶意机器人和其他的扫描来检查您的Web应用程序是否受到特定漏洞的影响。

 

另一件需要关注的事情是，暴露于遍及全球的网络可能使脆弱的Web应用程序成为整个内部网络的绝佳入口。网络罪犯可以使用特定的缺陷来入侵Web应用程序的服务器，并将其作为枢纽点来攻击DMZ区和内部网络中的其他资产。

 

本土化的Web应用程序

 

Web应用程序的很大一部分是内部开发的。虽然这本身不是一个问题，但是并不是所有的Web应用程序开发人员都有安全软件编程基础，可能导致在开发阶段引入缺陷和漏洞。更糟糕的是，互联网出现以来大多数由网络传播的漏洞就已经存在，实际上在开发阶段开始时考虑到这一点的话，漏洞就很容易避免。

 

Web开发者的安全软件编程基础不是唯一的问题。在创建应用程序时，许多公司正在采用快速的开发策略，将应用程序的安全性和所处理数据都放在了次要地位。

 

为了了解网络漏洞的类型和出现频率，我们来看一些威联科技在2016年执行的200多个Web应用渗透测试的统计数据：

 

• 66％被测试的Web应用程序的有与认证或授权相关的严重缺陷，这些缺陷导致权限升级[ CWE-269 ]和关键功能的认证缺失[ CWE-306 ]

• 50％被测试的Web应用程序具跨站脚本（XSS）漏洞（CWE-79）

• 33％被测试的Web应用程序有文件上传功能可以允许攻击者上传或传输可能导致远程代码执行（RCE）的危险类型文件[ CWE-434 ]

• 20％被测试的Web应用程序有SQL注入漏洞[ CWE-89]

 

因此，对于Web应用程序开发人员来说，熟悉影响Web应用程序的攻击类型以及如何避免在开发应用程序时引入它们就变得非常重要了。

 

过时的CMS和插件

 

另一个众所周知的问题是与内容管理系统（CMS）有关，如Drupal，WordPress，Joomla！等等，还有全部的第三方插件和扩展程序。许多公司升级其CMS和插件的频率太低，这会导致Web服务器被攻击，数据泄露或完全危害。

 

在2016年，报告了19个Drupal的安全漏洞（不包括第三方插件）。WordPress也好不到哪儿去，

 

自2017年1月以来，WordPress已经报告了16个漏洞报告 – 每6天报告一个漏洞！这应该让您了解您的CMS系统应该修补或升级的频率。

 

缺少或盲目检测和预防安全控制

 

通过HTTPS来访问Web应用程序变得越来越普遍，这样可以在上网时增加用户的隐私的安全性。使用SSL / TLS加密网络信息带来了另一个挑战。由于信息被加密，传统的防护机制如入侵检测系统（IDS）或防火墙对于网络攻击不再有效。

 

另一个惊人的事实是专门为Web应用程序定制的保护措施（例如Web应用程序防火墙（WAF））的缺失。由于Web应用程序是数据泄露的首要来源，因此必须特别注意确保它们得到适当的保护，并且能在短时间内检测和响应攻击。

 

弱认证

 

Google已经在2011年推出了双重身份验证（2FA）来保护其在线服务！6年过去了，大多数公司仍然没有为保存敏感数据并暴露于互联网的Web应用程序实施双重身份验证。

 

在2016年威联科技测试过的200多个Web应用程序中，只有2％的用户启用了双重身份验证 – 是的，只有4个Web应用程序！

 

因为您的用户的凭据被盗用的发生几率比您想象的更频繁，所以双重身份验证是非常重要的，它可以极大地降低您的Web应用程序被危害的可能性。

 

根据2017年Verizon数据泄露调查报告显示，81％的黑客入侵利用了被盗密码或弱密码。这显示了双重身份验证不仅对于Web应用程序很重要，而且对于所有受认证机制保护的信息资产也很重要。

 

虚假的安全

 

越来越多的公司针对其网站和Web应用程序进行定期的漏洞扫描，以实现合规性和安全性，这是一件非常好的事情，但这样是否就够了呢？

 

许多Web应用程序漏洞扫描程序不是很可靠，有很多误报，或者更糟的是有可能漏报。这意味着扫描程序可能无法发现影响Web应用程序的所有漏洞。最糟糕的是你相信你的Web应用程序是安全的而其实它不是，这就是为什么其他测试包括人工测试（如渗透测试和安全代码审查）应该定期进行。

 

我们的渗透测试人员和安全软件程序员的建议

 

到目前为止您可能是幸运的，您的Web应用程序没有遭受数据泄露，或者您相信您的Web应用程序受到了良好的保护。

 

 

如上图所示，我们可能会实施许多类型的安全措施来保护我们的Web应用程序，但一个漏洞或一连串的弱点可能足以让黑客危害Web应用程序。

 

因此，我们强烈建议您阅读并遵循我们上一篇文章中的建议，涵盖有效防护Web应用程序的五个步骤。

 

信贷报告公司Equifax最近出现大量数据泄露，允许网路犯罪分子通过美国网站应用程序漏洞（来源）中未公开的漏洞访问敏感信息，高达1.43亿美国人的敏感信息（如社会保障号码和地址）被泄露，作为提醒：如果不定期维护，更新和检查漏洞，则没有任何Web应用程序是安全的。

 

威联科技在开发，保护Web应用程序和渗透测试方面拥有丰富的经验。如果您在加强Web应用程序的安全态势方面需要寻求帮助以，请与我们联系！