Web安全之易受攻击和过时的组件类漏洞详解及预防

最新推荐文章于 2023-09-08 19:35:25 发布
最新推荐文章于 2023-09-08 19:35:25 发布
阅读量758 收藏
点赞数
分类专栏: 细说web安全 文章标签: web安全 安全 系统安全 网络安全 安全架构 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/128909053
版权

如何理解易受攻击和过时的组件类漏洞

易受攻击和过时的组件(Vulnerable and Outdated Components)类漏洞看名字就很容易理解,就是使用了具有已知漏洞的组件或者已经过时的组件。由于过时的组件不再被维护,会被发现越来越多的安全漏洞但是漏洞也不会再被修复,就会带来极大的安全隐患。当然,这里的组件不是狭义的组件,可以指代码里面引用的三方库、应用程序、操作系统、数据库、服务器、Linux 内核等等。另外组件在保持最新但是安全配置错误的情况下,也是易受攻击的组件。

可以使用如下方法来识别易受攻击和过时的组件:

  • 如果该组件不再被供应商维护,这意味着供应商不再为该组件提供安全更新或安全补丁。

  • 如果该组件有很多漏洞已经被公开披露或者存在已知漏洞。

容易出现易受攻击和过时的组件类漏洞的场景

  • 不清楚使用的组件和依赖的组件的版本。

  • 使用了不再被维护的或者已经过时的软件,例如操作系统、应用程序、Web服务器、数据库、三方库等。

  • 没有定期扫描漏洞或订阅与所使用组件相关的安全情报。

  • 在被暴出漏洞的情况下或有新版本的情况下,没有及时修复或升级系统、框架或依赖库的版本。

  • 软件开发或测试人员没有测试更新、升级或打补丁后的应用程序的兼容性。

  • 应用程序的安全配置没有配置正确。

避免出现易受攻击和过时的组件类漏洞产生需要注意的点

  • 删除使用不到的依赖项、特性、组件和文件。

  • 使用版本控制等工具持续盘点各组件的版本及依赖关系,持续关注使用的组件版本是否出现了安全漏洞。

  • 从官方获取组件,获取到组件后校验签名是否正确,防止被恶意篡改。

  • 定期对使用的组件进行漏洞扫描,及时打安全补丁,有新版本后及时升级。

  • 充分了解各组件的安全配置项,确保配置正确。

路多辛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
组件漏洞总结
qq_44806973的博客
11-18 1874
什么是web组件 我理解的组件主要分为: web服务器、web中间件和web容器 web服务器 Web服务器一般指网站服务器,是指驻留于因特网上某种型计算机的程序,可以处理浏览器等Web客户端的请求并返回相应响应,也可以放置网站文件,让全世界浏览;可以放置数据文件,让全世界下载。目前最主流的三个Web服务器是Apache、 Nginx 、IIS。 WEB服务器也称为WWW(WORLD WIDE WEB)服务器 常用WEB服务器: IIS、Apache、nginx、tomcat、weblogic、websp
详解WEB攻击之CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
网站安全攻防:十大常见漏洞及其防范对策
weixin_43263566的博客
05-13 7353
TOP 10 漏洞(介绍、原理、检测方式、修复方案)
OWASP TOP 10你了解几个?
Bu2n的博客
01-05 2695
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.
安全测试|SQL注入技术
m0_59315964的博客
03-30 4591
A01:访问控制失效(Broken Access Control)从第五位上升到了第一位 A02:2021年,加密失败(Cryptographic Failure),此前名为“敏感数据暴露”(Sensitive Data Exposure),这一名称只是描述了广泛的症状而非根本原因——上移到了榜单第二位。 A03:2021年,注入(Injection)下滑到第三位。 A04:不安全设计(Insecure Design)是2021年出现的新别,并且一出场就高居第四位。 A05:安全配置错误(Secu
组件安全以及漏洞复现
最新发布
weixin_58954236的博客
09-08 715
组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞组件被攻击者利用,可能会造成严重的数据丢失或服务器接管。同时,使用含有已知漏洞组件的应用程序和API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。
针对测试人员,这些业务安全漏洞你是否会测?
2301_77645573的博客
06-09 253
针对业务测试人员不仅仅要关注功能测试,业务安全测试也已经成为测试的一部分,特梳理如下业务安全测试指引,文中提到了一些常见案例,也欢迎大家留言说说你都遇到过哪些漏洞案例?也希望本文能够对你有所帮助。
OWASP A6 Vulnerable and Outdated Components (自带缺陷和过时组件)
震山的博客
10-09 586
最容易理解的例子就是最近的 Log4j 组件
WEB漏洞原理】 组件安全
过期的秋刀鱼
09-08 524
组件(例如:库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞组件被攻击者利用,可能会造成严重的数据 丢失或服务器接管。同时,使用含有已知漏洞组件的应用程序和API 可能会破坏应用程序防御、造成各种攻击并产生严重影响。
【总结】安全漏洞组件升级修复问题集群
|] 大世界,小人物
02-06 1449
最近在搞系统安全漏洞组件修复的工作,项目是用springboot大件的,用到了很多第三方组件包,通过安全扫描软件时,报了很多组件存在安全漏洞。于是很多组件只能硬着头皮升级,升级后,遇到了很多编译启动问题,项目启动不了了。代码编译的情况,可以修改代码,但jar包冲突引发的启动失败,只能一个一个排查。
WEB十大安全漏洞(OWASP Top 10)与渗透测试记录
qq_33163046的博客
04-27 7156
WEB安全的主要型每年都要较小的变化。熟练掌握最常见的WEB漏洞型是渗透工作的展开的重要基础。
安全漏洞XSS攻击方法详解
01-26
“XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading ...恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。”
Python网络安全项目开发实战_看清Web攻击_编程案例解析实例详解课程教程.pdf
04-27
本章来看一下 Web 攻击到底是怎样的,进而更好地防止自己遭到 Web 攻击。本章仅讲解攻击的过程,不针对任何具体的主机或服务器。不管是国内巨头 BAT,还是国外的 Google、MicroSoft、FaceBook……都不能保证自己...
Java安全知识点详解:加密、认证、防护和漏洞扫描
06-19
深入介绍了Java安全领域的关键知识点,包括加密和解密、安全认证和授权、安全通信和防护以及安全漏洞扫描。通过详细解析和说明,读者将获得全面的Java安全知识,了解加密算法、认证协议、防护机制和漏洞扫描工具的...
OWASP Top 10:2021
wyyylqy的博客
03-29 900
最近在找工作,看到好多招聘要求熟悉OWASP Top 10,在网上找相关博客进行学习时,发现大部分博主的相关博客都是基于OWASP Top 10:2017写的,而目前OWASP Top 10已经更新到2021版本,于是打算写一个博客学习记录一下,希望可以为有相同需求的小伙伴提供帮助,也希望大家可以与我相互讨论,共同学习。
dependency check tool 获取SBOM 和CPE
winnieFighting
08-17 357
/dependency-check.sh --proxyserver 3.242.253.13 --proxyport 80 --disableCentral --disableOpenSSL --disableOssIndex --project 项目名称 -s lib库路径 -o 保存report的路径。具备使用方便,落地简单等优势。• 然后根据收集的依赖项信息与本地的CPE&NPM库数据进行对比,如果检查发现扫描的组件存在已知的易受攻击漏洞则标识,最后生成报告进行展示。
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9339
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
框架、组件漏洞系列4:Apache shiro漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-14 3637
一、Apache Shiro 简介 1、什么是shiro Apache Shiro提供了认证、授权、加密和会话管理功能,将复杂的问题隐藏起来,提供清晰直观的API使开发者可以很轻松地开发自己的程序安全代码。并且在实现此目标时无须依赖第三方的框架、容器或服务,当然也能做到与这些环境的整合,使其在任何环境下都可拿来使用。 Shiro将目标集中于Shiro开发团队所称的“四大安全基石”-认证(Authentication)、授权(Authorization)、会话管理(Session Management)和加.
金融行业开源技术应用社区研讨实录:开源组件安全问题与升级方式
Zichel77的博客
01-05 447
在开源成为全球趋势的今天,抢跑科技创新的金融机构成为开源技术的重度用户。然而,由于我国金融机构对开源软件的管理尚不完善,不具备较成熟的开源治理体系,金融机构在引入和管理开源软件时总会遇到种种困难,这也带来了一定程度的开源风险。 问题一:开源组件存在升级后由于再次披露漏洞需要频繁升级的问题,影响业务运转,有没有解决方案? 开源组件升级不可避免,由于升级框架和组件,往往会导致兼容性或安全问题。由于各个金融机构的应用与漏洞情况不同,行业内并没有通用的解决方案。以下为六个方向的解...
Web安全渗透路线图详解
05-05
Web安全渗透是指测试和评估Web应用程序的安全性,以查找和纠正缺陷和漏洞。下面是Web安全渗透路线图的详细步骤: 1.信息收集:使用开放源码情报,网络爬虫和漏洞扫描程序来搜集Web应用程序有关的所有可能的信息。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值