**1、**访问控制中断
本次测试所分析的所有Web应用程序中,70%的项目被发现含有与访问控制问题相关的安全威胁。而几乎一半的访问控制中断安全威胁具有中等风险级别,37%的项目具有高级别风险。这些风险隐患可能导致Web应用程序出错,并影响组织的业务开展。对于Web应用程序而言,所提交的数据验证不足将使攻击者可以非法访问内部服务,并可能执行导致财务损失的攻击。
防护建议:
组织应该根据基于角色的访问模式实施身份验证和授权控制。除非某个Web应用程序是面向所有人公开访问,否则就应该在默认情况下拒绝访问。
**2、**数据泄露
这种类型的安全威胁在Web应用程序中大量存在。与访问控制中断相比,敏感数据泄露含有数量更多的低风险级漏洞隐患,但也存在高级别的风险漏洞。研究人员在分析过程中发现的敏感数据包括纯文本密码和凭据、Web应用程序发布完整路径以及其他可用于了解应用程序架构的涉密信息。
防护建议:
应该严格禁止在Web应用程序发布目录中存储含有敏感数据(如密码或备份)的文件。同时,在访问应用程序函数时需要加强敏感数据检测防护,除非该函数本身用于访问敏感数据。
**3、**服务器端请求伪造(SSRF)
云计算和微服务架构的应用已经非常普遍,与传统架构相比,会有更多的服务通过HTTP(或其他轻量级协议)进行通信,因此微服务架构扩大了SSRF滥用的攻击面。在本次测试所分析的应用程序中,一半以上(57%)的应用程序含有服务器端请求伪造安全威胁,这让恶意攻击者可以绕过应用程序逻辑与内部服务进行非法链接通信。恶意分子还可以结合使用SSRF与其他漏洞,策划攻击Web服务器的方法或读取应用程序源代码。
防护建议:
组织应该为应用程序可以请求的资源创建一份允许列表(白名单),并阻止请求该列表之外的任何资源,不接受含有完整URL的请求。此外,还设置防火墙过滤器,防止用户访问未授权的域。
资料分享
最后,给大家分享一波网络安全学习资料:
我们作为一个小白想转行网络安全岗位,或者是有一定基础想进一步深化学习,却发现不知从何下手。其实如何选择网络安全学习方向,如何进行实战与理论的结合并不难,找准正确方式很重要。
接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。
1.成长路线图
共可以分为:
一、基础阶段
二、渗透阶段
三、安全管理
四、提升阶段
同时每个成长路线对应的板块都有配套的视频提供:
视频配套资料&国内外网安书籍、文档
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取(如遇扫码问题,可以在评论区留言领取哦)~
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
