六月纸箱厂女厕“尿”事，细节决定安心，这份“防范宝典”请收好！

1ã€�访问æ�§åˆ¶ä¸­æ–­æœ¬æ¬¡æµ‹è¯•æ‰€åˆ†æ��的所有Web应用程åº�中70%的项目被å�‘ç�°å�«æœ‰ä¸�访问æ�§åˆ¶é—®é¢˜ç›¸å…³çš„安全å¨�èƒ�ã€‚è€Œå‡ ä¹�一å�Šçš„访问æ�§åˆ¶ä¸­æ–­å®‰å…¨å¨�èƒ�具有中等é£�险级别37%的项目具有高级别é£�险。这些é£�险éš�æ‚£å�¯èƒ½å¯¼è‡´Web应用程åº�出错并影å“�组织的业务开展。对äº�Web应用程åº�而言所æ��交的数æ�®éªŒè¯�ä¸�足将使攻击者å�¯ä»¥é��法访问内部æœ�务并å�¯èƒ½æ‰§è¡Œå¯¼è‡´è´¢åŠ¡æ�Ÿå¤±çš„æ”»å‡»ã€‚é˜²æŠ¤å»ºè®®ç»„ç»‡åº”è¯¥æ ¹æ�®åŸºäº�角色的访问模å¼�å®�施身份验è¯�å’Œæ�ˆæ�ƒæ�§åˆ¶ã€‚除é��æŸ�个Web应用程åº�是é�¢å�‘所有人公开访问å�¦åˆ™å°±åº”该在默认情况下拒ç»�访问。2ã€�æ•°æ�®æ³„露这ç§�ç±»å�‹çš„安全å¨�èƒ�在Web应用程åº�中大é‡�存在。ä¸�访问æ�§åˆ¶ä¸­æ–­ç›¸æ¯”æ•�æ„Ÿæ•°æ�®æ³„露å�«æœ‰æ•°é‡�更多的ä½�é£�险级æ¼�æ´�éš�患但也存在高级别的é£�险æ¼�æ´�ã€‚ç ”ç©¶äººå‘˜åœ¨åˆ†æ��过程中å�‘ç�°çš„æ•�æ„Ÿæ•°æ�®åŒ…括纯文本密ç �和凭æ�®ã€�Web应用程åº�å�‘布完整路径以å�Šå…¶ä»–å�¯ç”¨äº�了解应用程åº�æ�¶æ�„的涉密信æ�¯ã€‚é˜²æŠ¤å»ºè®®åº”è¯¥ä¸¥æ ¼ç¦�止在Web应用程åº�å�‘布目录中存储å�«æœ‰æ•�æ„Ÿæ•°æ�®å¦‚密ç �或备份的文件。å�Œæ—¶åœ¨è®¿é—®åº”用程åº�函数时需è¦�åŠ å¼ºæ•�æ„Ÿæ•°æ�®æ£€æµ‹é˜²æŠ¤é™¤é��该函数本身用äº�访问æ•�æ„Ÿæ•°æ�®ã€‚3ã€�æœ�åŠ¡å™¨ç«¯è¯·æ±‚ä¼ªé€ SSRF云计算和微æœ�务æ�¶æ�„的应用已ç»�é��常普é��ä¸�ä¼ ç»Ÿæ�¶æ�„相比会有更多的æœ�务通过HTTP或其他轻é‡�级å��è®®è¿›è¡Œé€šä¿¡å› æ­¤å¾®æœ�务æ�¶æ�„扩大了SSRF滥用的攻击é�¢ã€‚在本次测试所分æ��的应用程åº�中一å�Šä»¥ä¸Š57%的应用程åº�å�«æœ‰æœ�åŠ¡å™¨ç«¯è¯·æ±‚ä¼ªé€ å®‰å…¨å¨�èƒ�这让æ�¶æ„�攻击者å�¯ä»¥ç»•è¿‡åº”用程åº�逻辑ä¸�内部æœ�务进行é��法链æ�¥é€šä¿¡ã€‚æ�¶æ„�分å­�还å�¯ä»¥ç»“å�ˆä½¿ç”¨SSRFä¸�其他æ¼�æ´�策划攻击Webæœ�务器的方法或读å�–应用程åº�æº�代ç �。防护建议组织应该为应用程åº�å�¯ä»¥è¯·æ±‚的资æº�创建一份å…�许列表白å��å�•å¹¶é˜»æ­¢è¯·æ±‚该列表之外的任何资æº�ä¸�æ�¥å�—å�«æœ‰å®Œæ•´URL的请求。此外还设置防ç�«å¢™è¿‡æ»¤å™¨é˜²æ­¢ç”¨æˆ·è®¿é—®æœªæ�ˆæ�ƒçš„域。4ã€�SQLæ³¨å…¥åœ¨æœ¬æ¬¡æµ‹è¯•ä¸­ç ”ç©¶äººå‘˜å�‘ç�°å¤§å¤šæ•°é«˜é£�险æ¼�æ´�都ä¸�SQL注入有关。ä¸�过由äº�测试中所分æ��的应用程åº�中å�ªæœ‰ä¸�到一å�Š43%的项目易å�—该类安全å¨�èƒ�çš„æ”»å‡»å› æ­¤ç ”ç©¶äººå‘˜å°†è¯¥ç±»åˆ«æ�’在10大Web应用安全å¨�èƒ�的第四ä½�。这ç§�ç±»å�‹çš„æ¼�æ´�å�¯èƒ½å¯¼è‡´æ•�æ„Ÿä¿¡æ�¯è¢«ç›—或远程代ç �æ‰§è¡Œã€‚åœ¨ä¸€äº›æµ‹è¯•é¡¹ç›®ä¸­ç ”ç©¶äººå‘˜å¯¹é‚£äº›å�‘公众用户开放注册的应用程åº�å®�施了SQL注入最终æˆ�功è�·å¾—了内部系统管ç�†å‘˜çš„凭æ�®ã€‚防护建议组织应该在应用程åº�æº�代ç �中使用å�‚数化的SQL查询而ä¸�是将它们ä¸�SQL查询模æ�¿ç›¸ç»“å�ˆã€‚如æ�œä¸�能使用å�‚数化的SQL查询就应该优先确ä¿�用户输入并用äº�生æˆ�SQL查询的数æ�®æ— 法用äº�修改查询逻辑。5ã€�跨站脚本XSS本次测试所分æ��çš„Web应用程åº�中61%存在跨站脚本安全å¨�èƒ�。在大多数情况下这一å¨�èƒ�具有中等é£�é™©æ°´å¹³å› æ­¤ç ”ç©¶äººå‘˜å°†å…¶æ�’在第五ä½�尽管它很普é��。超过一å�Š55%çš„XSSæ¼�æ´�ä¸�第三方科技公å�¸å¼€å�‘的应用程åº�有关39%çš„XSSæ¼�æ´�ä¸�公共部门使用的应用程åº�有关。针对应用程åº�客户端的XSS攻击å�¯ç”¨äº�è�·å�–用户身份验è¯�ä¿¡æ�¯æ¯”如cookieã€�ç½‘ç»œé’“é±¼æˆ–ä¼ æ’­æ�¶æ„�软件。在一些攻击场景中结å�ˆå…¶ä»–安全æ¼�æ´�çš„XSS攻击å…�许将用户密ç �改为已知值ä»�而利用该用户的特æ�ƒè�·å¾—应用程åº�访问æ�ƒã€‚防护建议组织å�¯ä»¥å°†HTML页é�¢ä¸­ä¸�å®‰å…¨çš„æ ¼å¼�化字符替æ�¢ä¸ºé��æ ¼å¼�化的等效字符并æ��供处ç�†ç”¨æˆ·è¾“入的安全机制。针对ä»�外部数æ�®æº�è�·å¾—并在æµ�览器中显示的任何数æ�®éƒ½åº”该这么å�šã€‚6ã€�中断的身份验è¯�ç ”ç©¶äººå‘˜åœ¨è¿™ä¸ªç±»åˆ«ä¸­å�‘ç�°çš„å‡ ä¹�一å�Šçš„安全å¨�èƒ�具有中等é£�险水平47%但也存在高é£�险æ¼�æ´�å…�许代表用户的客户端访问Web应用程åº�。比如说æŸ�个应用程åº�没有JWTJason Web Tokenç­¾å��检查æ�¶æ„�分å­�å°±å�¯ä»¥ç¯¡æ”¹è‡ªå·±çš„JWT通过指定å�¦ä¸€ä¸ªç”¨æˆ·çš„IDæ�¥ç¯¡æ”¹å¹¶ä½¿ç”¨ç”Ÿæˆ�的令牌在账户内执行å�„ç§�æ“�作。防护建议组织应该对用äº�访问应用程åº�的身份验è¯�æ•°æ�®è¿›è¡Œé€‚当的验è¯�。如æ�œä½¿ç”¨ä»¤ç‰Œå’Œä¼šè¯�IDç­¾å��进行验è¯�。用äº�身份验è¯�的密文密钥和签å��等应该是唯一的并具有高度的熵。此外组织è¦�ä¸¥æ ¼ç¦�止在应用程åº�代ç �中存储密文。7ã€�安全é…�ç½®ä¸�å½“ç ”ç©¶äººå‘˜å�‘ç�°åœ¨æ‰€æœ‰è¢«æµ‹è¯•çš„应用程åº�中近一å�Šçš„项目存在安全é…�ç½®ä¸�当的å¨�èƒ�éš�患。该类æ¼�æ´�涵盖ä»�å�¯ç”¨çš„调试模å¼�到ç¦�用的身份验è¯�等一系列安全å¨�èƒ�。例如一个应用程åº�çš„Nginxæœ�务器å…�许访问父目录下的文件相对äº�Alias指令中指定的目录这就导致了å�¯ä»¥ç”¨äº�访问å�«æœ‰æœºå¯†æ•°æ�®çš„文件。防护建议组织在é…�ç½®IT基础设施中使用的系统时应é�µå¾ªå®‰å…¨æœ€ä½³å®�践。应该将设置过程自动化以消除安装新系统时出ç�°çš„错误。此外对测试系统和生产系统使用ä¸�å�Œçš„凭æ�®å¹¶ç¦�用ä¸�使用的组件。8ã€�蛮力攻击防护ä¸�足在本次测试的应用程åº�中超过三分之一å…�许蛮力攻击。一次性密ç �和针对å�„ç§�资æº�比如账户或文件系统的身份验è¯�是Web应用程åº�中最易å�—æ”»å‡»çš„å› ç´ ã€‚å…·ä½“æ�¥è¯´å½“组织对蛮力攻击防护能力ä¸�足时攻击者就会通过蛮力执行OTP攻击ä»�而绕过ç�°æœ‰çš„身份验è¯�å› ç´ æœªç»�æ�ˆæ�ƒè®¿é—®åº”用程åº�。防护建议组织应该使用CAPTCHAä½¿æ”»å‡»è€…æ›´éš¾è›®åŠ›ç ´è§£å‡­æ�®ã€‚用户还å�¯ä»¥ä½¿ç”¨é¢„防æ�§åˆ¶WAFå’ŒIPSå�Šæ—¶é˜»æ­¢è›®åŠ›æ”»å‡»å°�试ä¸�仅应对针对å�Œä¸€è´¦æˆ·çš„多次失效登录还å�¯ä»¥åº”对å�Œä¸€æ�¥æº�针对ä¸�å�Œè´¦æˆ·çš„多次失效登录。9ã€�薄弱的用户密ç �在本次测试的所有Web应用程åº�中22%的项目被å�‘ç�°åº”用了薄弱密ç �。这类æ¼�æ´�的比例比较ä½�一个解释是安全分æ��师ç»�常使用客户测试平å�°è€Œä¸�是å®�际系统。虽然å�«æœ‰æ­¤ç±»æ¼�æ´�的应用程åº�æ•°é‡�很少但利用弱凭æ�®çš„å��æ�œå�¯èƒ½å¾ˆä¸¥é‡�。视账户类å�‹çš„ä¸�å�Œæ”»å‡»è€…å�¯ä»¥è®¿é—®åŸºæœ¬çš„应用程åº�功能或管ç�†åœºæ™¯è¿™å�¯èƒ½ä¼šå½±å“�业务æµ�程。防护建议组织应该å®�施弱密ç �检查机制比如针对10000个最薄弱的密ç �列表执行检查以å�‘ç�°æ–°å¯†ç �或更改的密ç �。强制执行密ç �长度ã€�å¤�æ�‚性和过期è¦�求以å�Šå…¶ä»–基äº�è¯�æ�®çš„ç�°ä»£å¯†ç �策略。10ã€�未修å¤�的已知æ¼�æ´�最å��一项安全å¨�èƒ�是Web应用程åº�中存在大é‡�未修å¤�的已知æ¼�æ´�。易å�—攻击的组件包括框æ�¶å’Œå�„ç§�应用程åº�ä¾�赖项比如库和模å�—。其中一些å…�è®¸ç ”ç©¶äººå‘˜è®¿é—®åº”ç”¨ç¨‹åº�使用的æœ�务器ä»�è€Œæ¸—å…¥åˆ°å®¢æˆ·çš„å†…éƒ¨ç½‘ç»œã€‚é˜²æŠ¤å»ºè®®ç»„ç»‡åº”è¯¥å®šæœŸæ¸…ç‚¹ç”¨æˆ·ä½¿ç”¨çš„è½¯ä»¶ç»„ä»¶å¹¶æ ¹æ�®éœ€è¦�进行补ä¸�更新。å�Œæ—¶åº”该仅使用已æˆ�功通过安全测试的å�—信任组件ç¦�ç”¨ä»»ä½•æœªä½¿ç”¨çš„ç»„ä»¶ã€‚ç½‘ç»œå®‰å…¨å­¦ä¹ èµ„æº�ç½‘ä¸Šè™½ç„¶ä¹Ÿæœ‰å¾ˆå¤šçš„å­¦ä¹ èµ„æº�但基本上都残缺ä¸�全的这是我们和网安大å�‚360å…±å�Œç ”å�‘的的网安视频教程内容涵盖了入门必备的æ“�作系统ã€�计算机网络和编程语言等åˆ�级知识而且包å�«äº†ä¸­çº§çš„å�„ç§�渗é€�技术并且还有å��期的CTF对抗ã€�区å�—链安全等高阶技术。总共200多节视频100多本网安电å­�ä¹¦æœ€æ–°å­¦ä¹ è·¯çº¿å›¾å’Œå·¥å…·å®‰è£…åŒ…éƒ½æœ‰ä¸�用担心学ä¸�全。这些东西我都å�¯ä»¥å…�费分享给大家需è¦�çš„å�¯ä»¥ç‚¹è¿™é‡Œè‡ªå�–:网安入门到进阶资æº�

女生被操软件-女生被操软件应用