网站是功能强大的应用程序,它依赖于服务器和浏览器之间的双向信息流。例如:从登录、注册、金融交易、个人信息存储、用户的浏览习惯,到对用户社交生活的洞察等。所有这些都是为了向用户提供量身定制的特定内容。这是由 Web 应用程序实时动态完成的。
云中的信息可用性以及 365 天 7*24小时 全天候访问,对于应用程序在业务中工作和与业务协作变得非常重要。但是,它具有将数据暴露给应用程序的风险相同,这些应用程序包含漏洞,由于在其中使用了过时的技术,因此可能存在漏洞,从而使它们容易受到“具有已知漏洞的组件”的攻击,这是OWASP发布的2013年OWASP十大攻击中的A9。同样,一旦来宾操作系统在虚拟机管理程序上运行,将虚拟化用于云计算可能会带来误导用户信息的风险,同时不知道客户机操作系统的依赖关系,该依赖关系已过时或正在使用未修补的安全组件运行,这些组件可能会使系统容易受到攻击。从授予后门访问权限以运行远程过程调用。
在所有这些中,处理的大多数信息都是私人和敏感的,因此隐私成为一个主要问题。作为互联网的一部分,Web应用程序同样是内部网的一部分,以支持涉及处理用户特定数据的业务功能。例如,员工,客户,企业资源的业务详细信息,与其他企业资源(如服务器,工作站,虚拟机等)的相互依赖关系。
被认为是企业内部的资源现在越来越多地托管在云中,因为业务中的云解决方案被证明更加可靠和高效。由于云在PaaS和IaaS之外采用面向服务的方法,因此其扩展以满足用户需求,多租户等的能力。
云使用位置透明度模型来隐藏其服务和数据的位置。因此,供应商能够从云中的任何位置托管其服务。在这种情况下,组织可能会失去对信息的控制,并且可能不熟悉在存储其信息的远程位置上适当的安全机制。所有这些都可以使数据以及架构中使用的技术对更广泛的潜在攻击透明,因为安全防御的完整性已经脱离了组织的掌控。
尽管对组织在数据收集和传输方面有平等的规定,并且组织主要被要求在其地理范围内存储与一个国家公民相关的数据,因为它可以根据一个国家的合规性进行监管,组织必须遵守该合规性以开展其“数据业务”。
因此,针对Web应用程序的最严重的攻击是那些利用敏感数据或对应用程序后端进行无限制访问的攻击。
大多数应用程序声明它们是受保护的,因为它们使用 SSL。
例:
代码语言:javascript复制“此网站设计为使用128位安全套接字层(SSL)技术。”用户经常被敦促信任基于其证书和正在使用的加密协议来信任站点,以传输其个人信息。越来越多的组织也引用他们遵守支付卡行业(PCI)标准,以向用户保证他们是安全的。
例:
代码语言:javascript复制“该网站每天都会进行扫描,以确保我们符合PCI标准,免受黑客攻击。”但是,尽管广泛使用SSL / TLS技术并采用定期PCI扫描,因此大多数互联网应用程序都是不安全的,因此需要检查漏洞评估,并且渗透测试是由他们自己在网络上完成的,以了解自己的漏洞。
ISO/IEC 27001:2013 要求组织每年至少由认证审核员进行 2 次检查,以使业务的最终用户客户和服务提供商充满信心。
OWASP每三年根据调查发布一次十大漏洞,该调查研究了全球造成最大损害的攻击。具有优势的云也带来了使用风险。针对 Internet 应用程序的大多数攻击都涉及向服务器注入输入,这些输入是精心设计的,以导致应用程序设计人员没有预料到或不希望的一些事件。例如,服务器端的恶意代码注入,无论是 SQL 注入还是 XSS。
对于此应用程序,必须假定所有输入都是潜在的恶意输入,并且必须采取措施确保攻击者无法使用精心编制的输入通过干扰逻辑和行为来破坏应用程序,从而未经授权访问数据和凭据而不是功能。为实现这些目标而提交精心编制的投入的例子有:
- 更改在隐藏的 HTML 表单字段中传输的产品的价格
- 更改将由后端数据库处理的某些输入,以注入恶意数据库查询并访问敏感数据
- 修改在 HTTP Cookie 中传输的会话令牌以劫持合法用户的会话
- 删除通常提交以利用应用程序处理中的逻辑缺陷的某些参数
SSL 不会阻止向服务器提交精心编制的输入。如果应用程序使用 SSL/TLS,这仅意味着网络上的其他用户无法查看或修改攻击者传输中的数据。因为攻击者可以通过SSL隧道的一侧发送任何内容。
如果任何可以利用任何漏洞的攻击都是未修补的,那么服务器端的工作可能会给整个业务带来很大的损害。此类攻击的示例是“WannaCry勒索软件”攻击,该攻击针对整个欧洲的医疗保健系统,因为他们正在运行Windows XP,并存在未修补的安全漏洞,该漏洞已被利用。WannaCry 最初是由于丢失了中央情报局的软件源代码而创建的,中央情报局将其保留为间谍软件,然后由一些黑客组织制作成病毒。
