即使是我最喜欢的寿司店有一个网站在线订购功能。它也有一个博客与新闻、事件和食谱,选择订阅简报。
出于好奇我看看网页源代码。网站开发使用异步Java和XML (AJAX),其中一个免费的开源AJAX脚本web车和博客在互联网上。当地一家小型网页设计公司网站开发和设计是现代简约的就像他的寿司店。
当考虑安全,web开发人员可能会转向开放web应用程序安全性项目(OWASP),发表了AJAX的漏洞测试指南。指南概述了九个类别的漏洞进行测试。然而,这并不是一个简单的任务为业余web开发人员。
想到的问题,如开发人员测试应用程序漏洞吗?寿司厨师已经在他的商店安装了防盗报警和摄像机等。但所有商店在附近有一些防盗系统等。入室盗窃发生在该地区和安装警报器是做生意的标准成本。警报和摄像机在店里不能防止盗窃。他们是威慑。然而,当地的执法部门团队负责预防措施反对盗窃。他们附近巡逻,组织宣传活动,并收集情报的威胁。
跨站点脚本、SQL注入小商店的老板不太明显的风险。他们仍然可能导致违约客户的信用卡信息和个人信息。可以肯定的是,他的网站是安全的寿司厨师必须测试和实施预防措施。但他准备花多少钱对于这样一个测试?CISO的大公司可能会负责几百web应用程序。他可能会问:哪些应用程序是最重要的?这是否意味着更少的关键应用程序不应该测试漏洞?CISO准备多少预算分配为web应用程序安全吗?如何明智地花费预算,然而在黑暗中感到安全的网络?
一个
信息:皇冠上的宝石
所有组件的信息系统很容易受到攻击。然而,从互联网上直接访问组件暴露在外部威胁,因此更容易被利用。如果利用,内部系统组件提供直接访问更高级别的特权,例如数据库和文件系统。然而他们保护环的安全控制和安全行业所谓的深度防御。网络系统是企业一线。因此,不足为奇,其他外围系统经常剥削。
网络设备(如防火墙是用来隔离网络。他们有效地执行这个角色。因为他们的特定的功能而设计的范围和测试的方法。此外,他们配备了攻击检测机制和安全设计的失败。只有确定攻击者与特定的目标会花时间和精力攻击防火墙。
另一方面,web应用程序是传播信息的工具,与客户交流,销售商品和服务,为构建企业身份和形象。它们被设计为动态聚合信息,连接用户数据库,连接企业,收集数据。也是如此,它们是系统组件最接近企业剥离资产:一个信息。
为公司和个人急于连接和传播信息,越来越多的web应用程序正在开发迅速和有限的资源。虽然每个人都承认,这是很重要的,信息安全不是首要任务在计划上市时间为他们的产品和服务。企业所有者的目标是减少支出,这经常导致安全风险接受,甚至无知。
管理信息安全风险是做生意的成本。此外,成本通常是隐藏的,难以测量的影响。数据所有者只是想分享他们的数据并从中盈利。他们没有动力去思考婚姻出现在安全方面,除非迫于法律法规,所以他们最终开发web应用程序设计精美,吸引大量的观众,和丰富的特性和功能,可以跟踪和收集大量的营销数据,帮助企业了解消费者需求。
Web应用程序帮助游客找到的信息产品、服务和特别优惠,产品功能和价格进行比较,检查其他客户的反馈,使购买不同的付款选项和跟踪交付他们的包。和用户可以从任何设备在世界任何地方。所以可以黑客寻找财富和弱点…
一个
保护王冠
有许多可能的弱点的地方是隐藏的。OWASP列出了前10名的web应用程序的弱点以及他们如何随时间而变化。这是不足为奇的数据注入上很长一段时间。数据注入应用程序逻辑中的弱点。他们的结果无法预测所有可能的行为方面的用户在进入或寻找数据。
当然安全编码的方法,为降低这样的风险,但他们需要提供最佳实践技能和时间来实现。此外,由于每个更改底层业务逻辑业务流程有变化,需要测试。如果反复测试与自动扫描仪将促进有效的任务,但人类的智慧是必不可少的。代码分析可以帮助识别可能的脆弱的地区。道德黑客可以验证漏洞存在,有多难利用注入漏洞。
模糊测试工具,如免费扩展Firefox浏览器ImmuniWeb Self-FuzzerA(实时fuzzer)可以分析很多可能的数据输入组合在短的时间内。这一过程类似于蛮干密码组合,不能比较一个聪明的攻击。攻击者可以把更多的逻辑侦察后进入他们的攻击或收集有关目标的信息。他们可以很容易地了解目标公司用户的概要文件和显著减少的范围攻击。他们的数据将与合法用户的搜索。
这样的交互的web应用程序几乎可以确定为潜在的恶意。它不会被防火墙日志分析和应用。攻击者仍是发现漏洞缓冲区溢出等web内容管理系统或底层数据库,将打开大门皇冠上的宝石:公司信息。
自动化web应用程序扫描初始信息安全评估是非常有用的。市场上有很多扫描工具。有些人甚至免费包括OWASP Zed攻击代理(攻击)。简单的使用但web应用程序安全性的经验是必需的,为了产生一些有意义的结果。Self-Fuzzer和攻击是重要的在我的web应用程序安全工具箱的工具。我经常使用它们来执行初始阶段的企业web应用程序的安全评估。它有助于优化web应用程序而言,潜在的漏洞及其临界。结果在定义的范围进一步更深入的安全评估和安全预防预算分配,侦探和安全监视活动。
像所有自动扫描器,ZAP不能检测逻辑漏洞。OWASP建议执行手工渗透测试找到所有类型的漏洞。手动渗透测试耗时,需要特定的技能。因此它是一个昂贵的咨询服务。因此看来,我最喜欢的寿司主厨将授权渗透测试来评估他的网站的安全性。然而,有解决方案甚至等小型电子商务网站。就我个人而言,我不知道一个混合web应用程序安全性评估方法直到2013年高科技桥,我们渗透测试服务提供商之一,提供测试ImmuniWeb。ImmuniWeb是一个随需应变的web应用程序安全性评估解决方案,结合了自动扫描和手动渗透测试web应用程序的一个合理的价格。此外,ImmuniWeb可以用来评估与云服务提供商网站托管,因为它不执行任何危险的安全检查和不影响web服务器或网络设备性能。
等大公司与数以百计的web应用程序混合评估有助于扩大评估的范围可以覆盖应用程序时估计为中等或较低的风险。CISOs终于有一个解决方案,结合了技术力量与人类的技能和智慧更准确地评估利用应用程序漏洞的潜力。
OWASP前十名名单很难发现其他几个漏洞类与自动扫描仪。跨站点脚本(XSS)就是其中之一。攻击者可能会利用这种技术来劫持用户会话,并将他们重定向到一个恶意网站,用户也许欺骗进入他们的凭证或付款的细节。OWASP强调它是特别困难的,检测XSS漏洞使用自动扫描仪基于Ajax技术,如网站上。
CISOs的噩梦是一个潜在的破坏公司声誉。想象一个web页面顶部的企业标志和通常的法律免责声明在底部,和数据输入对话框要求游客进入他们的登录id和密码。所有与公司的有效的网络地址在地址栏。提示用户凭证的主要问题是,不是将这一信息传递给企业web应用程序,而是一个恶意网站。不太可能,网站访问者会检查页面源代码来识别潜在的风险在进入他们的凭证。
成千上万的病例发表这样的功绩。例如,860000名苹果粉丝帐户被攻陷的XSS攻击的写手论坛。一个With limited in-house manpower it is difficult for me to dedicate resources for continuous assessment of such a risk on all corporate web-based system. To compensate such restriction I ensure that most of web-based systems are included in continuous security assessment using hybrid scanners.
不安全的直接对象引用的漏洞可能允许用户授权访问某些数据修改搜索参数和访问限制数据。自动扫描仪不能区分什么是安全的和什么是不安全的。
人类渗透试验器可以识别潜在的漏洞,可能导致数据机密性破坏。这种脆弱性有时会通过安全测试即使是大公司和结果违反100000客户隐私第九。缺失的函数级访问控制类似的漏洞也相关的应用程序逻辑,因此不太可能被自动扫描仪。而不是直接提供数据未经授权的访问这个漏洞允许访问未经授权的应用程序功能当前用户的角色。
一个例子为小的在线购物网站可以获得报销审批功能。实现应用程序逻辑的变化来减轻这种脆弱性应遵循安全软件开发生命周期的最佳实践建议执行安全评估后每一个重大变化。它并不少见,修复一个漏洞创建另一个。关键Java去年发现的漏洞是由一个带外修复补丁,引入新的漏洞。一个If CISOs have budget for another penetration test after the implementation of a remedy and before putting the web system back to production, they would sleep much better at night. With hybrid vulnerability assessment, initially introduced to the market by Swiss company High-Tech Bridge with ImmuniWeb SaaS, this finally seems feasible.
一个
机器人与人类