安全是有分量的

cc防护_香港高防cdn节点_免费测试

2021-05-05 03:27栏目:动态

cc防护_香港高防cdn节点_免费测试

移动安全可能不像其他成熟的攻击方式那样容易被利用,但这一最新消息可能会使这种情况变得更糟。德国达姆施塔特高级安全研究中心(CASED)负责任地披露了它发现的一个云应用程序安全问题,并在一份白皮书中发表。CASED从Facebook的Parse、Amazon和其他云数据源中发现了5600万组未受保护的用户数据。这些数据包括密码、健康记录、电子邮件地址和其他敏感、独特的数据,如金融交易、儿童个人数据,以及包括精神疾病在内的个人识别和敏感信息。这对安全领导和风险经理意味着什么?如果您的客户的API密钥已经暴露并被重用,那么您的网络上可能发生了一些非常隐蔽的活动。然而,研究人员目前尚不清楚在野外与Parse和amazonapi直接相关的漏洞利用证据。最近,其他类型的API黑客攻击的新闻也越来越频繁。这项研究强调了开发者和云端数据在移动应用程序安全实践中的三角洲,也暴露了用户对这些问题的相对盲目性,因为这些问题是在应用程序功能的面纱背后建立起来的,是基于用户的直接知识(或自我保护能力)。安全记分卡研究主管亚历克斯·海德(Alex Heid)说:"看起来,几个月前有关基于API的应用程序身份验证和权限设置的易受攻击设计的警告,似乎正被信息安全界所注意到。"。CASED进行的研究证实了其他安全研究人员几个月前提出的警告。利用Parse.com公司后端系统于2015年4月由安全研究人员Jheto Xekri首次曝光。"Xekri在安全圈有着悠久的历史。《福布斯》一篇关于去年黑客找工作的文章指出,谢克里是2012年宙斯民事案众多被告之一。这个配置问题是一个争论的话题,应用程序开发人员忽略了与后端即服务(BaaS)技术同步的安全建议。类似地,BaaS提供商允许轻松地避免访问控制,尽管他们确实提供了执行更强大身份验证的建议和功能。移动应用程序通常将用户数据存储在云中,以帮助跨设备同步,根据德国研究人员的说法,开发者似乎忽视了云提供商的安全建议,因为方便易用。糟糕的设计或易用性?"每个云提供商,包括Parse.com公司Fraunhofer SIT安全软件工程负责人Eric Bodden博士写道:"我们确实提供了一种机制来实现安全访问控制,但应用程序开发人员必须意识到这些机制,必须投入时间研究并在应用程序中实现这些机制。",国内外高防CDN,TU Darmstadt和EC SPRIDE,以及CASED安全服务的首席研究员,在一封发送给SecurityScorecard的电子邮件中说道。"这通常是出问题的地方;不过,如果应用程序开发人员使用这种"简单模式"似乎也在"保护"私有数据,那么问题就出现了。这实际上永远不应该这样做,但正如我们发现的那样,在绝大多数情况下都是这样做的。"例如,为了发挥作用,Parse.com公司应用程序在编译的客户端Java应用程序中存储API密钥和身份验证令牌。这些密钥和令牌用作身份验证机制。SecurityScorecard的Heid说:"当应用程序被反编译时,恶意用户可以提取密钥,传输层的ddos防御软件,然后创建自己的应用程序,以自己的自定义方式使用身份验证凭据。"在Jheto Xekri在GitHub及其博客上提供的示例中,他演示了如何将密钥放在自定义应用程序中,该应用程序将转储数据库中包含的所有用户电子邮件地址。"根据Xekri的说法,当Facebook接到这个问题的通知时,得到的答复是这些场景是Parse.com公司. 使用这些BaaS产品的开发人员似乎还没有足够的能力来确保为应用程序的最终用户设置适当的权限。该怪谁?"开发人员编写代码时必须假定任何身份验证凭据最终都会受到危害和/或提取,网站防御ddos,因此应该将身份验证后的功能限制到所需的最低限度,"Heid说但是,开发人员实施限制的能力将限于后端服务平台的预期功能,这可能包括也可能不包括限制性配置选项。"这个问题的最初研究发现者,Xekri,今天联系到他,并逐字给出了这条评论(英语不是他的第一语言):"问题其实在于安全系统的糟糕设计……每个人都知道在客户端存储密钥更糟糕的办法是后端不检查它们是否用于正确的应用程序。"基本上,研究人员同意密钥存储需要更好的设计验证。但不要让开发人员完全摆脱困境,CASED的Bodden建议。博登在给我们的信中写道:"我想说的主要是开发人员,尽管有人可能会认为,linux服务器cc防御工具,云提供商甚至不应该首先考虑‘不安全模式’,或者应该明确地将其命名为‘不安全模式’。"这样会产生更好的透明度。建议安全分析师和移动应用开发公司应检查Parse和AWS的访问控制文档,有效的DDos防御方案,并遵循以下指南:解析API安全性亚马逊网站简单存储服务ACL安全性更多信息,请阅读博登博士的常见问题解答。SecurityScorecard对这些数据点的分析被考虑到我们的web应用程序安全模块、社会工程模块和泄漏凭证模块中。了解SecurityScorecard的工作原理