安全是有分量的

高防_宿迁高防bgp_如何防

2021-05-05 05:42栏目:行业

防ddos攻击_云盾智慧安全科技有限公司_秒解封

OWASP Top 10是一份定期更新的报告,概述了web应用程序安全的前10个安全问题列表这份报告是由世界各地的安全专家组成的。OWASP将前10名称为"意识文件",他们建议所有公司将该报告的调查结果纳入网络安全流程目录什么是OWASP?十大web应用程序安全风险有哪些?注入中断的身份验证敏感数据暴露XML外部实体(XXE)访问控制中断安全配置错误跨站点脚本(XSS)不安全的反序列化使用具有已知漏洞的组件日志记录和监控不足UpGuard如何降低网络风险什么是OWASP?开放式Web应用程序安全项目(OWASP)是一个致力于提高Web应用程序安全性的国际非营利组织OWASP提供免费提供的文章、方法、文档、工具和技术,使任何人都可以提高其web应用程序的安全性OWASP Top 10是他们最著名的项目之一。十大web应用程序安全风险有哪些?1注入当未验证或不可信的数据通过表单输入或其他数据提交字段发送到代码解释器时,就会发生注入攻击。成功的注入攻击会导致数据泄漏、数据损坏、数据泄露、责任缺失和拒绝访问。几乎任何数据源都可以是注入向量,包括环境变量、参数、外部和内部web服务以及所有类型的用户。例如,攻击者可以将SQL代码注入需要纯文本用户名的表单中。如果web应用程序开发人员没有正确地清理输入,可能会导致SQL代码被执行。这称为SQL注入攻击SQL不是唯一的注入缺陷。常见的漏洞包括XPath、NoSQL、LDAP注入以及OS命令、XML解析器、SMTP头、表达式语言和ORM查询通常,应用程序在以下情况下易受攻击:用户输入未经验证、过滤或清理在解释器中直接使用动态查询或无上下文感知转义的非参数化调用在对象关系映射(ORM)搜索参数中使用恶意数据来提取敏感记录恶意数据是直接使用或连接的,因此SQL或命令包含动态查询、命令或存储过程中的结构和恶意数据为了防止注入攻击,应验证和/或清理用户输入,并尽可能使用避免完全使用解释器的API对于服务器端输入、白名单输入验证,以及在查询中使用LIMIT和其他SQL控件来最小化可能暴露的敏感数据量。要了解有关防止注入攻击的更多信息,OWASP建议:OWASP主动控件:参数化查询OWASP-ASVS:V5输入验证和编码OWASP测试指南:SQL注入、命令注入和ORM注入OWASP备忘单:注射预防OWASP备忘单:SQL注入预防OWASP备忘单:Java中的注入预防OWASP备忘单:查询参数化OWASP对Web应用程序的自动威胁—OAT-014CWE-77:指令注入CWE-89:SQL注入CWE-564:休眠注射CWE-917:表达式语言注入PortSwigger:服务器端模板注入2中断的身份验证身份验证系统是许多web应用程序中设计和/或实现最差的系统之一。此外,会话管理是任何身份验证和访问控制系统的基础,并且存在于所有有状态的应用程序中。攻击者可以手动检测这些漏洞,并使用自动工具、暴力攻击和字典攻击工具进行攻击。请阅读我们关于暴力袭击的完整帖子。这些攻击的成功率可能很高。数以亿计的用户名和密码组合在大规模数据泄露中被曝光。而且许多人跨服务重用密码,或者懒得更改默认的管理登录凭据此外,会话管理攻击,如cookie劫持,很容易被理解和利用OWASP声明web应用程序的身份验证较差,如果:允许自动攻击,例如凭证填充允许暴力或其他自动攻击允许默认密码、弱密码或已知密码(请阅读我们的密码安全检查表)使用弱或无效的凭证恢复或忘记密码流,这些都依赖于可以在社交媒体上公开的基于知识的答案使用纯文本、未加密或弱哈希密码缺少或无效的多因素身份验证(例如,no 2FA和生物特征识别)在URL中公开会话ID登录后不旋转会话ID不会正确地使会话令牌无效有许多方法可以防止利用不良或损坏的身份验证进行网络攻击,包括:多因素身份验证,可防止自动凭证填充、暴力和被盗凭证重复使用攻击从不使用默认凭据弱密码检查不允许前10000个最差密码和已知数据泄露中暴露的密码将密码长度、复杂性和轮换策略与NIST 800-63 B第5.1.1节中有关存储机密的指南相一致通过为所有结果返回相同的消息,确保注册、凭据恢复和API路径能够抵御枚举攻击限制和/或增加失败登录尝试的延迟记录所有登录失败并在检测到凭据填充、暴力或其他攻击时向安全团队发出警报使用服务器端的、安全的、内置的会话管理,在登录后生成一个新的、随机的、高熵的会话ID不在URL中公开会话ID在注销、空闲和绝对超时时使用户会话失效要了解有关防止损坏的身份验证攻击的详细信息,OWASP建议:OWASP主动控制:实现身份和身份验证控件OWASP应用程序安全验证标准:V2认证OWASP应用程序安全验证标准:V3会话管理OWASP测试指南:身份验证OWASP备忘单:身份验证OWASP备忘单:凭证填充OWASP备忘单:忘记密码OWASP备忘单:会话管理OWASP自动威胁手册NIST 800-63b:5.1.1记忆的秘密CWE-287:不正确的身份验证CWE-384:会话固定三。敏感数据暴露许多web应用程序及其API不能充分保护敏感数据,服务器怎么防御cc,静态资源高防cdn,如财务数据、PHI和PII这意味着攻击者在传输过程中可能会从受害者的浏览器中窃取密钥、执行中间人攻击或从服务器上窃取明文数据,而不是直接攻击密码,而且越来越多地从信息安全性较差的第三方供应商处窃取随着组织存储和处理更敏感的数据,以及全球范围内的数据保护法的出台,这对任何web应用程序来说都是一个更大的网络安全风险。最常见的错误是根本不加密数据当使用加密时,弱密钥生成和管理、弱算法、协议和密码使用是常见的,尤其是弱密码哈希存储技术未能保护敏感数据可能会导致行业间谍活动、声誉受损、财务成本,以及越来越多的监管措施。受新的法律法规的驱动,如GDPR、LGPD、CCPA、PIPEDA、HIPAA和CPS 234,这些法规要求保护PII、PHI和其他敏感信息。一旦暴露,信用卡号码、健康记录、个人信息和商业秘密就会导致欺诈、身份盗窃、市场地位丧失和网络犯罪。为防止敏感数据暴露,普通杀毒软件防御ddos,OWASP建议:根据法律、法规和业务需要,网站怎么防御ddos,将处理、存储或传输的数据分类到敏感桶中应用适合数据分类的控制不需要存储敏感数据加密静态敏感数据确保加密算法是最新且强大的使用正确的密钥管理使用安全协议(如TLS)加密传输中的数据通过HTTP严格传输安全(HSTS)强制加密不缓存敏感数据使用强的、自适应的和加盐的哈希函数(例如Argon2、scrypt、bcrypt或PBKDF2)存储密码。验证配置和设置的有效性UpGuard BreachSight可以帮助您在泄漏的凭证和暴露的数据落入坏人之手之前检测它。我们能够在30分钟内检测到AWS工程师在GitHub存储库中公开的数据。我们之所以能够做到这一点,是因为我们积极地在开放式和深度web上发现公开的数据集,搜索S3存储桶、公共GitHub存储库以及不安全的RSync和FTP服务器。要了解有关防止敏感数据暴露的更多信息,OWASP建议:OWASP主动控制:保护数据OWASP应用程序安全验证标准(V7,9,10)OWASP备忘单:传输层保护OWASP备忘单:用户隐私保护OWASP备忘单:密码和密码存储OWASP备忘单:HSTSOWASP测试指南:弱加密测试CWE-220:通过数据查询暴露敏感信息CWE-310:加密问题CWE-311:缺少加密CWE-312:敏感信息的明文存储CWE-319:敏感信息的明文传输CWE-326:弱加密CWE-327:损坏/风险密码CWE-359:暴露私人信息(侵犯隐私)4XML外部实体(XXE)攻击者可以利用易受攻击的可扩展标记语言(XML)处理器进行攻击,这些处理器上载XML或在XML文档中包含恶意内容这是因为许多旧的XML处理器允许指定外部实体,例如硬盘驱动器。 这意味着,就像注射

,服务器防御cc攻击