Web應(yīng)用安全的七大“致命”錯誤

阿卡邁(Akamai)最近的《互聯(lián)網(wǎng)安全狀況》報告中寫道：“絕大部分Web應(yīng)用攻擊都是沒有特定目標(biāo)的大范圍漏洞掃描，但少數(shù)攻擊確實是為入侵特定目標(biāo)而進行的針對性嘗試。無論哪種情況，攻擊都非常頻繁而‘嘈雜’，難以準(zhǔn)確檢測，以致許多公司企業(yè)都無法保證其Web應(yīng)用防火墻(WAF)能夠有效運行，也沒有空余時間來擔(dān)心其系統(tǒng)可能漏掉了什么?！?/p>

2016年第4季度到2017年第4季度期間，Web應(yīng)用攻擊增長了10%，整體呈上升趨勢。

公司企業(yè)至少應(yīng)加強代碼安全，減少自身層面上的風(fēng)險。那么，在Web應(yīng)用方面，公司企業(yè)往往又會犯下哪些“致命”的安全錯誤呢?

1.依然存在SQL注入漏洞

或許難以置信，但SQL注入漏洞今年12月份就該過20周歲生日了。而即便到了現(xiàn)在，SQL注入依然活躍在大量網(wǎng)站和Web應(yīng)用中。安全監(jiān)控公司 Alert Logic 的研究顯示，SQL注入攻擊長期以來一直都是最普遍的Web攻擊方式，占該公司客戶報告事件的55%。

2.不安全的反序列化

反序列化過程就是應(yīng)用接受序列化對象(序列化是將對象以某種形式編碼以便于存儲或傳輸)并將其還原的過程。如果反序列化過程不安全，可能會出現(xiàn)大問題。

即便開發(fā)人員知道不能信任用戶輸入，但序列化對象總被高看一眼，在處理序列化對象的時候安全意識往往會松懈。這種情況下，不安全的反序列化過程不過是發(fā)送攻擊載荷的另一種方式而已。

Imperva Incapsula 報告稱，不安全反序列化攻擊近期快速抬頭，2017年最后3個月里增長了300%，可能是受非法加密貨幣挖礦活動的驅(qū)動。

其中最大的擔(dān)憂就是，該不安全性可輕易導(dǎo)致Web應(yīng)用暴露在遠(yuǎn)程代碼執(zhí)行的威脅之下——攻擊者戰(zhàn)術(shù)手冊中排名第二的攻擊技術(shù)。開放Web應(yīng)用安全計劃(OWASP)去年將不安全反序列化納入其十大漏洞列表的原因之一正在于此。不安全反序列化可造成什么后果呢?最鮮明的例子就是Equifax大規(guī)模數(shù)據(jù)泄露事件——據(jù)稱就是應(yīng)用不安全反序列化漏洞發(fā)起的。

3.依賴開源組件

說到Equifax數(shù)據(jù)泄露事件，攻擊者利用的反序列化漏洞并沒有包含在底層軟件代碼本身當(dāng)中，而是存在于嵌入該軟件的開源 Apache Struts 組件里。

這就引出了Web應(yīng)用安全中的另一個致命因素——依賴未打補丁的風(fēng)險性開源組件。軟件開發(fā)中開源組件的應(yīng)用越來越廣，開發(fā)小組往往并沒有跟蹤都有哪些組件應(yīng)用到了哪個位置，更別說跟蹤所用版本和組件依賴關(guān)系了。

開發(fā)人員喜歡根據(jù)組件的流行程度來假定其安全性，總覺得越多人用的組件就越安全。然而，組件或庫可能會依賴其他庫，產(chǎn)生復(fù)雜的依賴鏈。依賴鏈深層可能會有安全防護很弱的庫，甚至可能會出現(xiàn)多種惡意行為，讓用了這些組件的軟件面臨所謂的供應(yīng)鏈攻擊風(fēng)險。

4.未使用內(nèi)容安全策略阻止跨站腳本

XSS是往帶漏洞Web應(yīng)用中插入惡意代碼的常見手段。與其他類型的Web攻擊不同，XSS的目標(biāo)不是Web應(yīng)用，而是使用Web應(yīng)用的用戶，最終傷害的是公司企業(yè)的聲譽及其客戶。

與SQL注入類似，XSS誕生已久，但仍對公司企業(yè)造成傷害和威脅。阻止XSS攻擊的最有效方式是使用內(nèi)容安全策略(CSP)——發(fā)展良好但仍未被大多數(shù)網(wǎng)站采納的技術(shù)。

Mozilla Observatory 掃描Alexa排名前100萬的網(wǎng)站發(fā)現(xiàn)，當(dāng)前僅0.022%的網(wǎng)站使用了CSP。使用CSP但忽略了內(nèi)聯(lián)樣式表(CSS)的站點則占0.112%，稍微多一點點。

5.信息泄露

White Hat Security 表示，50%的應(yīng)用都有某種信息泄露漏洞。Veracode標(biāo)定的信息泄露漏洞存在比率更高——65.8%。這些漏洞會將有關(guān)應(yīng)用本身、應(yīng)用所處環(huán)境或應(yīng)用用戶的信息暴露給黑客，供黑客進行進一步的攻擊。

信息泄露可以是用戶名/口令泄露的嚴(yán)重程度，也可以是軟件版本號暴露這種“無害”的程度。通常重新配置一下就能堵上漏洞，但緩解過程卻往往視泄露數(shù)據(jù)的種類而定——敏感數(shù)據(jù)就及時解決，其他數(shù)據(jù)則不然。

然而，問題在于，即便是軟件版本號這種“無害”的泄露，都能給黑客帶來攻擊上的優(yōu)勢，為其將來的攻擊鋪平道路。

6.API漏洞

去年Web應(yīng)用頂級威脅還包括防護不周的API。

API在最近幾年很是火爆，開發(fā)人員在打造應(yīng)用的時候經(jīng)常用到API——作為向其他應(yīng)用提供服務(wù)或數(shù)據(jù)的一種方式。但不幸的是，這些API在Web應(yīng)用中實現(xiàn)時往往沒怎么考慮過安全問題，而且這些防護不周的API還通常沒納入到傳統(tǒng)應(yīng)用安全測試過程中。

OWASP去年的十大安全漏洞榜單中也因此而將防護不周的API包含了進來。隨著越來越多的公司企業(yè)將API用作當(dāng)今開發(fā)運維團隊鐘愛的輕量級快速部署軟件間的潤滑劑，API漏洞威脅也隨之增大了。

Imperva幾個月前的一項研究表明，公司企業(yè)平均管理著363個API，其中2/3都對公眾和合作伙伴開放。

7.忽視傳輸層保護

公司企業(yè)在部署HTTPS上做得越來越好了，但距離理想程度還有很長一段路要走。

上個月 Mozilla Observatory 掃描的結(jié)果顯示，Alexa 排名前100萬的網(wǎng)站中54.3%已使用HTTPS，比去年夏天的掃描結(jié)果高出19%，很不錯的進步。但這一結(jié)果也反映出，還有接近一半的頂級網(wǎng)站依然落后于時代。

不僅如此，當(dāng)前狀態(tài)距離絕大多數(shù)站點禁用HTTP也還很遠(yuǎn)。禁用HTTP通過應(yīng)用 HTTP 嚴(yán)格傳輸安全協(xié)議(HSTS)實現(xiàn)，Mozilla表示，Alexa 前100萬頂級網(wǎng)站中用了HSTS的僅占6%。