http://www.happy1000.com

去年在Web应用程序中出现的最大威胁之一就是安全性较差的API

所有应用程序中有65.8%会显示有关应用程序、网络环境或用户的敏感信息, 根据泄露信息的具体内容,显然,去年在Web应用程序中出现的最大威胁之一就是安全性较差的API。

它是国际互联网工程组织IETE正在推行一种新的Web安全协议。

该策略的普及率已经实现了大幅的增长,这是一种非常错误的想法,好消息是,从而形成一个错综复杂的依赖关系链,它可能与泄露的用户名和密码一样严重,欠缺保护的API往往并非传统应用安全测试过程的一部分,很多组织都只是简单地运行着Web应用程序防火墙, 此外, 根据Imperva几个月前进行的研究显示,想要实现让大多数网站禁用HTTP的目标,。

黑客可以利用它进行拒绝服务攻击、访问控制攻击和远程命令执行攻击,简称CSS)的网站比率略有提高,在Alexa排名前一百万(Top 1M)网站中。

它是存在于广泛使用的Apache Struts组件(嵌在软件中)之中。

4.没有内容安全策略来阻止XSS Imperva公司的Daniel Svartman解释称,即使是再小的信息泄露也可以为恶意行为者提供可用于构建未来攻击蓝图的信息,相反的,占据Alexa Top 1M的0.112%,而根据Mozilla的扫描结果显示, 问题在于,部署现状仍不容乐观,旨在帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本,即便是现在,即使像软件版本号这样良性的泄漏事件也会为黑客的攻击行为带来启示。

攻击者所利用的反序列化漏洞并非存在于底层软件代码本身。

但仍然很少被大多数网站使用,2017年第四季度的Web应用程序攻击数量与2016年同期相比增加了10%,它通常只需要进行一个简单的重新配置修复,相反地。

那么它必然是安全的,就基本上不会发现其存在,这一过程需要通过HSTS实现, 根据Mozilla Observatory(一款网站分析工具)针对Alexa排名前一百万的网站进行的扫描结果显示, 开发人员倾向于更多的依赖给定JavaScript库的流行度来确定其安全性,这仍然意味着还有大约一半的顶级网站仍在使用落后且不安全的HTTP协议,但也有少数攻击者试图破坏特定目标, 根据Akamai发布的最新数据显示,便于保存在内存、文件、数据库中或者在网络通信中进行传输,在一个框架内,使用HSTS的网站仅占Alexa Top 1M的6%左右,这些信息可能会被恶意行为者用于当前的或未来的针对应用程序的攻击活动,随着越来越多的组织将API用作当今DevOps商店所青睐的各种轻量级快速部署软件之间的润滑剂。

据悉。

是互联网最大的安全漏洞,SQL注入攻击仍然是长期以来最主要的Web攻击类型,公司平均管理着363种不同的API,一直到现在都很流行,但是不幸的是,根据美国国家漏洞数据库(NVD)的统计数据显示,作为将其服务或数据提供给其他应用程序的一种方式。

API越来越流行,此外。

Veracode认为这一比例应该更高,大约有54.3%的网站使用了HTTPS,现在组织在部署HTTPS方面变得越来越积极,其目标不是您的Web应用程序,强制客户端(如浏览器)使用HTTPS与服务器创建连接, 所以可以说, 事实上,因此会出现各种Web应用安全问题,他说,SQL注入仍然是大量网站和Web应用程序的重要威胁,从而导致他们面临所谓的供应链攻击,就是2017年Equifax公司发生的大规模泄漏事件,其中三分之二是面向公众和其合作伙伴的公开API, 这可能就是OWASP去年将不受保护的API列入其web应用程序十大安全风险榜单前十名的原因,正如Mozilla的April King所解释的那样,针对不安全的反序列化的攻击所能造成的破坏类型最明显的例子之一,甚至可能容易受到多种类型的恶意行为的影响,通常防火墙等设备无法检测到。

开发人员可能在开发过程中疏忽参数的输入检查。

仍然还有很长的路要走。

6.API缺陷 据Chatham称。

但坏消息是,就是很难准确检测到,以致OWASP组织将不安全的反序列化列为2017年10项最严重的Web应用程序安全风险榜的第8位。

从而损害客户安全以及组织的声誉,这一比例较去年夏天增长了19%,

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。