在当今科技至上的世界, 企业需要确保他们的数字资产得到充分保护,免受攻击. 在许多情况下,面向internet的应用程序已成为攻击者的主要目标. Applications, 当没有适当硬化和测试, 是否可以提供对敏感数据的访问,甚至允许对底层操作系统进行全面攻击.

However, 由于应用程序环境日益复杂, 当涉及到改进应用程序安全性时,许多企业都难以确定从哪里开始. 动态应用程序安全测试(DAST)是一种“有限的知识”,,这意味着不能访问源代码, LBMC Cybersecurity使用一种测试方法,通过搜索可能被攻击者利用的漏洞,然后提供减轻已识别的安全问题及其“根本原因”的建议,来评估处于运行状态的特定应用程序的安全性.”

以帮助确定这种性质的应用程序安全性评估是否适合您的需求, 下面概述了在进行应用程序安全评估时需要考虑的重要领域.

应用程序安全评估的好处

以下是考虑应用程序安全评估的几个重要原因:

  1. 识别网站或应用程序中可利用的安全风险. 无论你的应用是由内部开发还是由第三方开发, 重要的是要确保它不会受到常见应用程序安全问题的影响.
  2. 改善你的整体安全状况. 除了识别潜在的风险, 应用程序安全评估还提供了解决这些问题的可行步骤. 而修复在测试期间发现的问题是很重要的, 对已确定问题的“根本原因”的分析还可以改进不安全的SDLC过程.
  3. 确保你的应用程序符合网络安全法. 除了确保你的应用程序得到充分的保护, 考虑适用于您的业务的特定行业法规也很重要. 无论你是想要开发在线购物门户网站的零售商,还是想要为病人开发应用程序的医院, 确保你的应用符合最新的监管要求是很重要的.

在进行应用程序安全评估之前要考虑的重要问题

在确定应用程序安全评估中应该测试的范围时,有许多不同的因素, 有几个关键问题可以帮助确定合适的测试方法:

  1. 谁最有可能构成潜在威胁? 重要的是要考虑谁可能试图滥用此应用程序. 是互联网上的匿名用户吗? Your customers? Internal users?
  2. 你想保护什么样的数据? 确定您希望保护的数据类型, 数据的敏感性, 这些数据的位置将有助于优先考虑安全措施.
  3. 您的应用程序的攻击面是什么样的? 定义要暴露的信任边界和攻击面, 不受信任的用户和受信任的用户, is important.
  4. 过去,您在哪些方面遇到过与应用程序相关的安全问题? 这可能会为您指出潜在的关注领域. 过去发生过哪些应用程序安全事件(如果有的话)?

花时间回答这些问题是最大化应用程序安全评估有效性的重要步骤. 回答这些问题可以更容易地确定识别和纠正潜在问题的优先级.

应用程序安全漏洞示例

我们LBMC网络安全团队发现,最有效的评估采用的测试方法涵盖, 但不限于, 常见的应用程序安全漏洞,例如开放Web应用程序安全项目(OWASP)中概述的漏洞。十大应用安全风险.以下是10个漏洞类别的简要概述:

  1. Injection Flaws. 注入缺陷非常普遍,特别是在遗留代码中. 最广为人知的注入漏洞被称为SQL注入(SQLi)。.
  2. 破碎的身份验证. 因为许多身份验证和会话管理功能通常没有正确实现, 它们经常在注销等方面存在缺陷, password management, timeouts, remember me, secret question, account update, etc.
  3. 敏感数据暴露. 最常见的缺陷之一就是不加密敏感数据. 当使用密码学时, 弱密钥生成和管理, 弱算法的使用是常见的, 特别弱的密码散列技术.
  4. XML外部实体(XXE). 较旧或配置较差的XML处理器评估XML文档中的外部实体引用, 允许使用外部实体来公开内部文件, 内部文件共享, 内部端口扫描, 远程代码执行, 甚至是拒绝服务攻击.
  5. 中断访问控制. 因为对经过身份验证的用户的限制并不总是正确执行的, 攻击者可以利用漏洞访问未经授权的数据或功能.
  6. 安全错误配置. 安全配置错误是最常见的问题,可能发生在应用程序堆栈的任何级别,并且是黑客容易访问的领域.
  7. 跨站点脚本(XSS). 当应用程序在发送到浏览器的页面中包含用户提供的数据而没有正确验证或转义该内容时,就会出现XSS缺陷.
  8. 不安全的反序列化. 不安全的反序列化可能导致远程代码执行, but even if not, 它可以用来执行重放, injection, 以及特权升级攻击.
  9. 使用具有已知漏洞的组件. 实际上,每个应用程序都有这些问题,因为大多数开发团队没有关注确保他们的组件/库是最新的.
  10. 足够的日志 & Monitoring. 再加上与事件响应的集成缺失或无效, 不充分的日志记录和监控可能会允许攻击者进一步进入系统,从而造成更大的破坏.

你的应用程序易受攻击吗??

在LBMC网络安全,我们希望确保你能回答这个问题. 如果您希望进行应用程序安全评估, 详细了解明升体育app下载团队如何帮助您识别潜在的安全漏洞,并创建可操作的计划,以保护对您的业务至关重要的应用程序和系统. Contact us here.

内容由LBMC首席安全顾问Andrew Smith提供.