我敢打赌,如果您还不知道“道德黑客”之类的话,您的脸上就会有“惊讶的表情”. 您甚至可能在考虑黑客如何成为道德规范。现在,我假设是这样,因为我是第一次学习道德黑客,这正是我的想法. 然而: 简而言之,道德黑客就是通过使用实际的黑客策略来定位信息系统和网站的漏洞,然后让网络,信息系统或站点的所有者知道可以通过以下方式入侵和入侵他们的设置:做你所做的一样. 当相关网站和系统的所有者了解此类漏洞和漏洞时,他们不会对道德黑客感到恼火,但他们会向他们支付可观的支票作为奖金,甚至雇用他们以使系统坚不可摧. 让我向您展示一些企业雇用道德黑客的有趣场景. 当您知道您的网站可能被黑客入侵时 想一想经常受到黑客攻击的网站。这样的网站可以是重要的,中等大小的. 如今,黑客最常见的做法是入侵系统并以比特币的形式索要赎金. 所以: 假设您的网站最近遭到邪恶的黑客攻击,并且成功进行了数据盗窃尝试. 然而: 幸运的是,这些数据并不是那么重要。那没有任何金钱价值,而且您知道黑客会回来获取有意义的数据,因此他们可以在Dark Web上出售或索要赎金。. 在这种情况下,您可以在尝试进行黑客攻击后立即与一些经过认证的道德黑客联系,并要求他们在您的系统周围建立更好的防火墙。. 这些黑客还将执行其他检查,并确保您填补了漏洞. 因此,让团队中的道德黑客打败黑帽黑客是最关键的情况之一. 你猜怎么着? 甚至 Twitter付钱给黑客 闯入其系统,看看是否仍然存在任何漏洞. 保护最受保护的资产 曾经有过这样的骗局,即黑客追捕诸如Facebook或Google之类的网站,因为如果他们追捕任何一个,那将是一个巨大的游戏. 毫无疑问,许多大型网站都发生了数据泄露事件,包括 谷歌. 然而: 这些都是价值数十亿美元的公司,其网络和系统对于黑客而言并不容易破解. 这就是为什么您会听汤姆,迪克和哈利的故事。如今,拥有稍微著名网站的每个人都会收到那些“黑客或比特币”电子邮件. 在目前的日子里,雇用经认证的道德黑客来保护公司网站或您网站应用程序等受保护程度最低的资产非常重要。. 从物理托管迁移到云托管时 当您知道您的网站托管在物理或“本地”服务器上时,您会非常清楚地知道,进入该网站并非易事. 我们看到黑帽黑客数量激增是有原因的。原因是云计算。我不在这里. 我们知道云计算是一项了不起的创新,它减少了此人与该服务器之间的距离. 然而: 我们还知道,虚拟化和IT外包已经消除了边界并降低了防护。威胁的程度有所增加,因为现在您的心血结晶确实位于您可以控制的地方,但是无处不在. 在这种情况下,您甚至更需要合乎道德的黑客,因为随着计算的简便性,线程的级别也增加了. 当您面临财务欺诈威胁时 黑客攻击不是一维游戏。黑客行为有很多方面,就像纪律一样,其中之一就是财务欺诈. 当您可以直接入侵银行帐户和信用卡/借记卡数据以滥用它们时,为什么要入侵网站并出售数据或勒索网站所有者以回购数据. 可能对财务舞弊构成真正威胁的组织和机构是银行. 有比银行账户持有人的存款被抢劫更多的证据,证明有必要成为道德黑客吗?? 几乎没有任何系统比在线银行系统更安全,但是在许多不同的国家,黑客已经成功地入侵了银行. 所以是的,您可能需要有人来保存您的金融资产. 积极主动 & 抢先保护 谁不想在攻击发生之前停止攻击? 贼来时谁不想准备? 是: 我们所有人都想积极主动地保护我们宝贵的业务和资产. 这与道德黑客有什么关系?好吧,自然而然地,有道德的黑客是主动采取行动并提前阻止渗透的人. 想象一下,当您最期待黑客的时候就聘请他们来获得业务成功的边缘,并想象当他们看到您的系统100%防止黑客企图时,他们的感受。. 局外人的意见有帮助 您是否曾在下象棋或象象棋这样的其他游戏时发生过这样的事情,即仅仅是观众而不是玩游戏的人对游戏的看法更好而又不同? 这个家伙经常预见到即将来临的攻击和意想不到的动作。而且,这是从不同角度看比赛并且知道101种立即进行核对的人….
9个移动应用扫描程序,以查找安全漏洞
测试您的移动应用是否具有 安全漏洞 并修复它,以免损害您的商业声誉. NowSecure的最新研究表明 25%的移动应用 包含至少一个高风险安全漏洞. 金融应用程式的59% 在Android上有三个OWAS Mobile十大风险. 移动设备的使用在增长,因此移动应用程序。苹果应用程序商店中有超过20亿个应用程序 & Google Play商店中有220万. 有多种类型的漏洞,其中一些 危险 是: 通过网络泄漏个人用户敏感数据(电子邮件,凭据,IMEI,GPS,MAC地址) 很少或没有加密的网络通信 具有世界可读/可写文件 任意代码执行 恶意软件 如果您是所有者(开发人员),那么您应该尽一切努力保护您的移动应用. 网站上有很多安全漏洞扫描程序,下面的内容应该可以帮助您发现移动应用中的安全漏洞. 这篇文章中使用的一些缩写. APK – Android套件套件 IPA – iPhone应用程序存档 IMEI –国际移动设备身份 GPS –全球定位系统 MAC –媒体访问控制 API –应用程序编程接口 OWASP –开放式Web应用程序安全项目 Ostorlab Ostorlab 让您扫描您的Android或iOS应用,并为您提供有关发现的详细信息. 您可以上传APK或IPA应用程序文件,几分钟之内您将获得安全扫描报告. 您可以上传以扫描的应用程序文件的最大大小为 60MB 但是,如果您的应用程序大小大于60MB,则可以与他们联系以通过API调用上传. 它基于 开源的 就像Androguard和Radare2。最好使用Ostorlab扫描您的移动应用程序. 宣传 查找您的移动应用程序中的安全漏洞 宣传 并在几分钟内获得深入的漏洞报告. 使用Appvigil,您不仅可以获得安全隐患的详细信息,而且还可以获得补丁程序的建议,因此您可以立即对其进行修复。….
HTML5如何改变网络安全性?
Google的 公告 他们用闪光灯完成的动作是Flash棺材中的最后一个钉子. 甚至在此之前,名人技术官僚喜欢 史蒂夫·乔布斯 公开反对Flash. 随着Flash的消失和HTML5的兴起,新时代已经来临,它具有外观更好,功能更好的网站,这些网站与手机和PC兼容. 传输和接收数据也比以前更加直接. 但是,它提出了需要克服的独特挑战. 这样做的好处是html5将跨浏览器的支持和功能提升到一个全新的水平. 某些浏览器不支持单个网站元素,因此必须更改网站元素以保持外观与外观令人沮丧. HTML5放弃了该要求,因为所有现代浏览器都支持. 跨域资源共享 跨域资源共享(CORS)是html5最有影响力的功能之一,也是预示错误和黑客攻击的最大可能性的功能. CORS 定义标题,以帮助站点定义起源并促进上下文交互. 使用html5,CORS会使浏览器上的基本安全机制静音,即 相同原产地规则. 在相同的来源策略下,仅当两个网页具有相同的来源时,浏览器才能允许该网页访问第二个网页中的数据. 什么是起源? 来源是URI方案,主机名和端口号的组合。此策略可防止恶意脚本执行和访问网页中的数据. CORS通过允许不同站点访问数据以允许上下文交互来放宽此政策. 这可能会导致黑客接触敏感数据. 例如, 如果您已登录Facebook并保持登录状态,然后访问另一个站点,则攻击者可能会利用宽松的跨域策略来窃取信息并对您的Facebook帐户执行他们希望做的任何事情。. 稍微有点不高兴的是,如果用户登录了他的银行帐户却忘记了注销,则黑客可能会访问该用户的凭据,他的交易,甚至创建新交易. 浏览器通过存储用户详细信息,使会话cookie处于打开状态以供利用. 黑客还可以混入标题以触发未经验证的重定向. 当浏览器接受不受信任的输入时,可能会发生未经验证的重定向。依次转发转发请求。可以修改不受信任的URL,以向恶意站点添加输入,从而通过提供看起来与实际站点相同的URL来启动网络钓鱼诈骗。. 未经验证的重定向和转发攻击也可以用于恶意制作URL,该URL将通过应用程序的访问控制检查,然后将攻击者转发给他们通常无法访问的特权功能. 这是开发人员应注意的事情,以防止这些事情发生. 开发人员应确保将URL传递给打开。如果这些是跨域的,则可能容易受到代码注入的攻击. 另外,如果URL是相对的,或者它们指定了协议,请注意。相对网址未指定协议,即我们不知道它是以HTTP还是https开头。浏览器假定两者都正确. 不要依赖Origin标头进行访问控制检查,因为它们很容易被欺骗. 您如何知道是否在特定域上启用了CORS? 好了,您可以使用浏览器中的开发人员工具来检查标题. 跨域消息传递 以前在浏览器中不允许跨域消息传递,以防止跨站点脚本攻击. 这也阻止了网站之间的合法通信的发生,这使得大量的跨域消息传递现在. Web消息传递允许不同的API轻松交互. 为了防止跨脚本攻击,这是开发人员应该做的. 他们应说明消息的预期来源 原始属性应始终进行交叉检查和数据验证. 接收页面应始终检查发送者的来源属性。这有助于验证接收到的数据确实是从预期位置发送的. 接收页面还应该执行输入验证,以确保数据为所需格式. 交换的消息应解释为数据而非代码. 更好的存储 html5的另一个功能是可以提供更好的存储。无需依赖Cookie来跟踪用户数据,而是启用了浏览器来存储数据. HTML5允许跨多个窗口进行存储,具有更高的安全性,即使关闭浏览器后也可以保留数据。无需浏览器插件即可进行本地存储. 这带来了不同的麻烦. 开发人员应注意以下事项,以防止攻击者窃取信息. 如果网站存储了用户的密码和其他个人信息,那么黑客可能会访问它。如果未加密,则可以通过Web存储API轻松窃取此类密码。因此,强烈建议对所有有价值的用户数据进行加密和存储. 此外,许多恶意软件有效载荷已经开始扫描浏览器缓存和存储API,以查找有关用户的信息,例如交易和财务信息。. 结论思想 HTML5为Web开发人员提供了绝佳的机会来修改和使事情更加安全….
8个Drupal安全扫描程序来查找漏洞
如何在Drupal CMS(内容管理系统)中查找安全漏洞? Drupal是第三大开源CMS,与 市场份额超过4.5%. 由他们提供支持的网站将近一百万个,足以吸引攻击者和黑客. 如果您将Drupal用于您的网站,并且不确定该网站是否不受已知漏洞的侵扰,不公开敏感信息,配置错误等,那么以下工具将为您提供帮助. 准备探索? 我们开始做吧. 德鲁普斯坎 德鲁普斯坎 是基于python的扫描程序,可帮助安全研究人员在已安装的Drupal版本中查找基本风险。这个小程序完成以下四个主要检查. 外挂程式 主题 版本号 特殊网址(管理员,自述文件,变更日志等) [受电子邮件保护]:〜/ droopescan#droopescan扫描drupal -u http://bloggerflare.com [+]找不到主题. [+]找到了可能有趣的网址: 默认管理员-http://bloggerflare.com/user/login [+]可能的版本: 8.5.0 8.5.0-alpha1 8.5.0-beta1 8.5.0-rc1 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6 [+]找不到插件. [+]扫描完成(经过0:03:32.286747) 您可能已经意识到;这不是在线扫描仪,因此您必须安装Python并在服务器上克隆代码以运行测试. 您可以同时对多个URL进行测试,结果将显示在终端上。 Droopescan还可以与WordPress,Joomla,Moodle和SilverStripe一起使用。但是对于WordPress,我建议您检查此扫描仪列表. 渗透测试工具 Drupal漏洞扫描依据 渗透测试工具 是一种在线扫描程序,您可以在其中审核站点安全性,以发现插件,配置和核心文件中的漏洞. 扫描结果有很好的解释,您可以选择以PDF格式获取扫描结果。您需要50个积分才能运行此工具. 德鲁旺 一个基于python的实用程序,用于对Drupal 6和8版本进行枚举和利用。你可以跑 德鲁旺 有两种模式. 枚举检查以下内容. 饼干 用户代理 记录中 用户 节点 模组…
如何使用Nikto Scanner查找Web服务器漏洞
使用Nikto扫描仪免费扫描Web服务器中的漏洞和配置错误 97% 的应用测试 信任波 有一个或多个弱点. 和 14% 被调查的入侵是由于配置错误。配置错误会导致严重的风险. 有许多在线漏洞扫描程序可以在Internet上测试您的Web应用程序. 但是,如果您要测试Intranet应用程序或内部应用程序,则可以使用 尼克托 网络扫描仪. Nikto是由以下公司编写的开源扫描仪 克里斯·沙洛, 并且可以与任何Web服务器(Apache,Nginx,IHS,OHS,Litespeed等)一起使用。听起来像是用于Web服务器扫描的完美内部工具. Nikto扫描结束 6700项目 检测错误配置,危险文件等,其中一些功能包括; 您可以将报告保存为HTML,XML,CSV 支持SSL 扫描服务器上的多个端口 查找子域 Apache用户枚举 检查过时的组件 检测停车位 让我们开始安装以及如何使用此工具 可以将其安装在支持Perl的Kali Linux或其他OS(Windows,Mac OSX,Redhat,Debian,Ubuntu,BackTrack,CentOS等)上。. 在本文中,我将解释如何在 卡利Linux & CentOS的. 注意: 执行扫描会对您的Web服务器提出很多请求. 在Kali Linux上使用Nikto 由于它内置在Kali中,因此您无需安装任何内容. 登录到Kali Linux 转到应用程序 >> 漏洞分析并单击nikto 它将打开终端,您可以在其中对Web服务器运行扫描. 您可以使用多种方式/语法来运行扫描。但是,最快的方法是: #nikto –h $ webserverurl 不要忘记使用您的网络服务器实际IP或FQDN更改$ webserverurl. [受电子邮件保护]:〜# nikto -h thewebchecker.com…
监视网站变化的7大工具
生活就是惊喜。但是在商业中,不希望有惊喜,特别是在您的网站受到关注时. 对于在线运营的企业来说,处理所有事情似乎是不可能的. 您无法控制谁访问了您的网站,人们使用哪种方式欺骗/破坏系统以及客户对它的评价。但是,您可以控制(监视)的是网站中包含的内容,无论是代码文件本身,页面和帖子,图像以及服务器上存储的其他文件,等等。统称为“网站更改”。 现在的问题是,你应该打扰吗? 为什么网站变更很重要 令人惊讶的是,企业主没有想到更多的网站更改。即使对于内容驱动型网站,内容对于企业来说是成败攸关的. 为什么? 也许他们已经习惯于认为这是遥不可及的。也许这是不可能的,或者太复杂了,以至于花费的资源都不值得? 我想说所有这些结论都是错误的. 网站更改时,可能意味着很多非常重要的事情. 安全攻击 几乎所有的Web应用程序都会在其环境或配置文件中存储一些配置数据(WordPress用户将识别wp-config.php文件)。对这些文件的更改(如果不是有意的)可能意味着安全威胁,结果是信息被盗,或更糟的是,信息是从损坏的源中馈送的. 这是在 DNS中毒攻击, 除了这次服务器将受到攻击并且攻击可能不会被注意之外. 资料来源:incapsula.com 这对于WordPress网站至关重要,在WordPress网站上,攻击者依赖于更改一些重要文件并以某种方式使其可访问。总而言之,如果您不对网站的内容和文件进行任何更改,但是有所更改,那将是一个警钟. 令人反感的内容 对于依赖用户生成内容的网站,风险更大。可能有一些随机用户(甚至是竞争对手!)在您的网站上发布亵渎或受版权保护的内容,从而使您陷入潜在的麻烦。即使您的网站不依赖用户生成的内容,也有可能有人以对您的业务运营造成麻烦的方式进行更改和添加/删除内容. 例如,如何确定某人没有意外删除您的隐私政策页面,这对于GDPR的遵守至关重要?或者,新的内容编写者使用的术语在政治上是不正确的,因此在您的行业中必须避免使用. ? 监视更改的应用程序是无限的,具体取决于您关注的领域。例如,在以下情况下,您可以使用内容更改监视: 网站污损 页面元素丢失或损坏 计划外的代码更改(HTML或其他) 比赛监控 新闻监控(对您的PR部门有用) 一旦知道了要解决的问题,就该采取行动了–在我们接下来要讨论的一种工具的帮助下. Versionista Versionista 是一种“简单,功能强大的SaaS解决方案”,可满足您的所有变更监视需求。对于那些想要进行大规模监视的人来说,它的效果特别好. 它可用于爬网您的网站页面,或仅用作新内容的发现工具。他们给我留下的最深刻印象是详细的报告。查看一些屏幕截图: 那只是冰山一角!查看 Versionista 现在. 助焊剂 监视公开可见的内容和文件很好,但是如果您的内容被锁定在登录表单后面怎么办?好, 助焊剂 解决这些问题. 得益于它使用的最新工具,例如 无头铬 和 木偶戏, Fluxguard可以提交登录表单并轻松与页面的任何部分进行交互。你也可以 进行Google Lighthouse审核 到您的整个网站. Fluxguard的一些出色功能包括: 跟踪整个网络活动 Cookie跟踪用户体验和合规性 证明历史合规性的档案 进阶筛选器和转换 详细的页面视觉比较 可视化 我崇尚简约和极简主义,所以我不能忽略以激光为重点的解决方案。一样 可视化 如果您正在寻找简单的页面级监控,并且想放弃一个简单的定价模型….
企业可提高应用程序安全性的5大漏洞赏金平台
只有黑客才能像黑客一样思考。因此,当涉及“防黑客”时,您可能需要求助于黑客. 应用程序安全性一直是一个热门话题,并且随着时间的流逝越来越热门. 即使我们拥有大量防御工具和实践(防火墙,SSL,非对称加密等),也没有基于Web的应用程序可以声称它的安全性超出了黑客的能力. 这是为什么? 原因很简单,即构建软件仍然是一个非常复杂且脆弱的过程。基金会内部仍然存在错误(已知和未知),供开发人员使用,并且随着新软件和库的发布,正在创建新的错误。甚至顶级科技公司也为偶尔的尴尬做好了准备,这是有充分理由的. 正在招聘 。 。 。骇客! 鉴于错误和漏洞可能永远不会离开软件领域,那么企业该依靠什么生存软件呢?例如,如何使用新的钱包应用程序,确保它能够抵御黑客的讨厌尝试? 是的,您现在已经猜到了:通过雇用黑客来破解这个新创建的应用程序!他们为什么呢?只是因为提供了足够多的赏金-Bug赏金! 如果“赏金”一词带回了人们对荒野西部的回忆,而子弹却没有被抛弃,那便是这里的想法。您会以某种方式让最精英和知识渊博的黑客(安全专家)完善您的应用程序,如果他们发现了一些东西,他们就会得到回报。. 有两种解决方法:1)自己托管漏洞赏金; 2)使用漏洞赏金平台. Bug赏金:自托管与平台 当您只需自己托管一个漏洞悬赏平台时,为什么还要麻烦选择(并支付)漏洞悬赏平台。我的意思是,只创建一个包含相关详细信息的页面,并在社交媒体上发出一些声音。很明显它不会失败,对? 黑客不服气! 好吧,那是个好主意,但请从黑客的角度来看。争夺bug并非易事,因为它需要数年的培训,对新旧事物的了解几乎是无限的,决心无比,比大多数“视觉设计师”都更具创造力(对不起,这一点无法抗拒!: -P). 黑客不知道您是谁,或者不确定您要付款。或者,也许是没有动力。自托管赏金适用于Google,Apple,Facebook等主宰者,人们可以为自己的名字感到自豪。 “在XYZ Tech Systems开发的HRMS应用程序中发现一个严重的登录漏洞”听起来并不令人印象深刻(对任何可能与此名称相似的公司表示歉意!)? 然后还有其他一些实际的(且压倒性的原因)在漏洞悬赏方面不独处. 缺乏基础设施 我们一直在谈论的“黑客”不是跟踪黑暗网络的人. 那些人对我们的“文明”世界没有时间或耐心。相反,我们在这里谈论的是来自计算机科学领域的研究人员,这些研究人员要么在大学,要么在很长一段时间里一直是赏金猎人。这些人想要并以特定格式提交信息,这本身就是很难适应的. 即使是您最好的开发人员也很难跟上,机会成本可能会太高. 解决提交 最后,还有证明的问题。软件可能是基于完全确定性的规则构建的,但是究竟何时满足特定要求尚有待商debate。让我们举个例子来更好地理解这一点. 假设您为身份验证和授权错误创建了漏洞赏金。也就是说,您声称您的系统没有冒充冒充黑客的假冒风险。. 现在,黑客已经根据特定浏览器的工作方式发现了一个弱点,该弱点使他们能够窃取用户的会话令牌并模拟他们. 那是一个有效的发现吗? 从黑客的角度来看,肯定是因为违规就是违规。从您的角度来看,也许不是,因为您认为这属于用户的责任范围,或者浏览器根本就不是目标市场的关注点. 如果所有这些戏都是在漏洞赏金平台上发生的,那么有能力的仲裁员可以决定发现的影响并解决问题. 话虽如此,让我们来看一些流行的漏洞赏金平台. 哈克龙 在漏洞赏金计划中, 哈克龙 在访问黑客,创建赏金计划,传播信息和评估贡献方面是领导者. 使用Hackerone的方法有两种:使用平台收集漏洞报告并自行编制,或者让Hackerone的专家来做艰苦的工作(分类)。简单地分类是编译漏洞报告,对其进行验证以及与黑客进行通信的过程。. Google Play,PayPal,GitHub,Starbucks等知名人士都在使用Hackerone,因此,它当然适用于那些漏洞严重且口袋严重的人。 Bugcrowd Bugcrowd 提供了几种用于安全评估的解决方案,其中一个是Bug Bounty。它提供了一个SaaS解决方案,可以轻松集成到您现有的软件生命周期中,并且可以轻松运行成功的漏洞赏金计划. 您可以选择拥有一个私人漏洞赏金计划,该计划涉及选定的少数黑客或将数千人众包的公共黑客。. 安全帽 如果您是一家企业,并且不愿意公开您的Bug赏金计划-同时需要比典型的Bug赏金平台所提供的关注更多, 安全帽 您最安全的选择是(最糟糕的双关语,是吧?). 专用的安全顾问,深入的黑客资料,仅限受邀人员参与-所有这些都取决于您的需求和安全模型的成熟度. 英蒂里提…
保护Web应用程序服务器的8个基本技巧
在大多数情况下,Web应用程序服务器需要可公开访问,这意味着它们面临各种威胁. 这些威胁中有许多是可以预见和容易避免的,而其他威胁是未知的,可以使您措手不及。为了最大程度地降低后一种情况的可能性,我们提供了一些基本提示,以使Web应用程序服务器尽可能安全。. 在从技巧列表开始之前,您需要了解Web应用程序服务器不是孤岛。服务器是Web应用程序场中的核心组件,它使Web应用程序的托管和操作成为可能。因此,为了确保安全,您必须考虑围绕它的所有组件并保护整个Web应用程序环境. 托管和运行Web应用程序的基本环境包括操作系统(Linux,Windows),Web服务器软件(Apache,Nginx)和数据库服务器。如果将这些组件中的任何一个破坏了,攻击者就可以访问并执行他们想要的所有恶意操作. 保护上述环境的第一个基本提示是,阅读每个组件的安全准则和最佳实践列表。话虽如此,让我们回顾一下适用于几乎每个Web应用程序环境的一些常识性安全准则. 防火墙变得神秘 您可能会想快速检查此项目,以为:“幸运的是,我已经有了保护我的网络的防火墙。”但是你最好抱马. 您的防火墙可能会照顾好您的网络边界,将坏人拒之门外,将好人拒之门外,但可以肯定的是,这为攻击者入侵您的Web应用程序服务器留下了很大的空间. 怎么样? 简单:您的网络防火墙必须至少允许端口80和443(即HTTP和HTTPS)上的传入流量,并且不知道通过这些端口的是谁或什么. 保护应用程序所需的是Web应用程序防火墙(WAF),该防火墙可以专门分析Web流量并阻止任何利用漏洞的尝试,例如跨站点脚本或代码注入。 WAF的运行方式与典型的防病毒和防恶意软件类似:它会在数据流中查找已知的模式,并在检测到恶意请求时将其阻止. 为了有效,WAF需要不断用新的威胁模式更新其数据库,以便能够阻止它们。基于模式的攻击防范的问题在于,您的Web应用程序可能是WAF尚未意识到的新威胁的首要目标之一. 由于这些原因,您的Web应用程序除网络防火墙外还需要其他保护层. 扫描特定于Web的漏洞 再说一次,不要仅仅因为您的网络安全扫描仪就说您的Web应用程序服务器没有漏洞,. 网络扫描程序无法检测到特定于应用程序的漏洞。为了检测和消除这些漏洞,您必须对应用程序进行一系列测试和审核,例如渗透测试,黑盒扫描和源代码审核。但是,这些方法都不是防弹的。理想情况下,您应执行尽可能多的操作以消除所有漏洞. 例如,安全扫描器 Netsparker, 确保没有可利用的代码进入生产环境。但是可能存在只能通过手动代码审核才能检测到的逻辑漏洞。人工审核除了花费很多之外,还是一种人工操作,因此容易出错。在不浪费大量资金的情况下进行这种审核的一个好主意就是将其嵌入开发过程中,主要是通过教育开发人员. 教育您的开发人员 开发人员倾向于认为他们的应用程序可以在理想的环境中运行,资源是无限的,用户不会犯错误,没有人有残酷的意图。不幸的是,在某些时候,他们需要面对现实中的问题,尤其是有关信息安全的问题. 在开发Web应用程序时,编码人员必须了解并实施安全机制,以确保它没有漏洞。这些安全机制应该是开发团队必须遵守的最佳实践指南的一部分. 软件质量审核用于确保遵守最佳实践。最佳实践和审核是检测逻辑漏洞的唯一方法,例如(例如)在URL内传递未加密和可见的参数,攻击者可以轻松地更改这些参数以执行其所需的操作. 关闭不必要的功能 假设网络应用程序尽可能没有错误并且网络服务器场是安全的,那么让我们看看可以在服务器本身上做些什么来保护它免受攻击. 一个基本的常识性提示是减少潜在易受攻击的入口点的数量。如果攻击者可以利用Web服务器的任何组件,则整个Web服务器可能会处于危险之中. 列出所有 打开端口 并在服务器上运行服务或守护程序,然后关闭,禁用或关闭不必要的服务或守护程序。该服务器除运行您的Web应用程序外,不得用于任何其他目的,因此请考虑将所有其他功能移至网络中的其他服务器. 使用单独的环境进行开发,测试和生产 开发人员和测试人员需要在其工作的环境上拥有特权,而特权不应在实时应用程序服务器上拥有。即使您盲目地信任他们,他们的密码也很容易泄露并落入不想要的手. 在开发和测试环境中,除了密码和特权外,通常还有一些后门程序,日志文件,源代码或其他调试信息可能会泄露敏感数据,例如数据库用户名和密码。 Web应用程序部署过程应由管理员完成,该管理员必须确保在将应用程序安装到实时服务器上后不会暴露任何敏感信息。. 需要将相同的隔离概念应用于应用程序的数据。测试人员和开发人员始终喜欢使用实际数据,但是授予他们对生产数据库甚至数据库副本的访问权限不是一个好主意。除了明显的隐私问题外,数据库还可以包含可显示内部服务器设置的配置参数,例如端点地址或路径名,仅举几例。. 保持服务器软件更新 看起来似乎很明显,这是最容易被忽视的任务之一。 SUCURI发现59%的CMS应用程序已过时,这存在风险. 每天都会出现新的威胁,防止威胁到服务器的唯一方法是始终安装最新的安全补丁程序。. 我们之前提到过,网络防火墙和网络安全扫描程序不足以防止对Web应用程序的攻击。但是它们对于保护服务器免受常见的网络安全威胁(如DDoS攻击)是必不可少的。因此,请确保您的此类应用程序始终处于更新状态,并有效地保护了您的业务应用程序. 限制访问和特权 一种基本的安全措施是使远程访问通信(例如RDP和SSH)保持加密和隧道传输状态。最好保留允许远程访问的IP地址的列表,以确保阻止任何从其他IP远程登录的尝试. 管理员偶尔会赋予服务帐户所有可能的特权,因为他们知道这样做“一切都会起作用”。但这不是一个好习惯,因为攻击者可以利用服务中的漏洞来穿透服务器。如果这些服务以管理员权限运行,则它们可以占用整个服务器. 安全性和实用性之间的良好平衡要求每个帐户(登录帐户和服务帐户)都具有执行其工作所需的特权,而没有其他特权. 例如,您可以为管理员定义不同的帐户以执行不同的任务:一个帐户进行备份,另一个帐户清理日志文件,其他帐户更改服务的配置,等等。这同样适用于数据库帐户:应用程序通常仅需要读取和写入数据的权限,而无需创建或删除表。因此,它应该使用具有受限权限的帐户运行,以执行其需要执行的任务. 密切注意服务器日志 日志文件存在是有原因的. 管理员应定期对其进行监视,以在其造成任何损害之前发现任何可疑行为。通过分析日志文件,您可以发现很多信息,以帮助您更好地保护应用程序。如果发生攻击,日志文件可以向您显示攻击的时间和方式,从而有助于更好地控制损失. 您还必须具有一个自动过程,以删除旧的日志文件或删节过时的信息,以防止它们消耗服务器中的所有可用存储空间。. 温馨提示:随时了解最新情况 互联网上有很多免费有用的信息,您可以利用它们来受益于Web应用程序。不要错过知名安全博客上的任何新帖子(如本篇文章),并随时了解安全和网络行业的最新动态. 讲解, 培训班, 视频和书籍也是有用知识的来源。练习一周花费一两个小时,以便随时了解行业新闻-知道您在做正确的事情来保护应用程序安全,这会让您放心.