论文Web应用程序安全的七宗罪,该文是程序方面有关开题报告范文跟七宗罪和七宗罪解析和应用程序相关本科论文开题报告范文.
根据Akamai 发布的最新数据显示,针对Web 应用程序的攻击正在增加,2017 年第四季度的Web 应用程序攻击数量与2016 年同期相比增加了10%.
该公司的高级安全倡导者Martin McKeay 在其最近的《互联网安全状态报告》中写道,绝大多数的Web 应用程序攻击都是非目标扫描寻找易受攻击系统的结果,也有少数攻击者试图破坏特定目标.但是,无论是有目标还是无目标的Web 应用程序攻击都是非常频繁且“难辨的”———换句话说,就是很难准确检测到,很多组织都只是简单地运行着Web 应用程序防火墙,没有任何额外防御层来检测系统究竟丢失了哪些信息.
企业或机构需要改进他们的安全编码实践以降低自身在网络中的安全风险.以下这份清单重点介绍了组织的Web 应用程序所面临的一些最大威胁:
1.SQL 注入漏洞
Web 应用程序大多涉及服务器端的动态处理,同时,开发人员可能在开发过程中疏忽参数的输入检查,因此会出现各种Web 应用安全问题,并产生相关漏洞,例如目录遍历漏洞、信息泄露漏洞以及SQL 注入漏洞等,给攻击者留下可乘之机.
而由于SQL 注入漏洞利用Web 应用开放的端口,通常防火墙等设备无法检测到,所以其隐蔽性非常高,如果攻击者不留下痕迹,或是管理员没有查看数据库日志的习惯,就基本上不会发现其存在.
自安全研究人员Jeff Forrestal 首次详细介绍了第一个SQL 注入漏洞至今,已经过去了20 余年.但是,即便是现在,SQL 注入仍然是大量网站和Web 应用程序的重要威胁.根据美国国家漏洞数据库(NVD)的统计数据显示,SQL 注入在针对Web 应用程序攻击手段中名列榜首,是互联网最大的安全漏洞.
此外,根据Alert Logic 发布的另一项最新研究显示,SQL注入攻击仍然是长期以来最主要的Web 攻击类型,其在安全监控公司跟踪的所有客户攻击事件中占据55%.
2.不安全的反序列化
序列化就是把对象转换成一种数据格式,如Json、XML等文本格式或二进制字节流格式,便于保存在内存、文件、数据库中或者在网络通信中进行传输.反序列化是序列化的逆过程,即由保存的文本格式或字节流格式还原成对象.
很多编程语言都提供了这一功能,但不幸的是,如果应用代码允许接受不可信的序列化数据,在进行反序列化操作时,可能会产生反序列化漏洞,可以利用它进行拒绝服务攻击、访问控制攻击和远程命令执行攻击.
事实上,反序列化漏洞已经出现很久了,到现在都很流行,以致OWASP 组织将“不安全的反序列化”列为2017 年10项最严重的Web 应用程序安全风险榜的第8 位.针对不安全的反序列化的攻击所能造成的破坏类型最明显的例子之一,就是2017 年Equifax 公司发生的大规模泄漏事件,Equifax 公司正是由于未安装补丁以修复Apache Struts 中的相关安全漏洞,才导致于去年夏季发生了大规模的数据泄露事件.
3.依赖有风险的开源组件
说到Equifax 数据泄露事件,攻击者所利用的反序列化漏洞并非存在于底层软件代码本身.相反的,它是存在于广泛使用的Apache Struts 组件(嵌在软件中)之中.
这突出体现了Web 应用安全中的另一个致命隐患———即依赖有风险且未打补丁的开源组件.开发商越来越多地使用开源组件来构建他们的软件,而且通常不去跟踪哪个组件被部署到了哪些地方,更不用说跟踪哪些版本被使用以及这些组件本身是否依赖于其他易受攻击的组件.
Arbor Networks 公司安全评估工程师Will Chatham 表示,开发人员倾向于依赖给定JaScript 库的流行度来确定其安全性,这就产生了一个错误的假设———即如果很多开发人员正在使用它,那么它必然是安全的.显然,这是一种非常错误的想法.在一个框架内,一个库可能依赖另一个库,从而形成一个错综复杂的依赖关系链.在这些链条的深处,可能存在缺乏安全保护的库,甚至可能容易受到多种类型的恶意行为的影响,从而导致他们面临所谓的“供应链攻击”.
4.没有内容安全策略来阻止XSS
Imperva 公司的Daniel Svartman 解释称, 跨站点脚本(XXS)是一种常见的向量,可以将恶意代码插入到易受攻击的Web 应用程序中.与其他Web 攻击类型(如SQLi)不同,其目标不是您的Web 应用程序.相反地,它针对的是您的用户,从而损害客户安全以及组织的声誉.
不过,与SQLi 一样的是,XSS 也已经存在了很长一段时间,且至今仍在威胁企业安全.正如Mozilla 的April King 所解释的那样,阻止XSS 攻击最有效的方法之一就是使用内容安全策略(Content Security Policy,简称CSP),该策略的普及率已经实现了大幅的增长,但仍然很少被大多数网站使用.根据Mozilla Observatory(一款网站分析工具)针对Alexa排名前一百万的网站进行的扫描结果显示,只有大约0.022%的网站使用了内容安全策略.此外,使用了内容安全策略但忽略了串联式样式表(Cascading Style Sheets,简称CSS)的网站比率略有提高,占据Alexa Top 1M 的0.112%.
5.信息泄露助力攻击
据White Hat Security 公司称,每两个应用程序中就有一个具有某种类型的信息泄漏漏洞.同时,Veracode 认为这一比例应该更高,所有应用程序中有65.8%会显示有关应用程序、网络环境或用户的敏感信息,这些信息可能会被恶意行为者用于当前的或未来的针对应用程序的攻击活动.
White Hat 分析公司在其《2017 年应用程序安全统计报告》中解释称,根据泄露信息的具体内容,其危害程度也不尽相同,它可能与泄露的用户名和一样严重,也可能与泄露的软件版本号一样是“良性的”.好消息是,它通常只需要进行一个简单的重新配置修复,但修复通常取决于泄露的数据类型———敏感的泄露问题得到了解决,其他的问题则没有.
即使像软件版本号这样“良性的”泄漏事件也会为的攻击行为带来启示.通常而言,即使是再小的信息泄露也可以为恶意行为者提供可用于构建未来攻击蓝图的信息.
6.API 缺陷
据Chatham 称,2017 年在Web 应用程序中出现的最大威胁之一就是安全性较差的API.他说,近些年来,API 越来越流行,开发人员在构建应用程序时开始更频繁地使用它们,作为将其服务或数据提供给其他应用程序的一种方式.但不幸的是,它们正在被实现到Web 应用程序中,且完全忽略了安全问题.让情况变得更糟的是,欠缺保护的API 往往并非传统应用安全测试过程的一部分.
这可能就是OWASP 2017 年将“不受保护的API”列入其“web 应用程序十大安全风险”榜单前十名的原因.随着越来越多的组织将API 用作当今DevOps 商店所青睐的各种轻量级快速部署软件之间的“润滑剂”,这种威胁势必会引发更为广泛的关注.
根据Imperva 之前进行的研究显示,公司平均管理着363种不同的API,其中三分之二是面向公众和其合作伙伴的公开API.
7. 忽略传输层保护
好消息是,现在组织在部署HTTPS 方面变得越来越积极.但坏消息是,部署现状仍不容乐观,还有很长的路要走.根据之前Mozill Observatory 进行的扫描结果显示,在Alexa 排名前一百万(Top 1M)网站中,大约有54.3%的网站使用了HTTPS,这一比例较2017 年夏天增长了19%.但是,这仍然意味着还有大约一半的顶级网站仍在使用落后且不安全的HTTP 协议.
所以可以说,想要实现让大多数网站禁用HTTP 的目标,仍然还有很长的路要走.这一过程需要通过HSTS 实现,它是国际互联网工程组织IETE 正在推行一种新的Web 安全协议,旨在帮助网站将用户从不安全的HTTP 版本重定向到安全的HTTPS 版本,强制客户端(如浏览器)使用HTTPS 与服务器创建连接.而根据Mozilla 的扫描结果显示,使用HSTS的网站仅占Alexa Top 1M 的6%左右.
汇总:这是一篇适合不知如何写七宗罪和七宗罪解析和应用程序方面的程序专业大学硕士和本科毕业论文以及关于程序论文开题报告范文和相关职称论文写作参考文献资料.
参考文献:
1、 智能手机应用程序现状和安全探析 【摘要】 智能手机程序的普及和技术不断发展,程序越来越多,极大地改变了人类生活、学习和工作,带来很多方便,也存在诸多安全问题 基于此,对智能手机应用程序现状进行研究,并根据应用程序的发展现状,对智能手.
2、 格林德沃之罪,深藏于人类内心深处的隔阂和暴力 格林德沃之罪,深藏于人类内心深处的隔阂与暴力 文 牛岩青 编辑 杨静茹 rwzkhouchuang126 com伴随着雨夜中翻飞的马车和傲罗的身影,神奇动物格林德沃之罪揭开了一场血雨腥风的大戏序.
3、 左宗棠的工资 在风气恶浊的晚清官场中,左宗棠是一位十分廉洁的封疆大吏,与历史上那些享誉千载的“清官”们相比,毫不逊色 左宗棠当了20多年总督,每年仅养廉银一项就有2万两之多,可他临终时的全部.
4、 唐太宗何以怒砸魏徵墓碑 唐太宗李世民和魏徵的故事一直被世人所称道,并传为千古美谈 唐太宗曾说“夫以铜为镜,可以正衣冠,以古为镜,可以见兴替,以人为镜,可以知得失 ”魏徵去世时,唐太宗十分悲伤,流着泪说.
5、 信息安全管理回顾和述评 谢宗晓,王兴起摘 要 信息安全管理是图书馆开展各类服务活动的保障和基础,极为重要 文章依据价值空间理论对现有的信息安全管理文献进行回顾与述评,结果发现(1)概念化研究文章较少,以对成熟的概念框架整合和.
6、 云计算环境下数字图书馆虚拟化安全问题和 摘要分析云计算环境下数字图书馆的特点,归纳了云计算环境下数字图书馆虚拟化安全问题,阐述了云计算环境下数字图书馆虚拟化安全问题的解决对策 关键词云计算数字图书馆虚拟化安全数据管理分类号G250 761 .