2014年資料泄漏調查報告 解析,2014年調查報告
在Web應用程式攻擊是關於在2014年的Verizon資料泄露調查報告(DBIR)資料披露最關心的問題之一。這些事件進行了主要是通過在輸入驗證漏洞和認證影響常見的內容管理系統,如的Joomla!,WordPress的,和Drupal的漏洞。
報告指出,這些類型的攻擊不僅是一個可靠的方法駭客,也有快60%花幾分鐘或更少的妥協。隨著Web應用程式通常作為一個組織的公眾形象到互連網,便於開發基於網路的脆弱性令人擔憂。
該DBIR報告建議修複漏洞的攻擊者之前找到他們,但你如何找到這些漏洞之前,壞人都關閉你的資料在幾分鐘之內?一個方法來識別Web應用程式漏洞是開放Web應用安全項目(OWASP)十大檔案,旨在籌集約在Web應用程式中10個最關鍵的安全性漏洞的意識。
就在OWASP十大頂部,你會發現“注入”,如SQL注入叫出來的DBIR。注入漏洞是一種非常常見的安全性漏洞,非常容易利用無需工具使用基於簡單的文本命令。
最好的辦法,以避免基於Web的如SQL注入攻擊是防止在首位的漏洞安全編程實踐,但安全編程必須在Web應用程式的開發過程中發生的。那麼Web應用程式已經在生產中可能包含像SQL注入漏洞?
在廣泛使用的Web應用程式像WordPress或Drupal的漏洞可能會得到重視安全研究人員和漏洞管理廠商可能會包括在他們的產品的檢查。
然而,傳統的漏洞掃描器是不可能找到鮮為人知的和定製的Web應用程式的漏洞,如果安全研究團隊不重視他們(或不知道它們的存在,在內建的內部Web應用程式的情況下)。
使用像Tripwire的WebApp360一個漏洞管理解決方案,包括覆蓋在OWASP十大的每個地區可以協助識別安全性漏洞在生產環境中的Web應用程式,甚至是定製或不太知名的Web應用程式。
不同於傳統的漏洞檢查,Web應用程式漏洞掃描器採取啟發學習法的,而不是基於規則的方法來發現Web應用程式漏洞無證。結果在網路上找到這些問題之前,駭客這樣做,你可以採取措施補救或減輕風險。