网站谨防_服务器谨防是如何做出来的_超高谨防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 网站谨防_服务器谨防是如何做出来的_超高谨防

网站谨防_服务器谨防是如何做出来的_超高谨防

小墨安全管家 2021-05-03 17:05 DDOS防御 89 ℃
DDoS防御
自2013年以来,开放式Web应用程序安全项目(OWASP)首次更新了最关键的应用程序安全风险的前10名名单。据OWASP称,依照AppSec社区的反馈,2017年OWASP前10名是一具重大更新,有三个新条目进入了榜单。那个更新通过了两个版本。在2017年4月公布的候选版本受到AppSec社区的大力回击后,OWASP重新开始起草,并于8月公布了一份新的草案,征求社区的反馈意见,并于11月最后来更新了前10名的名单。这一次,也许有了更多的共识。有一点大伙儿都接受:需要更新前10名。"在过去的四年里,CC防御,变化基本加速,OWASP的前10名也需要改变,"OWASP在2017年公布的预告中讲。OWASP Top 10是一具有阻碍力和广泛使用的AppSec标准—很多组织都依靠它来指导他们的AppSec程序。Veracode在Veracode产品套件中支持OWASP前10名。Veracode平台允许用户依照本标准和其他行业标准自定义其安全策略。Veracode的缺陷和漏洞检查定期更新,以符合行业要求。Veracode的开辟者教育课程包括OWASP十大材料,以及对行业标准不允许的类别的深入研究。Veracode贡献了特别大一部分用于确定最新前10名的数据,并与包括OWASP和MITRE在内的行业组织紧密合作,以提高软件安全意识,DDoS防御,增强对安全漏洞的理解。在这篇博文中,我们将详细解释2017年前10名中的三大新风险,以及自2013年以来发生的其他变化,并提供资源,探究预防这些风险的最佳实践。查看我们描述所有10种风险的信息图,并访咨询我们的OWASP 10大资源页面。2017年OWASP前10名有何新发展?2017年OWASP前10名中增加了三个web应用程序风险。XML外部实体(XXE)在2017年OWASP十大排名中,排在第四位的是XML外部实体。此风险指的是配置不良的XML处理器,防DDoS,这些处理器评估XML文档中的外部实体引用。攻击者能够使用外部实体举行攻击,包括远程代码执行,CC防御,并泄露内部文件和SMB文件共享。Veracode建议:静态应用程序安全测试(SAST)能够经过检查依靠关系和配置来发觉那个咨询题。不安全的反序列化不安全反序列化在2017年OWASP前10名名单中排名第八。不安全的反序列化流使攻击者可以远程执行应用程序中的代码、篡改或删除序列化(写入磁盘)对象、执行注入攻击和提升权限。不安全的反序列化在过去一年中呈上升趋势。Veracode针对我们的软件安全状况报告举行的研究发觉,53.3%的Java应用程序使用的Apache Commons Collections库版本存在不安全的反序列化漏洞,高于去年的49%。Veracode建议:应用程序安全工具能够检测反序列化缺陷,但通常需要举行渗透测试来验证咨询题。软件组合分析能够关心确定应用程序是否正在使用诸如apachecommons集合之类的不安全版本的组件日志记录和监控不脚在今年的OWASP前10名中,最终一具新条目是日志记录和监控不脚。日志记录不脚以及与安全事件响应系统的无效集成使得攻击者可以转移到其他系统,并在被检测到之前保持数周或数月的持续威胁。由于攻击者在披露后的几天内频繁地利用新的漏洞,日志记录和监视关于使用已知漏洞的组件响应OWASP前10个(尤其是第9个)中的所有其他9个风险至关重要。Veracode建议:像攻击者一样考虑,使用笔测试来确定是否有脚够的监控;笔测试后检查日志。2013年OWASP前10名的一些风险在2017年被撤销或合并前10名的排序基于风险的普遍性,一些风险已在2013年OWASP前10名和2017年版本之间重新排序,以反映这一点。2013版OWASP前10名的两个风险已从2017年前10名中剔除:跨站点请求伪造(CSRF)和未经验证的重定向和转发。OWASP讲,这些风险"基本消逝,但没有被遗忘"。2013年版本的另外两个风险被合并到2017年OWASP前10名中:不安全的直截了当对象引用和缺少的功能级访咨询操纵被合并到损坏的访咨询操纵中。OWASP 2013年前10名2017年OWASP前10名1注入1注入2中断的身份验证和会话治理2身份验证中断三。跨站点足本三。敏感数据暴露4不安全的直截了当对象引用(2017年与#7合并)4XML外部实体(新)5安全配置错误5中断的访咨询操纵(合并)6敏感数据暴露6安全配置错误7缺少功能级访咨询操纵(2017年与#4合并)7跨站点足本8跨站点请求伪造(2017年撤销)8不安全的反序列化(新)9使用具有已知漏洞的组件9使用具有已知漏洞的组件10未验证的重定向和转发(2017年取消)10日志记录和监视不脚(新)想要更完整地了解OWASP前10名中的内容以及所做的更改,请查看此博客文章底部的信息图。用于爱护web应用程序的OWASP建议OWASP公布了一组建议,描述了开辟人员、应用程序安全测试过程和希翼开始爱护应用程序的组织的下一步行动。开辟人员:建立和使用可重复的安全过程和标准的安全操纵。遵循安全开辟生命周期,从一开始就设计安全性,并在AppSec实践中自学。安全测试:建立延续的应用程序安全测试。使测试与软件开辟生命周期(SDLC)兼容随着时刻的推移,在扩展你的打算之前,先关注啥是重要的有效传达安全调查结果。组织:假如还没有,如今就启动应用程序安全程序。使用基于风险的投资组合想法为开辟人员和项目团队制定政策、培训和支持将测试集成到现有流程中用指标治理。开辟人员对安全性不了解(但应该了解)去拿电子书

网站谨防_服务器谨防是如何做出来的_超高谨防


DDoS防御

当前位置:主页 > DDOS防御 > 网站谨防_服务器谨防是如何做出来的_超高谨防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119