香港ddos谨防_徐州高防服务器_打不死-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 香港ddos谨防_徐州高防服务器_打不死

香港ddos谨防_徐州高防服务器_打不死

小墨安全管家 2021-05-03 22:29 DDOS防御 89 ℃
DDoS防御
作为一名安全顾咨询,我经常看到一些应用程序的例子,这些应用程序没有实现深度谨防以落低帐户泄露的风险。其中一具非常有咨询题的领域是密码策略。密码策略大概有助于实现强大的应用程序安全策略,或者在用户数据和应用程序受到攻击的并且造成虚假的安全感。薄弱的政策让我想起了70年代我小时候的一张收藏卡,那是一系列黑白惊悚电影中的。脑海中闪现的卡片上有一张来自黑泻湖的生物的照片,上面写着"进来吧,水特别好!" 我的经验表明,密码策略特别难用自动化的应用程序安全测试来分析,于是手动验证密码策略的实现是安全测试过程中的第一步。但这篇博文不是为像我如此的安全顾咨询写的。相反,我想向架构师、开辟人员和其他人解释错误密码策略的"完美风暴"怎么破坏深度谨防应用程序安全策略的关键层。纵深谨防的概念本质上意味着有多层谨防,没有单点失效。它适用于日子的方方面面:在军事、商业、个人一辈子活等等。在应用程序安全性中,实现很多不同的谨防能够落低风险并为组织节约大量资金,这既能够修复易受攻击的应用程序实现,也能够幸免帐户泄露带来的公共关系噩梦。在我们的日常日子中,我们使用纵深谨防来爱护自个儿和我们的财产。我们大概需要弥补一些装饰性的设计,比如好看的前门和带有"补偿操纵"的大窗户——我们通常不大概挑选牢固的钢门和门框,因为外观不理想或成本过高。所以,我们把前门锁上,养一只狗,一旦有人闯入我们的房间间,它就会叫个不停;我们还建立了一具现代化的警报系统,一旦门或窗户被打开,就会发出警报。每种补偿操纵也有其自身的成本和有效性。在大多数事情下,CC防御,谨防层越多越好。通常,它们特别廉价。在应用程序设计中也是这样。完美风暴在最近一次与客户的问中,我遇到了一具web应用程序,在弱密码策略场景中,我以为这是一场"完美风暴"。美国国家标准与技术研究所(NIST)使用通用漏洞评分系统(CVSS)来衡量风险,该系统对漏洞举行评级,从0到10,其中10是最高风险。风险评级取决于各种因素,如应用程序的敏感性、风险账户的作用、我们希翼爱护的数据的价值,以及其他因素,包括漏洞被利用时的泄露程度。通常,与弱密码策略场景相关的分数通常在4.0-6.0之间。这场完美风暴被评为8.5级。在此应用程序中,所有帐户类型都允许使用弱密码,如"Password1"。以下是我遇到的一些其他漏洞,它们使事情变得更糟。1会话身份验证当用户登录到应用程序时,扫瞄器会话由持久cookie而不是会话cookie来维护。这意味着当扫瞄器关闭时,允许会话保持有效的cookie仍然在用户的计算机上。当扫瞄器重新打开同时应用程序被寻址时,用户基本被验证。关于治理员,持久cookie的有效期为7天。一般用户的持续会话cookie有效期为30天。用户不能挑选使用这种长寿命的持久cookie。没有一具复选框能够让用户让那个cookie持续特别长时刻:它是自动的。所以,在另一具人有权访咨询的计算机上使用它是绝对不安全的,而且假如攻击者从物理上或远程访咨询计算机本身,DDoS防御,这会增加危害的风险。使用持久cookie来实现"保持登录"功能,非常是关于治理角色来讲,这是特别常见的,但特别少是可取的。2双因素身份验证治理员能够为任何帐户设置密码,而无需重新验证或使用任何辅助形式的身份验证(双因素身份验证)。简单的重新验证大概需要重新输入帐户密码。假如攻击者不过窃取了身份验证cookie或访咨询了仍在登录的计算机,这大概会有所关心,但假如攻击者猜到了密码,则这不是一具好的谨防措施。重新认证,或者拥有第二种形式的认证,是一种附加的谨防层。这是一具特别好的地点,指出了解我们的补偿操纵的局限性是特别重要的。重新输入一具简单的密码是有关心的,但不是万能的。双因素身份验证,而不仅仅是重新身份验证,大概需要输入RSA令牌值,或者将文本消息代码发送到电子邮件地址或电话。双因素身份验证是一种特别好的谨防措施,既能够防止会话受损,也能够防止密码泄露。三。治理员帐户接下来,我对应用程序对治理员的处理有着普通性的设计顾虑。一具咨询题是允许治理员更改另一具治理员的密码,除了为其他治理员设置密码外,治理员用户还能够删除常规用户和治理员帐户。这是一具具有挑战性的设计主题,涉及到可用性与应用程序安全性的权衡。我在那个地点不讨论治理员相互阻碍的咨询题,防DDoS,因为设计场景本身算是一具复杂的分析。然而,普通来讲,允许治理员更改密码、强制重置密码或锁定帐户而不举行某种形式的重新身份验证是个坏主意。另一具我想看到更多的主题是使用电子邮件地址作为治理员帐户的标识符。使用电子邮件地址是攻击者探测治理员帐户的一种手段。不使用电子邮件地址作为治理登录名的简单混淆能够阻挠攻击者尝试轻松访咨询电子邮件地址来验证特权帐户。最终,治理员角色能够从internet登录到应用程序,而不必在防火墙后面。没有IP白名单或虚拟专用网络(VPN)要求访咨询治理员功能。治理界面位于同一具应用程序中,而不是打包在单独的应用程序部署中。在此共享应用程序环境中,作为特权用户登录不涉及双重身份验证,例如文本消息或电子邮件代码。4帐户锁定除此之外,治理员和一般用户都没有任何类型的帐户锁定机制。您能够经过在多次登录失败后锁定帐户来添加额外的谨防层,CC防御,使用各种选项:例如验证码、时刻延迟和静默锁定。正确地执行此操作很重要,因为不正确的实现大概会关心攻击者举行帐户枚举、拒绝服务等操作。然而这些帐户锁定选项都没有在我测试的完美风暴中使用。结论总而言之,我观看到的漏洞包括:弱密码、缺少双因素身份验证、使用持久cookie举行会话治理、缺少帐户锁定/延迟、将电子邮件地址用作敏感帐户的标识符以及会话超时过长。不管您的工作是否涉及安全性,请指出应用程序中的薄弱谨防层。当您指出弱密码策略时,您将成为深度谨防策略的另一层。电影海报经过维基共享。

香港ddos谨防_徐州高防服务器_打不死


DDoS防御

当前位置:主页 > DDOS防御 > 香港ddos谨防_徐州高防服务器_打不死

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119