cc防护_zes云盾_零误杀-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > cc防护_zes云盾_零误杀

cc防护_zes云盾_零误杀

小墨安全管家 2021-05-05 02:25 网站防护 89 ℃
DDoS防御

cc防护_zes云盾_零误杀

上周公布的两份报告对流行应用程序易受中间人攻击和其他窥探的漏洞发出警报。唉,这事实上不是啥新咨询题……而且也不局限于挪移应用程序!研究人员在计算机和通信安全年会(CCS 2012)上的演说,DDoS防御,(https://www.sigsac.org/ccs/CCS2012/techprogram.shtml)在罗利,北卡罗来纳州都指出了安全套接字层(SSL)在一系列敏感应用程序中实现的惊险漏洞,包括用于举行挪移和在线支付的软件。首先,来自德国汉诺威莱布尼兹大学和德国马尔堡菲利普斯大学的研究人员报告了他们使用自动化工具MalloDroid对谷歌Play Marketplace举行广泛审计的结果,它以两种常见的加密协议:SSL(安全套接字层)和TLS(传输层安全性)的实现方式扫描挪移应用程序的漏洞。依照他们的论文,在PlayMarketplace上测试的13500个流行的免费应用程序中,DDoS高防,1074个属于这一类。同一具团队对100个潜在易受攻击的挪移应用程序举行了更深入的分析,发觉其中40%能够在中间人攻击中被成功利用。研究人员在实验中从安全性较差的挪移应用程序中猎取了美国运通、贝宝、Twitter、谷歌、微软和Wordpress运营的服务的用户凭证。德克萨斯大学奥斯汀分校和斯坦福大学的研究人员举行的第二项研究发觉,很多实现了SSL或TLS(SSL的继承者)的流行应用程序和中间件框架无意中破坏或禁用了证书验证。研究人员分析了广泛流行的应用程序(如AOL的AIM即时消息客户端)使用的SSL库,以及流行的在线购物车应用程序,包括来自Zen cart、Ubercar、osCommerce和PrestaShop的应用程序。他们发觉,这些应用程序以及来自Apache的web服务中间件以及与之集成的其他应用程序在建立安全连接时无法正确验证SSL证书。这意味着这些应用程序大概容易受到中间人攻击,这些攻击能够窃取敏感的事务数据或登录凭据。即使购物车应用程序是安全的,研究人员也发觉像亚马逊和PayPal如此的支付供应商提供的操作购物车的支持软件存在SSL和TLS的缺陷。研究人员在很多闻名的应用程序中发觉了那个咨询题的证据,其中包括在Android Marketplace上提供的大通银行(Chase Bank)手机银行应用程序。该漏洞允许攻击者读取或修改受害者的Chase登录凭据,并访咨询其帐户。托管公司Rackspace的一具挪移应用程序被发觉存在漏洞,Mozilla Marketplace应用程序也是这样。来自Amazon和Paypal的软件开辟包SDK也被发觉有不安全的SSL和TLS实现。如何回事?这两篇论文都指出了SSL和TLS在常见应用程序中实现的类似咨询题。MalloDroid工具背后的研究人员分析了挪移应用程序为寻觅SSL和TLS的草率实现而举行的网络API(应用程序程序接口)调用。他们找到了。他们分析了1887个独特的SSL证书,其中162个(8.6%)未能使用Android的默认验证策略举行验证。此外,有42份证书是自行签署的(一具大红旗)。其他应用使用的证书已过期,或包含指向证书已过期的web主机的链接。此外,研究人员还发觉332个Android应用程序链接到112个未经过主机名验证的证书。所有这些咨询题都会导致设备或最后来用户无法信任证书。它们与攻击者发起中间人攻击(MITM)时提供的证书无法区分。所以,MITS被设计成阻挠一具终端设备的SSL攻击。德克萨斯大学和斯坦福大学的研究人员得出了类似的结论。很多SSL库(包括OpenSSL和JSSE的SSLSocketFactory)在默认事情下并没有设置为检查服务器提供的证书的名称是否与客户端所连接的主机名相对应。所以,很多应用程序全然无法举行主机名验证,包括无处不在的组件,如Apache的HttpClient Version 3.*和Java中的Weberknecht,以及Python中的urllib、urllib2和httplib。令人震惊-但不应该。其实,DDoS防御,Veracode两年前在其十大挪移应用程序风险排行榜中也提出了同样的咨询题。在#9:"不安全的敏感数据传输",我们注意到"SSL是爱护传输中敏感数据的最佳想法之一",但假如"应用程序没有在无效证书上失败",加密通信的危害是大概的Veracode和其他公司的专家也经常警告第三方代码的固有安全隐患,比如Paypal和其他公司提供的代码。过去的软件安全状况报告发觉,在提交给公司举行分析的所谓"内部"应用程序中,多达70%包含第三方供应商的代码。这些代码通常是安全漏洞的来源。事情改善了吗?不是的确。Veracode马上公布的软件安全状况报告(V5)中的一具发觉是,密码漏洞是阻碍Android平台上挪移应用程序的最常见缺陷。Veracode在他们评估的Android应用程序中发觉了64%存在某种加密咨询题的证据,甚至早于CRLF(回车换行)注入攻击。 希翼下一具Veracode软件状态报告一经公布就能够了吗?在那个地点注册。 咨询题是:该如何办?尽管SSL实现的前景特别容易思量,这些实现不需要主机名验证,同时指责开辟人员做工低劣,但事实是,CC防御,应用程序开辟人员不是安全专家,更不用讲加密专家了。在这种事情下,特别多开辟人员将TLS的安全性配置为禁用(或者在这种事情下,他们仍然将SSL的安全性设置为禁用状态),并将其视为安全性。在最近对于SSL和TLS实现薄弱的报告之后,安全公司ISEC Partners公布了一些工具来关心开辟人员评估他们的产品是否举行了正确的证书和主机名验证。这是个开始。然而,假如公司的确想消除应用程序(挪移应用程序和其他应用程序)中令人尴尬的安全漏洞,他们就会开始思量怎么让开辟人员和他们的客户轻松地获得良好的安全性。 加密api的设计者需要使SSL和TLS的正真的现变得更加容易,而错误的实现则更加艰难。开辟团队需要将SSL/TLS证书验证作为一项需求,QA团队需要对此举行测试。自动化和手动测试人员确信会有所关心。


DDoS防御

当前位置:主页 > 网站防护 > cc防护_zes云盾_零误杀

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119