Condivisione della tecnologia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

• Prefazione:

Nell'era digitale di oggi, le applicazioni web svolgono un ruolo importante, fornendoci vari servizi e funzioni online. Tuttavia, queste applicazioni spesso si trovano ad affrontare varie potenziali minacce alla sicurezza, che possono portare alla fuga di informazioni sensibili, alla paralisi del sistema e ad altre conseguenze negative.

• Vulnerabilità dell'iniezione SQL

L'attacco SQL injection (SQL Injection), denominato attacco injection o SQL injection, è ampiamente utilizzato per ottenere illegalmente il controllo di un sito Web. Si tratta di una vulnerabilità di sicurezza che si verifica a livello di database di un'applicazione. Durante la progettazione del programma, il controllo delle istruzioni SQL contenute nella stringa di input viene ignorato, e il database la considera erroneamente come una normale istruzione SQL e la esegue, esponendo così il database ad attacchi, che potrebbero portare al furto, alla modifica dei dati , e cancellati, causando ulteriori danni al sito web. Pericoli come l'incorporazione di codice dannoso e l'impianto di programmi backdoor.

In genere, le posizioni per l'iniezione SQL includono:

1. L'invio di moduli, principalmente richieste POST, include anche richieste GET;
2. Invio di parametri URL, principalmente parametri di richiesta GET;
3. Invio parametri cookie;
4. Alcuni valori modificabili nell'intestazione della richiesta HTTP, come Referer, User_Agent, ecc.;
5. Alcuni punti di input sul bordo, come alcune informazioni sui file .mp3, ecc.

Metodi di prevenzione comuni:

• Tutte le istruzioni di query utilizzano l'interfaccia di query con parametri fornita dal database Le istruzioni con parametri utilizzano parametri invece di incorporare variabili di input dell'utente nell'istruzione SQL. Quasi tutti gli attuali sistemi di database forniscono interfacce di esecuzione di istruzioni SQL parametrizzate. L'utilizzo di questa interfaccia può prevenire efficacemente gli attacchi SQL injection.
• Escape o codifica i caratteri speciali ('"<>&*;, ecc.) che entrano nel database.
• Conferma il tipo di ciascun dato. Ad esempio, i dati numerici devono essere numeri e i campi di archiviazione nel database devono corrispondere ai tipi int.
• La lunghezza dei dati deve essere specificata rigorosamente, il che può impedire in una certa misura l'esecuzione corretta di istruzioni SQL injection relativamente lunghe.
• La codifica di ciascun livello di dati del sito Web è unificata. Si consiglia di utilizzare la codifica UTF-8 per tutti i dati. Una codifica incoerente dei livelli superiore e inferiore può causare il bypass di alcuni modelli di filtro.
• Limitare rigorosamente le autorizzazioni operative del database degli utenti del sito Web e fornire a questo utente autorizzazioni sufficienti solo per il suo lavoro, riducendo così al minimo il danno degli attacchi di injection al database.
• Impedisci al sito Web di visualizzare messaggi di errore SQL, come errori di tipo, mancata corrispondenza dei campi, ecc. e impedisci agli aggressori di utilizzare questi messaggi di errore per esprimere alcuni giudizi.
• Prima del rilascio del sito Web, si consiglia di utilizzare alcuni strumenti professionali di rilevamento di SQL injection per rilevare e riparare tempestivamente queste vulnerabilità di SQL injection.

• Vulnerabilità di scripting tra siti

Il cross-site scripting (spesso definito XSS) avviene sul lato client e può essere utilizzato per rubare privacy, phishing, rubare password, diffondere codice dannoso e altri attacchi.

Le tecnologie utilizzate negli attacchi XSS sono principalmente HTML e Javascript, inclusi VBScript e ActionScript. Sebbene gli attacchi XSS non abbiano alcun danno diretto al server WEB, si diffondono attraverso il sito Web, provocando l'attacco degli utenti del sito Web, con conseguente furto degli account degli utenti del sito Web, causando così gravi danni al sito Web.

I tipi XSS includono:

• Cross-site non persistente: la vulnerabilità riflessa dello scripting cross-site è attualmente il tipo più comune di cross-site. Il codice intersito generalmente esiste nei collegamenti. Quando si richiede tale collegamento, il codice intersito viene riflesso attraverso il server. Questo tipo di codice intersito non viene archiviato sul server (come un database). Gli esempi forniti nei capitoli precedenti rappresentano tali situazioni.
• Cross-site persistente: questo è il tipo più diretto di danno cross-site. Il codice cross-site è archiviato sul server (come un database). Una situazione comune è che un utente pubblica un post in un forum. Se il forum non filtra i dati del codice Javascript immessi dall'utente, i browser degli altri utenti che sfogliano il post eseguiranno il codice Javascript incorporato dall'utente che ha pubblicato.
• DOM cross-site (DOM XSS): è una vulnerabilità cross-site che si verifica nel DOM (Document Object Model) del client. Il motivo principale è il problema di sicurezza causato dalla logica di elaborazione dello script del client.

Le tecniche di prevenzione XSS comunemente utilizzate includono:

1. Come per le raccomandazioni per la protezione dall'iniezione SQL, si presuppone che tutti gli input siano sospetti e che parole come script, iframe, ecc. in tutti gli input debbano essere rigorosamente controllate. L'input qui non è solo l'interfaccia di input con cui gli utenti possono interagire direttamente, ma include anche variabili nei cookie nelle richieste HTTP, variabili nelle intestazioni delle richieste HTTP, ecc.
2. Verifica non solo il tipo di dati, ma anche il formato, la lunghezza, l'intervallo e il contenuto.
3. Non eseguire solo la verifica e il filtraggio dei dati sul lato client, i passaggi chiave del filtraggio vengono eseguiti sul lato server.
4. Anche i dati di output devono essere controllati. I valori nel database possono essere emessi in più punti su un sito Web di grandi dimensioni. Anche se l'input è codificato e vengono eseguite altre operazioni, i controlli di sicurezza devono essere eseguiti ovunque nei punti di output.
5. Verifica tutte le minacce conosciute prima di rilasciare l'applicazione.

• Vulnerabilità debole della password

Non esiste una definizione rigorosa e precisa di password debole. Le password che possono essere facilmente indovinate da altri (che potrebbero conoscerti bene) o violate da strumenti di cracking sono generalmente considerate password deboli. L'impostazione delle password solitamente segue i seguenti principi:

1. Non utilizzare password vuote o password predefinite del sistema, che sono generalmente password deboli.
2. La lunghezza della password non deve essere inferiore a 8 caratteri.
3. La password non deve essere una sequenza continua di caratteri (ad esempio: AAAAAAAA) o una combinazione di caratteri ripetuti (ad esempio: tzf.tzf.).
4. La password deve essere una combinazione dei seguenti quattro tipi di caratteri: lettere maiuscole (AZ), lettere minuscole (az), numeri (0-9) e caratteri speciali. Contiene almeno un carattere di ciascun tipo. Se un certo tipo di carattere ne contiene solo uno, il carattere non dovrebbe essere il primo o l'ultimo carattere.
5. La password non deve includere nome e data di nascita, data di anniversario, nome di accesso, indirizzo e-mail e altre informazioni relative alla persona, ai genitori, ai figli e al coniuge, nonché parole del dizionario.
6. Le password non devono essere parole con numeri o simboli che sostituiscono determinate lettere.
7. Le password dovrebbero essere facili da ricordare e veloci da inserire in modo che gli altri non possano vedere facilmente i tuoi input da dietro di te.
8. Cambia la tua password almeno una volta ogni 90 giorni per evitare che intrusi non rilevati continuino a utilizzarla.

• Vulnerabilità nel tracciamento dell'intestazione HTTP

La specifica HTTP/1.1 (RFC2616) definisce il metodo HTTP TRACE, utilizzato principalmente dai client per testare o ottenere informazioni diagnostiche inviando una richiesta TRACE al server Web. Quando il server Web abilita TRACE, l'intestazione della richiesta inviata verrà restituita completamente nel contenuto (corpo) della risposta del server, dove è probabile che l'intestazione HTTP includa token di sessione, cookie o altre informazioni di autenticazione. Un utente malintenzionato potrebbe sfruttare questa vulnerabilità per ingannare gli utenti legittimi e ottenere le loro informazioni private. Questa vulnerabilità è spesso combinata con altri metodi per eseguire attacchi efficaci. Poiché le richieste HTTP TRACE possono essere avviate tramite script del browser client (come XMLHttpRequest) ed è possibile accedervi tramite l'interfaccia DOM, vengono facilmente sfruttate dagli aggressori. I metodi per difendersi dalle vulnerabilità del tracciamento delle intestazioni HTTP in genere disabilitano il metodo HTTP TRACE.

• Vulnerabilità nell'esecuzione di comandi remoti Struts2

Apache Struts è un framework open source per la creazione di applicazioni Web Java. Esiste un bug di filtraggio dell'input in Apache Struts che può essere sfruttato per iniettare ed eseguire codice Java arbitrario se viene riscontrato un errore di conversione.

La maggior parte dei motivi per cui i siti Web presentano vulnerabilità legate all'esecuzione di codice in modalità remota sono perché il sito Web utilizza Apache Struts Xwork come framework dell'applicazione del sito Web. Poiché questo software presenta vulnerabilità di esecuzione di codice in modalità remota ad alto rischio, il sito Web è esposto a rischi per la sicurezza. Il CNVD ha affrontato molte di queste vulnerabilità, tra cui: una vulnerabilità relativa all'esecuzione di comandi in modalità remota (CNVD-2012-13934) nel sito web "GPS Vehicle Satellite Positioning System" una vulnerabilità relativa all'esecuzione di codice in modalità remota nel guestbook Aspcms (CNVD-2012-11590); , eccetera.

• Vulnerabilità nel caricamento dei file

Le vulnerabilità nel caricamento dei file sono generalmente causate da un filtraggio lassista delle variabili del percorso di caricamento dei file nel codice della pagina Web. Se il codice di implementazione della funzione di caricamento dei file non limita rigorosamente il suffisso del file e il tipo di file caricato dagli utenti, un utente malintenzionato può caricare qualsiasi file tramite una directory accessibile. attraverso il Web, incluso il file backdoor del sito Web (webshell), controllando così da remoto il server del sito Web.

Pertanto, durante lo sviluppo di siti Web e applicazioni, i file caricati devono essere rigorosamente limitati e verificati e devono essere caricati file contenenti codice dannoso. Allo stesso tempo, i permessi di esecuzione delle directory correlate sono limitati per prevenire attacchi webshell.

• Vulnerabilità di fuga di indirizzi IP privati

L'indirizzo IP è un indicatore importante di un utente della rete ed è ciò che gli aggressori devono sapere prima di lanciare un attacco. Esistono molti modi per ottenerlo e gli aggressori adotteranno anche metodi diversi a seconda delle diverse condizioni della rete, come ad esempio: utilizzare il comando Ping nella LAN per eseguire il ping del nome dell'altra parte sulla rete per ottenere l'IP utilizzando la versione IP di QQ per visualizzarlo direttamente su Internet. Il modo più efficace è intercettare e analizzare i pacchetti di dati di rete dell'altra parte. L'aggressore può trovare e analizzare direttamente le informazioni sull'intestazione IP del pacchetto di dati intercettato tramite software, quindi apprendere l'IP specifico in base a queste informazioni.

Per un "metodo di analisi dei pacchetti" più efficace, è possibile installare alcuni software in grado di rimuovere automaticamente le informazioni IP nell'intestazione dei pacchetti di dati inviati. Tuttavia, ci sono alcuni svantaggi nell'utilizzo di questi software, come ad esempio: consuma molto risorse e riduce le prestazioni del computer, verrà influenzato quando si accede ad alcuni forum o siti Web, non è adatto agli utenti di Internet café, ecc.; Al giorno d'oggi il metodo più diffuso tra i singoli utenti per nascondere il proprio IP è utilizzare un proxy. Dopo aver utilizzato un server proxy, il "servizio di inoltro" modificherà i pacchetti di dati inviati, rendendo inefficace il metodo di "analisi dei pacchetti". Alcuni software di rete che perdono facilmente gli IP degli utenti (QQ, MSN, IE, ecc.) supportano l'uso di metodi proxy per connettersi a Internet Soprattutto dopo che QQ utilizza software proxy come "ezProxy" per connettersi, la versione IP di QQ non può visualizzare l'indirizzo IP. Sebbene un proxy possa effettivamente nascondere l'IP di un utente, un utente malintenzionato può anche aggirare il proxy e trovare il vero indirizzo IP dell'altra parte. Anche il metodo utilizzato dall'utente per nascondere l'IP dipende dalla situazione.

• Richiesta di accesso non crittografata

Poiché la configurazione web non è sicura e le richieste di accesso trasmettono campi sensibili come nomi utente e password non crittografati, gli aggressori possono intercettare la rete per rubare queste informazioni sensibili. Si consiglia di crittografare, ad esempio SSH, prima di trasmettere.

• Vulnerabilità relativa alla fuga di informazioni sensibili

SQL injection, XSS, directory traversal, password deboli, ecc. possono causare la fuga di informazioni sensibili e gli aggressori possono ottenere informazioni sensibili attraverso le vulnerabilità.Diversi metodi di difesa vengono utilizzati per cause diverse.

• CSRFC

Le applicazioni Web si riferiscono al termine generale per l'utilizzo dell'architettura B/S e la fornitura di servizi tramite protocolli HTTP/HTTPS. Con l'uso diffuso di Internet, le applicazioni Web sono state integrate in ogni aspetto della vita quotidiana: acquisti online, applicazioni bancarie online, transazioni di titoli e azioni, approvazioni amministrative governative e così via. In queste visite Web, la maggior parte delle applicazioni non è una navigazione Web statica, ma implica un'elaborazione dinamica sul lato server. In questo momento, se i programmatori di Java, PHP, ASP e altri linguaggi di programmazione non hanno sufficiente consapevolezza della sicurezza e non controllano rigorosamente l'immissione dei parametri del programma, ecc., sorgeranno uno dopo l'altro i problemi di sicurezza delle applicazioni Web.

Quindi, come è possibile scoprire in tempo le vulnerabilità di cui sopra?

Devo menzionareServizio di scansione delle vulnerabilità VSS！！

Cos'è un servizio di scansione delle vulnerabilità?

Dall’avvento di Internet, gli incidenti legati alla sicurezza della rete che utilizzano attacchi alle vulnerabilità sono continuati e stanno diventando sempre più gravi. Le perdite economiche causate dalle vulnerabilità in tutto il mondo sono enormi ogni anno e aumentano di anno in anno. Le vulnerabilità sono diventate uno dei principali colpevoli che danneggiano Internet e sono anche diventate al centro dell'attenzione del pubblico.

"Il servizio di scansione delle vulnerabilità (VSS) è un servizio di rilevamento della sicurezza per la scansione delle vulnerabilità dei siti Web. Attualmente fornisce più servizi come il rilevamento generale delle vulnerabilità, la gestione del ciclo di vita delle vulnerabilità e la scansione personalizzata. Dopo che gli utenti hanno creato una nuova attività, possono attivare manualmente la scansione attività per rilevare le vulnerabilità del sito Web e fornire suggerimenti per la riparazione delle vulnerabilità.

La sicurezza del sistema di rete dipende dall'anello più debole del sistema di rete. La sicurezza del sistema di rete è un processo dinamico. Il modo più efficace è condurre analisi e scansioni di sicurezza regolari del sistema di rete, scoprire e trovare vulnerabilità in a tempestivamente e modificarli.

• • Scenari applicativi del servizio di scansione delle vulnerabilità:
    1. Sito web/sistema di applicazione online

Quando un nuovo sito web/sistema applicativo va online, è necessario prima condurre una valutazione della sicurezza del sito web/sistema applicativo per valutare se il sito web/sistema applicativo online presenta vulnerabilità e rischi, per garantire la sicurezza del sito web/sistema applicativo dopo va online e per ridurre il rischio di essere hackerati o di essere hackerati. Rischio di manomissione e garantire il funzionamento sicuro del sito web/sistema applicativo dopo che è online.

1. 1. 1. Minacce e attacchi al sistema Web/applicazione

Poiché nuove minacce e attacchi continuano a crescere, la sicurezza delle applicazioni web influisce direttamente sulla sostenibilità dello sviluppo aziendale. I siti Web/i sistemi applicativi sono spesso soggetti ad attacchi e minacce alla sicurezza della rete, con conseguente intercettazione, ritrasmissione, manomissione e attacchi di negazione del servizio delle informazioni di rete, nonché negazione del comportamento della rete, spoofing, accesso non autorizzato, trasmissione di virus e altri problemi . L'ispezione di sicurezza è un'ispezione completa del sito Web/sistema applicativo e vengono forniti suggerimenti di riparazione professionali per impedire l'utilizzo del sito Web da parte di hacker e compromettere la sicurezza del sito Web.

1. 1. 1. Monitoraggio in tempo reale del sito web/sistema applicativo

Il governo, l'istruzione, la finanza e altre unità devono monitorare il sito Web in tempo reale. Se la vulnerabilità non viene riparata in tempo, ciò influenzerà gravemente l'immagine del governo, dell'istruzione e altre unità e causerà enormi perdite all'impresa. è richiesto il monitoraggio e la gestione in tempo reale della sicurezza del sito web/sistema applicativo. Il rilevamento della sicurezza mostra in modo intuitivo i risultati del monitoraggio, avvisa non appena vengono scoperti dei rischi, identifica rapidamente le anomalie delle pagine Web e invia avvisi per impedire che le vulnerabilità vengano sfruttate e compromettano la sicurezza del sistema.

1. 1. 1. Sistemi web/applicativi e altri requisiti di conformità

La protezione del livello di sicurezza delle informazioni è un sistema di base per la sicurezza delle informazioni nel mio paese, che richiede agli operatori di rete di rispettare i requisiti del sistema di protezione del livello di sicurezza della rete. La garanzia di Classe A richiede agli operatori del sito web/del sistema applicativo di condurre valutazioni di sicurezza almeno due volte l'anno per garantire la conformità della garanzia di Classe A. I test di sicurezza aiutano gli utenti che necessitano di tale assicurazione a condurre valutazioni di sicurezza e a soddisfare i requisiti di conformità di tale assicurazione!

• • Cosa include generalmente un servizio di scansione delle vulnerabilità?
    1. Scansione delle vulnerabilità web

Le lacune e i punti deboli del sito web possono essere facilmente sfruttati dagli hacker per provocare attacchi, portare effetti negativi e causare perdite economiche.

Scansione generale delle vulnerabilità：La ricca libreria di regole di vulnerabilità può condurre scansioni di vulnerabilità complete e approfondite per vari tipi di siti Web e fornire report di scansione professionali e completi.

Cerca le vulnerabilità più urgenti：Per le vulnerabilità CVE più urgenti, gli esperti di sicurezza analizzano immediatamente le vulnerabilità, aggiornano le regole e forniscono la scansione delle vulnerabilità CVE più rapida e professionale.

1. 1. 1. Scansione password debole

Risorse come host o middleware generalmente utilizzano password per l'accesso remoto e gli aggressori spesso utilizzano la tecnologia di scansione per rilevare i loro nomi utente e password deboli.

Sono disponibili più scene：Connessione completa al sistema operativo, che copre il 90% del middleware, supporta il rilevamento di password deboli per servizi Web standard, sistemi operativi, database, ecc.

Ricca libreria di password deboli：Ricca libreria di corrispondenza delle password deboli, simula gli hacker per rilevare password deboli in vari scenari e supporta dizionari personalizzati per il rilevamento delle password.

1. 1. 1. Scansione del middleware

Il middleware può aiutare gli utenti a sviluppare e integrare software applicativi complessi in modo flessibile ed efficiente. Una volta scoperte e sfruttate le vulnerabilità dagli hacker, ciò influirà sulla sicurezza dei livelli superiore e inferiore.

Scenari di scansione ricchi：Supporta la scansione delle vulnerabilità delle versioni e della conformità delle configurazioni dei contenitori Web tradizionali, dei framework di sviluppo front-end e degli stack tecnologici di microservizi back-end.

Metodi di scansione multipli opzionali：Supporta l'identificazione del middleware e della sua versione nel server attraverso vari metodi come pacchetti standard o installazione personalizzata e rileva in modo completo i rischi di vulnerabilità nel server.

1. 1. 1. Test di conformità dei contenuti

Quando si scopre che un sito web contiene contenuti non conformi, ciò causerà molteplici perdite al marchio e all'economia dell'azienda.

Identificazione accurata：Aggiorna in modo sincrono i dati campione degli attuali punti caldi politici e degli eventi dell'opinione pubblica e individua accuratamente vari contenuti pornografici, legati alla violenza, legati al terrorismo, legati alla politica e altri contenuti sensibili.

Intelligente ed efficiente：Conduci analisi semantiche contestuali sul contenuto di testo e immagini e identifica in modo intelligente varianti di testo complesse.

• Riassumere:

Una volta che le vulnerabilità verranno sfruttate dai criminali, le aziende subiranno enormi perdite. Se riesci a scoprire in modo proattivo i rischi del sito web e ad adottare misure correttive in modo tempestivo, puoi ridurre i rischi e le perdite. Pertanto, la scansione delle vulnerabilità, come misura preventiva proattiva, svolge un ruolo enorme nell’evitare efficacemente gli attacchi degli hacker e stroncare i problemi sul nascere.

I servizi di scansione delle vulnerabilità possono risolvere efficacemente le sfide affrontate dalla gestione della sicurezza dei siti Web e possono anche soddisfare meglio l'efficienza e l'accuratezza richieste nel lavoro di ispezione della sicurezza, in modo da migliorare il livello di gestione della sicurezza di siti Web e applicazioni.