我們在之前給大家介紹過如何提高軟件開發的安全性,是希望大家在設計軟件時能夠避免出現一些問題,節省整個項目的周期,同時也能夠希望企業在進行軟件開發時能夠注意這些問題,避免一些不必要的成本浪費。但不論是軟件技術人員還是企業,都應當了解一些常見的軟件程序攻擊行為。
應用攻擊
應用層是最難防御的。這里遇到的漏洞往往依賴于難以用入侵檢測簽名定義的復雜用戶輸入場景。對于軟件開發來說,應用層也是最容易接觸和最容易暴露的。要使應用程序運行,必須可以通過端口80(HTTP)或端口443(HTTPS)進行訪問。
在下圖中,軟件就完全暴露于外部世界,盡管有防火墻和入侵防御系統等網絡防御:
軟件開發
SQL注入是一種應用程序攻擊,在2014年占了所有軟件數據泄露份額的8.1%。這使它成為第三大攻擊類型,惡意軟件和分布式拒絕服務攻擊。除此之外還有一些其他常見應用程序攻擊,例如安全配置錯誤,使用有已知漏洞的組件和跨站點腳本。攻擊者能夠在不被網絡防御系統檢測到的情況下操縱應用輸入并獲取機密數據。
在Web應用的專有代碼中發現的大多數漏洞在安全防御系統中是未知的; 這些被稱為零日漏洞。因為這些漏洞針對每個應用程序都是特定的,以前從未被人知曉。熟練的攻擊者可以輕松找到這些漏洞并利用這個漏洞,而且不會被檢測到。
對這些攻擊的最佳防御就是在軟件開發時增加安全設置。開發人員必須意識到應用程序是如何被攻擊的,并將軟件防御構建到其應用程序中。
無效的重定向和轉發
這種類型的漏洞被用于釣魚攻擊,受害者被欺騙導航到惡意網站。攻擊者可以操縱受信任站點的URL重定向到不需要的位置。
使用已知漏洞的組件
此類別是關于使用未打補丁的第三方組件。攻擊者一般都是利用舊的第三方組件,因為它們的漏洞已被公布,通常黑客利用這些缺陷。可以輕松的對軟件進行攻擊。
跨站點請求攻擊
它允許攻擊者在不知情的情況下欺騙用戶執行操作。
缺少功能級別訪問控制
此類別包括較低權限或未經身份驗證的用戶隱藏更高權限功能的情況,而不是通過訪問控制強制實施。
敏感信息竊取
軟件開發時信息在傳輸時缺少數據加密算法。如果您的軟件沒有正確保護敏感數據(如信用卡或身份驗證憑據),攻擊者可以竊取或修改數據,利用這些漏洞來獲取用戶的信息。
15066004201
