為什麼仍然有很多網站漏洞?這是很多使用者關心的問題。
大多數企業網站的漏洞包含openssl、php和wordpress中的漏洞,這些漏洞主要是由于這些開源軟體中存在着大量自定義組合以及缺乏測試和漏洞修複。
本文中讓我們看看如何從一開始以及整個開發生命周期中修複這些漏洞。
很多網站的安全漏洞
“很多網站(和web應用程式)漏洞的主要原因是這些技術完全定制化開發的性質,”美國國家安全局前情報收集人員、現masergy communications公司主管david j. venable表示,這樣的結果會産生在很大程度上未經測試的網站和應用程式,它們沒有像大多數商業軟體(例如作業系統和伺服器軟體包)經過嚴格的徹底的測試。
事實上,網站和網絡應用程式中的漏洞要比企業其他地方的漏洞更多。這些安全漏洞包括php站點、第三方和自産軟體中的漏洞,wordpress代碼和安裝以及openssl、single sign-on及sql和ldap部署及技術中的漏洞。
使用第三方軟體的php網站存在固有的漏洞,因為第三方應用程式開發不受企業的掌控。berkeley研究公司主管joe sremack表示:“你可以設計你的網站,以確定所有自制代碼是完全安全的,但如果你需要使用第三方軟體,那麼你就可能引入漏洞。”
wordpress是一個日益嚴重的問題,它有着無數的插件,需要不斷的更新,這給中小型企業帶來日益嚴重的威脅。sremack表示:“企業想要wordpress的功能,但不幸的是,它也帶來風險。”
openssl也面臨相同的問題。随着人們不斷創新該技術,這些創新帶來新的漏洞,可讓攻擊者發現和利用。每年攻擊者都會不斷利用openssl漏洞來作為大規模資料洩露的一部分,很多看似新的漏洞實際上是還未被發現的舊漏洞。
即使程式設計者開發出安全的網站,他們的開發主要是基于他們已知的漏洞,而不是尚未确認的漏洞,而總是會出現新的漏洞。
注入漏洞仍然很常見,攻擊者已經調整了他們的攻擊方法,以利用日益普及的單點登入。sremack解釋說:“單點登入在酒店裡很常見,人們會使用單點登入來檢查他們的賬戶和積分。新的ldap注入技術會攻擊漏洞,并傳遞參數到代碼來控制其網絡會話。”
另一個攻擊向量是本地和遠端檔案。sremack稱:“網站的代碼可以調用本地伺服器或遠端公共伺服器上的檔案。通過使用注入技術,攻擊者可以讓網站顯示資訊,包括密碼檔案或者web伺服器中的使用者名清單,并可以執行他們想要運作的代碼。”
修複網站安全漏洞
venable稱:“企業必須從開發過程的最開始就堅持安全最佳做法,例如開放web應用安全項目(owasp)的最佳做法。”企業需要在生産前、代碼變更後進行所有測試,包括應用程式評估、滲透測試以及靜态分析,至少一年一次。為了實時發現和緩解攻擊,企業需要對網站和網絡應用程式部署waf和ids,并部署全天候監控小組。
sremack稱:“在開發過程中,與安全團隊合作來對受影響的代碼和功能執行定期測試。”如果企業在更新目前的網站,應該讓安全團隊測試和確定新增的功能不會帶來漏洞。開發團隊還應該進行掃描和測試來隔離漏洞和修複漏洞。
sremack說道:“企業應該使用攻擊者用來入侵網絡的相同工具,例如grabber、w3af和zed attack proxy。”雖然說,任何有着安全知識或安全工具的人都可以利用這些應用程式,基于測試的結果來發現網站漏洞,但企業需要安排專門的從業人員來做這個工作。
“開發人員應該具體看看他們如何建立和維護網絡會話,專門檢查會話通過網站傳輸的輸入,無論是通過網站還是輸入字段,”sremack稱,“然後監測任何第三方代碼中的漏洞,并檢視來自供應商的漏洞利用聲明。”
總結
網站越大,其功能和可視性越大,它也會使用更多第三方軟體,同時,減少該網站中固有漏洞的過程也更加昂貴。
企業必須在一天内多次監控和更新網站,以更好地抵禦網絡攻擊者。這個過程應該包括變更管理、測試和正确的部署,以及新的專門的安全團隊和指定的測試站點。
網站的功能越豐富,企業越應該確定網站的安全性。現在也有很多開源免費軟體工具可以幫助開發人員來了解新的漏洞和威脅。
作者:鄒铮
來源:51cto