在Web安全方面，面對(duì)各種安全漏洞，IT和安全專業(yè)人員通常采取防御措施，而缺少積極主動(dòng)的措施。

[[193402]]

在各種類型和規(guī)模的企業(yè)中，有些網(wǎng)絡(luò)安全人員(包括CIO和其他高管)稱他們會(huì)定期掃描其網(wǎng)站和應(yīng)用。有些人稱他們的應(yīng)用是正在進(jìn)行的滲透測(cè)試工作的一部分，并感覺(jué)這可確保安全性。還有些人認(rèn)為管理web安全漏洞不是他們的職責(zé)，因?yàn)榫W(wǎng)站和應(yīng)用托管在云端。

我理解前兩種做法，但第三種則不可原諒。企業(yè)需要專注于安全工作，特別是安全評(píng)估，對(duì)web環(huán)境的評(píng)估可確保安全性，而無(wú)論它們托管在哪里。

這個(gè)問(wèn)題是可以解決的。首先，現(xiàn)在有很多非常好的在線資源可提升網(wǎng)絡(luò)安全狀態(tài)，例如OWASP Top 20和OWASP WebGoat項(xiàng)目。

我發(fā)現(xiàn)有些人從未聽(tīng)說(shuō)過(guò)OWASP，他們不了解它可為其信息安全計(jì)劃帶來(lái)的價(jià)值。如果您希望提高網(wǎng)絡(luò)安全狀態(tài)，對(duì)于初學(xué)者來(lái)說(shuō)，我建議您查看OWASP Top 10以及其網(wǎng)站上其他資源。OWASP Top 10仍然還是2013年版，目前新版本正在公開(kāi)征詢階段，計(jì)劃在2017年8月之前發(fā)布。

如果您想要了解應(yīng)該學(xué)習(xí)哪些web安全漏洞，F(xiàn)oundstone軟件應(yīng)用安全服務(wù)工具(例如Hacme Bank)是非常不錯(cuò)的工具。雖然它們已經(jīng)過(guò)時(shí)，但仍然有效。您可關(guān)注這些資源和其他免費(fèi)工具。

在web安全方面，您無(wú)法修復(fù)您不知道的網(wǎng)絡(luò)漏洞。測(cè)試web安全漏洞應(yīng)該被視為獨(dú)立的計(jì)劃，至少對(duì)于核心或關(guān)鍵應(yīng)用是這樣。這意味著您需要將個(gè)別應(yīng)用作為獨(dú)立項(xiàng)目進(jìn)行測(cè)試。

我看到太多掃描(通常使用通用網(wǎng)絡(luò)漏洞掃描程序執(zhí)行)和滲透測(cè)試掩蓋了企業(yè)web應(yīng)用的重要部分?；谀鷚eb系統(tǒng)的可視性，以及高潛在風(fēng)險(xiǎn)，您應(yīng)該花時(shí)間對(duì)應(yīng)用進(jìn)行測(cè)試，無(wú)論是否使用用戶身份驗(yàn)證。您應(yīng)該在代碼中先查找明顯的漏洞，然后再找不那么明顯的漏洞。

下面是內(nèi)部和云技術(shù)應(yīng)用、營(yíng)銷網(wǎng)站及其隨附內(nèi)容管理系統(tǒng)中最常見(jiàn)的web安全漏洞，以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)和物聯(lián)網(wǎng)設(shè)備中經(jīng)常被忽視的問(wèn)題：

1.跨站腳本，這可方便客戶端漏洞利用。

2.SQL注入，這可允許直接的數(shù)據(jù)庫(kù)連接以及遠(yuǎn)程命令提示符。

3.低強(qiáng)度或默認(rèn)密碼以及弱密碼策略，包括無(wú)入侵者鎖定，這可方便密碼破解。

4.糟糕設(shè)計(jì)的密碼重置功能，這可被攻擊者操縱或者用于創(chuàng)建不必要的密碼泄露。

5.用戶會(huì)話管理問(wèn)題，例如使用在初次登錄和注銷后未更改的cookie，這可通過(guò)中間人攻擊或本地瀏覽器操縱被攻擊者利用。

6.開(kāi)放代理(內(nèi)部和外部)，允許人們使用您的網(wǎng)絡(luò)進(jìn)行web訪問(wèn)或者繞過(guò)內(nèi)部安全控制

7.輸入驗(yàn)證漏洞，可方便HTTP重定向和幀注入

8.網(wǎng)絡(luò)表單缺乏CAPTCHA，這可創(chuàng)造電子郵件拒絕服務(wù)攻擊。

還有缺少OS和應(yīng)用修補(bǔ)程序，雖然這并不直接相關(guān)，但這會(huì)影響Web安全性，因此請(qǐng)務(wù)必對(duì)其進(jìn)行測(cè)試。

Web安全的目標(biāo)不是尋找所有系統(tǒng)中的所有漏洞。您需要專注于尋找重要應(yīng)用和系統(tǒng)中的緊急web安全漏洞。當(dāng)您專注于緊急和重要漏洞時(shí)，根據(jù)80/20定律，通過(guò)查找并解決20%的漏洞，您可解決它們制造的80%的問(wèn)題。

在您控制好后，您可進(jìn)一步查找所有web系統(tǒng)中的漏洞。您可使用Nmap或SoftPerfect Network Scanner等工具進(jìn)行端口掃描，以尋找在通常端口(例如80、443和8080)運(yùn)行的網(wǎng)站和應(yīng)用。您會(huì)發(fā)現(xiàn)大量您可能不知道的系統(tǒng)，掃描這些系統(tǒng)，并查看它們包含的漏洞。即使是多功能打印機(jī)和復(fù)印機(jī)的web端口都可能帶來(lái)風(fēng)險(xiǎn)。如果您沒(méi)有找到任何漏洞，說(shuō)明您不夠用心，或者沒(méi)有使用正確的工具(即專業(yè)web漏洞掃描儀，例如Netsparker和Acunetix Web安全掃描儀)。

從開(kāi)發(fā)和質(zhì)量保證一直到測(cè)試和持續(xù)監(jiān)督，您需要將安全視為整體安全計(jì)劃的核心組件，否則您將繼續(xù)面臨外部攻擊者、惡意內(nèi)部人員和惡意軟件帶來(lái)的風(fēng)險(xiǎn)。

請(qǐng)不要再使用通用掃描和測(cè)試，這非常重要。專業(yè)掃描測(cè)試不僅會(huì)發(fā)現(xiàn)更多漏洞，還能讓您更好的了解您的網(wǎng)絡(luò)，從而先解決最重要的風(fēng)險(xiǎn)。