广告业务咨询: 合作: 732055019

2021年最危险的软件弱点

2021-09-15 20:32 阅读 12

Mitre公司最近更新了前25个最危险的软件错误的名单,其中一些已经上榜多年也就不足为奇了。常见弱点列举 (CWE) 列表表示多年来广为人知的漏洞,但仍被编码为软件并被测试绕过。开发人员和测试人员现在大概都更清楚了,但在构建应用程序时仍然犯同样的错误。

我们将审查多年来似乎始终进入前 25 名列表的漏洞。首先,这些错误是如何来的呢?原因有很多。

在许多情况下,开发人员在编码应用程序时,根本就没有安全性。他们的主要目标是正确实现商业逻辑。

在特定算法似乎不能正常工作的情况下,开发人员会关闭安全限制,直到其行为如预期的那样。开发人员在应用程序存在逻辑错误时会丢脸,但当存在潜在的安全漏洞时则不会丢脸,因为这些漏洞在很大程度上是隐藏的,直到它们被利用。

测试人员对确保应用程序安全负有更直接的责任,但通常这样做的工具和专业知识有限。他们几乎总是孤立地测试代码,通常没有数据库、API 或网络。如果没有方法来查看内存或创建非法命令,并解释攻击的结果,它们识别安全漏洞的能力就有限。

技术组内部仍然存在着压倒一切的看法,即安全是 IT 生产组的责任,而不一定是开发人员的责任。毕竟,IT 具有重要的工具来定义和管理旨在保护整个基础设施的应用程序和网络周边(如防火墙和反恶意软件)。对生产安全的关注往往意味着在开发和测试方面较少关注。

这都是安全漏洞基本上隐藏在视线之外的文化的一部分,因为它们通常不会影响应用程序的功能,直到攻击成功,系统或数据丢失。虽然在整个应用生命周期中关注安全性最为有效,但在生产中保持警惕仍然至关重要。

接下来是几十年来常见的安全漏洞,看起来他们不会很快离开Mitre列表。它们允许对世界各地的各种攻击者进行古老但可靠的攻击,这些攻击者经常成功侵入使用这些攻击的系统和组织。

操纵内存仍然是攻击系统的最流行方法之一。如果攻击者在可执行应用程序中拥有特定的内存地址,他可以使用该地址输入超过该内存空间大小的值或命令。一旦超出内存空间,攻击者可以插入可执行软件,从而有可能接管计算机或提高权限级别。

有许多方法可以利用缓冲和内存溢出来攻击。如果开发人员没有限制可变长度,则超支可以允许攻击者将恶意代码直接写入应用程序内存。至少,使用此技术可能会干扰应用程序执行,导致其崩溃或返回不正确的结果。

攻击者可以使用 Web 功能来种植恶意脚本。在这种情况下,攻击者可以将脚本上传到未受保护的客户端网页,当其他人打开该页面时执行该脚本。防止这种情况涉及禁止网络应用程序下载文件,许多开发人员忽略了添加此限制。

许多开发团队继续让攻击者将脚本下载到第三方网站上,测试人员很难识别此类攻击,因为不清楚恶意脚本的来源。其结果是,那些天真地访问这些网页的用户可能会无意中和不知不觉地将恶意软件下载到他们的系统中。

许多开发人员专注于确保应用程序返回所需的结果高于一切。在某些应用程序中,一种常见的方法是让所有用户查询对数据库进行管理访问。虽然这通常有效,但它有后果。

首先,它向任何应用程序用户开放数据库管理访问。这意味着使用应用程序的任何人都可以使用 SQL 命令修改数据库。使用 SQL 逃生字符,攻击者可以将 SQL 命令输入 Web 界面,然后由数据库执行这些命令。

其次,它使数据库连接对所有人开放。每次使用后,它永远不会注销。这意味着您不必是授权用户即可找到一个开放的数据库。这使得数据的完整性持续受到质疑。

这是另一个内存操作技巧。当应用程序需要可变的内存时,它要么按编程方式分配该内存,要么以基本平台(JVM 或.NET 运行时间)进行编程分配。当该内存完成应用程序时,它或平台将其返回到免费内存列表。

如果攻击者设法获得内存地址,他可以访问免费内存列表,并将恶意软件插入免费内存。下次分配内存时,它分配的有效载荷可能会造成伤害。此外,当内存返回到免费内存列表时,不会擦干净,从而使攻击者能够读取该内存的内容。

有一些商业调试器能够调查运行过程,并允许程序员或攻击者使用内存位置获取信息。虽然需要这些类型的调试器,但任何允许攻击者查看特定内存地址以确定其内容的工具都有可能被用作黑客工具。

Mitre 列表包含其他常见攻击,包括缺失或不当身份验证、不正确的权限和未受保护的凭据。

然而,最流行的攻击仍然是那些几乎自公共互联网的曙光出现以来一直存在的攻击。在开发和测试团队能够将过去 20 年中一些最重要的漏洞内化并制定战略以可靠地应对这些漏洞之前,依靠防火墙和安全分析方法是防止软件漏洞的最有效方法。

原文 编辑 投诉 置顶 分享
推荐
快讯
创业网 展会网 厨艺 养生 乡村游
行业信息 工程机械 食品设备
剧透网 区块链应用 游戏运营 手机赚钱


版权所有©贵客云    技术支持:维泰软件 鲁ICP备08109250号-1

鲁公网安备 37020302371242号