Shellshock 和 Heartbleed 之类的产品即使是装备最精良的安全公司也让他们大吃一惊,让他们窥探未来几个月世界可能面临的情况。事实上,去年发生的违规事件甚至让中小型组织也开始关注安全问题的严重性。假定的“安全”区域和应用程序安全合规性已被严重削弱。而现在对于来年,如果可以肯定地预测任何事情,那么它将延续去年的应用程序安全趋势。
逻辑漏洞利用
攻击者已经了解到,即使是普通开发人员也开始意识到 CSRF 和 XSS 问题,并努力将它们保留在系统中。这就是为什么攻击者将在 2015 年寻找新的利用方法的原因。
去年 9 月,埃及安全研究员 Yasser H. Ali 已经展示了如何只需单击一次就足以绕过 CSRF 预防系统来入侵 PayPal 帐户。组织可以预期类似的攻击,黑客将在编码中寻找逻辑问题,而不是实际利用已知漏洞。防范此类黑客攻击肯定会更加困难。
违反信任
多年来,开发人员和安全研究人员对 OpenSSL 和 UNIX 的信任度超出了他们应有的水平。然而,Shellshock 和 Heartbleed 向他们展示了如何利用 UNIX Bash Shell 和 OpenSSL 加密库中的漏洞来帮助入侵安全系统,这连续导致了 Web 应用程序安全领域的严重担忧。在接下来的一年中,将发现和利用更多此类漏洞。对受信任的应用程序和组织的攻击将会加剧。
云存储风险
云技术承诺了很多事情,但与此同时,它也带来了一些威胁。将组织的所有数据存储在云上可能会危及信息,这一点在去年 10 月某个时候 iCloud 据称遭到黑客攻击时就已经得到强调。更多的个人和组织将转向云计算,这也涉及基于云的 Web 应用程序及其渗透风险。
超越合规
许多组织认为,遵守 OWASP 十大漏洞列表是最终的安全措施。这从来都不是一个完整的事实,在 2015 年,大多数组织将不得不意识到这一事实。IP Architects 总裁 John Pironti 解释说,合规性应该是一个起点。他说,这只是一种基线安全态势,组织需要超越它,自行开发安全趋势。
犯罪软件
包括 Deep Web 在内的暗网服务困扰着不同大陆的立法者,但更令人不安的是,此类工具可在黑帽会议的访问论坛上使用。如果可以访问此类论坛,则可以轻松购买或交换用于逃避检测的点对点网络循环软件。即使是使用 Tor、Freenet 和 I2P 的业余黑客也会造成很大的破坏。此类犯罪软件的集合将对全球情报机构构成严重威胁。从商业角度来看,犯罪软件的可用性也是灾难性的。
第三方应用风险
来年,该国的大多数企业将发现购买编码应用程序而不是内部开发它们的好处。因此,与这些网络应用程序相关的安全问题将成倍增加。为了教育组织,Gartner 甚至在 2015 年初组织了一次安全与风险管理峰会,该峰会将突出应用安全以及运营技术风险。就像去年一样,注入、破坏身份验证和跨站点脚本将对此类基于 Web 的应用程序构成最大威胁。
全面应用安全:逻辑安全继任者
随着Web 应用程序安全的复杂性越来越高,包括常规防火墙和恶意软件检测解决方案在内的传统防御机制在来年 2015 年将不够用。当然,这些防御系统仍然是整个 Web 应用程序安全过程中不可或缺的一部分,但围绕检测、保护和监控的整体应用程序安全架构将被证明是关键。企业需要采用更全面、更集成的安全解决方案,以持续监控和防御新出现的攻击。提供独特的服务 –全面应用安全(TAS),这是一种集成解决方案,可以 24X7 连续检测、防御和监控系统。
文章链接: https://www.mfisp.com/11414.html
文章标题:顶级Web应用程序安全趋势
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
