信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

Nick Merritt是Halo Security公司主管安全產(chǎn)品和服務(wù)的副總裁，他已經(jīng)負(fù)責(zé)并領(lǐng)導(dǎo)開展了超過300次的網(wǎng)絡(luò)安全滲透測(cè)試工作。通過在各類企業(yè)中的大量安全性測(cè)試實(shí)踐，Nick Merritt從攻擊者的視角，總結(jié)了目前企業(yè)組織在信息化系統(tǒng)防護(hù)中的普遍弱點(diǎn)和常見錯(cuò)誤，并給出了提升應(yīng)用系統(tǒng)安全性的五點(diǎn)建議：

01

自動(dòng)化安全掃描還遠(yuǎn)遠(yuǎn)不夠

如果企業(yè)只是使用自動(dòng)化工具掃描Web應(yīng)用程序的安全性，那么很多安全漏洞都會(huì)成為漏網(wǎng)之魚，因?yàn)檫@類工具通常使用了模糊測(cè)試（一種將畸形數(shù)據(jù)注入系統(tǒng)來驗(yàn)證安全的方法），而這種技術(shù)會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)。

企業(yè)應(yīng)該明白，自動(dòng)化掃描工具的研發(fā)還難以跟上現(xiàn)代Web應(yīng)用程序開發(fā)的步伐，技術(shù)上的局限性讓掃描工具不能夠?yàn)镴avaScript頁面應(yīng)用、WebAssembly或圖技術(shù)（Graph）提供最佳的安全檢測(cè)結(jié)果。特別是對(duì)一些比較復(fù)雜的漏洞，企業(yè)安全團(tuán)隊(duì)需要專門編寫有針對(duì)性的載荷才可以檢測(cè)出它們。

目前，要實(shí)現(xiàn)對(duì)安全漏洞和利用情況進(jìn)行全面的分析還離不開安全專家的人工操作，而自動(dòng)化安全掃描工具可作為輔助性的檢測(cè)手段，幫助安全分析師提升漏洞發(fā)現(xiàn)的效率。

02

應(yīng)用系統(tǒng)自帶的身份驗(yàn)證通常不可靠

身份驗(yàn)證是確保Web應(yīng)用程序安全性的關(guān)鍵因素之一。但是在實(shí)際測(cè)試中發(fā)現(xiàn)，開發(fā)人員在應(yīng)用系統(tǒng)中創(chuàng)建的身份驗(yàn)證及密碼管理流程，通常都沒有采用安全、可靠的方式。

滲透測(cè)試人員很容易繞過系統(tǒng)自帶的驗(yàn)證功能，輕松訪問其他用戶的隱私信息，或者擁有與其角色不相符的過多特權(quán)，這就會(huì)帶來橫向和縱向身份訪問控制方面的安全威脅問題。

企業(yè)必須要重視和加強(qiáng)對(duì)應(yīng)用系統(tǒng)的身份管理和驗(yàn)證，其關(guān)鍵在于相關(guān)的安全協(xié)議是否能夠得到有效實(shí)時(shí)。比如說，安全聲明標(biāo)記語言（SAML）身份驗(yàn)證是一種流行并且有效的單點(diǎn)登錄控制協(xié)議，但如果開發(fā)人員在系統(tǒng)開發(fā)時(shí)未能正確理解和引入，反而留下更多的安全漏洞。

03

攻擊者更善于發(fā)現(xiàn)業(yè)務(wù)邏輯中的漏洞

開發(fā)人員在研發(fā)Web應(yīng)用系統(tǒng)時(shí)，一般都是從產(chǎn)品的應(yīng)用場(chǎng)景角度進(jìn)行分析和設(shè)計(jì)，但是他們常常不會(huì)從攻擊者的角度去分析各種功能是否可能被惡意利用。一個(gè)典型的事例是電商網(wǎng)站中的購(gòu)物車，它是這類網(wǎng)站的關(guān)鍵性應(yīng)用，但常常不安全，存在嚴(yán)重的業(yè)務(wù)邏輯漏洞，比如攻擊者在結(jié)賬前將總數(shù)歸零，或者在完成付款后將低價(jià)商品替換成其他高價(jià)值商品。

我們不能過多苛責(zé)開發(fā)人員只關(guān)注系統(tǒng)的使用場(chǎng)景，而忽視其可能的風(fēng)險(xiǎn)場(chǎng)景。但是安全管理人員需要看到問題的各個(gè)方面，明白業(yè)務(wù)邏輯應(yīng)該與安全邏輯相關(guān)聯(lián)。

04

不存在“超范圍”的滲透測(cè)試觀念

Web應(yīng)用程序已經(jīng)變得非常復(fù)雜，會(huì)涉及較廣泛的資源和資產(chǎn)整合與利用。這就需要開發(fā)時(shí)通過后端API服務(wù)器利用，以支持主應(yīng)用程序的各種功能。

企業(yè)應(yīng)該向執(zhí)行滲透測(cè)試的安全人員告知所有這些外部資產(chǎn)，以及它們?nèi)绾闻c應(yīng)用系統(tǒng)之間進(jìn)行關(guān)聯(lián)交互，這對(duì)保障安全很重要。開發(fā)人員可能認(rèn)為這些資產(chǎn)“超范圍”，因此不需要對(duì)它們負(fù)責(zé)。但攻擊者可不會(huì)遵守任何的攻擊界限，大量滲透測(cè)試結(jié)果也表明，企業(yè)中的資源和資產(chǎn)，沒有什么是“超范圍”的。

應(yīng)用系統(tǒng)開發(fā)人員應(yīng)該更好地與安全測(cè)試人員合作，減少滲透測(cè)試工作帶來的流程影響。開發(fā)人員只有兼顧創(chuàng)造力和安全框架，才能知道哪里可以自由編程，而哪里需要設(shè)置應(yīng)用程序安全護(hù)欄機(jī)制。

05

跨站腳本（XSS）攻擊不可忽視

XSS屬于被動(dòng)式攻擊，是一種較盛行的Web應(yīng)用程序漏洞利用方式。2021年，由于應(yīng)用程序開發(fā)框架的改進(jìn)，XSS首次跌出了OWASP（開放Web應(yīng)用程序安全項(xiàng)目）前10名榜單，因此有人開始認(rèn)為這種攻擊將會(huì)很少被應(yīng)用。但事實(shí)上，“無孔不入”是網(wǎng)絡(luò)黑客們最基本的信念和意志表現(xiàn)，它仍是我們執(zhí)行每次滲透測(cè)試任務(wù)中，最有效的模擬攻擊手法之一。

XSS攻擊造成的安全風(fēng)險(xiǎn)往往會(huì)很高，包括賬戶接管、數(shù)據(jù)竊取以及對(duì)應(yīng)用程序基礎(chǔ)設(shè)施的全面破壞。許多開發(fā)人員以為，使用成熟的輸入驗(yàn)證庫和配置適當(dāng)?shù)腃ookie屬性就足夠防止XSS攻擊，但實(shí)際上這遠(yuǎn)遠(yuǎn)不夠。因?yàn)樵诮裉斓膽?yīng)用程序開發(fā)中，必然會(huì)使用大量自定義的代碼，此時(shí)XSS漏洞就會(huì)趁虛而入。以WordPress網(wǎng)頁為例，針對(duì)其的XSS攻擊非常危險(xiǎn)，因?yàn)橐坏┇@取了管理員級(jí)訪問憑據(jù)，攻擊者就可以在應(yīng)用中加載各種插件，并在應(yīng)用服務(wù)器上執(zhí)行代碼中的惡意載荷。