5大Web应用安全威胁

数据隐私由于极其容易出现漏洞、并引发安全事故，因此对其的保护是目前绝大多数企业不可绕过的运维环节。不过，许多中小型企业往往会错误地认为只有大型企业才会成为黑客的目标。而实际统计数字却截然不同：有43%的网络犯罪恰恰是针对小型企业的。而且，无论是系统陈旧且未给漏洞打上安全补丁，还是各种恶意软件，甚至是一些人为的错误，都可以成为系统的受攻击面。

观察当前的网络威胁态势，90%的Web应用都可能成为攻击者的潜在目标。

以下是一些统计数据：

• 仅在2020年上半年间，企业数据的泄露量已累计高达360亿条记录。

• 86%的网络安全泄漏是出于经济目的，而有10%是源于间谍活动。

• 从分类来看，有45%的泄漏源于黑客攻击，17%源于恶意软件，22%与网络钓鱼有关。

• 许多金融企业会让员工不受限地访问各类文档资源，他们甚至可以访问到本企业内部大约17%的敏感文件(约1100万个文件)。

• 平均而言，只有5%的公司文件夹受到了适当的保护。而且，有超过77%的企业并无事件响应计划。

可见，针对上述威胁，我们应采取主动的Web安全策略，以及严格的措施，来确保敏感的数据信息、Web应用、以及信息系统等资产，免受攻击与侵害。下面，我将和您讨论五种最主要的Web应用安全威胁，以及七种行之有效的防护措施与实践。

1.注入漏洞

如果您的Web应用允许用户将其输入的信息插入后端数据库，或使用shell命令对操作系统进行调用，那么您的应用就可能会受到注入漏洞的影响。

当然，您可以通过检查应用的源代码，或对应用进行彻底的渗透测试，来发现此类漏洞。注入漏洞最常见的类型是SQL注入。攻击者会在SQL查询中，插入恶意代码，并将其转发到后端数据库服务器上，实施远程盗窃或攻击。

2.身份验证失败

身份验证失败是由身份验证和会话管理控件的实施不当而引起的。如果攻击者能够成功地识别和利用那些与身份验证相关的漏洞，那么他们就能直接访问到各种敏感数据和功能。

3.敏感数据泄漏

当Web应用不能充分保护诸如：会话ID、密码、财务信息、以及客户数据等敏感信息时，数据泄露就会发生。

此类泄漏的内部原因主要包括：未对敏感数据实施加密，仅采用了弱加密方式，软件应用的本身漏洞，以及操作员将数据上传至错误的数据库等方面。而外部攻击因素则包括：SQL注入、身份验证与访问控制的破坏、网络钓鱼攻击、以及针对明文协议HTTP、FTP和SMTP传输数据等网络级别的攻击。

4. XML外部实体

XML外部实体注入(通常被称为XML External Entity，XXE)可以让攻击者通过Web应用的漏洞，干扰应用对于XML数据的处理。此类攻击往往会导致诸如拒绝服务、数据泄露、服务器端请求伪造等问题。

5.受损的访问控制

从概念上说，访问控制机制就是要确定用户是否可以执行，与之身份和权限相符的操作。而当用户可以在其预期权限之外执行某项操作时，那么就出现了访问控制的破坏。

受损的访问控制通常会导致：未经授权的信息泄露、数据被直接修改或破坏、以及业务功能偏离预期用途等情况。我们可以通过在受信任的服务器端代码中、或无服务器的API中，强制使用完备的访问控制机制，来防止攻击者修改元数据(metadata)，或绕过正常的访问控制检查。