Web 應用程序威脅：攻擊面映射與防護

從網絡安全的角度來看，在現代Web應用程序的黑暗世界中導航可能是一個雷區。許多這類關鍵應用程序包含錯綜復雜的層，如果在設計時沒有考慮安全性，它們可能是漏洞的滋生地。

因此，對于組織而言，至關重要的是找到并了解有經驗的黑客可能將其用作切入點的任何方面。為此，安全團隊必須更好地了解其應用程序體系結構中的弱點，以減少整體攻擊面。

通常，Web應用程序是收集和存儲客戶個人身份信息（PII）和特權財務數據的地方。該信息不僅對于日常業務運營具有不可思議的價值，而且還受到國際交叉監管要求的保護，并且不遵守該信息可能導致高額罰款，客戶信任度的重大損失和負面宣傳。

此外，由于大多數企業在在家工作的“新常態”之后優先考慮業務連續性，由于資源和時間的限制，許多應用程序的安全性不足。但是，這種誤導的方法可能與英國遠程工作者網絡安全衛生狀況惡化的趨勢直接相關。

網絡罪犯一直在不斷采取策略，侵入網絡應用程序，提取個人數據。有人可能會認為，僅憑基本的用戶控制和web應用程序防火墻(WAF)就可以防止災難性的場景，但不幸的是，沒有人能免受這些簡單的應用程序攻擊的影響。

據記載，Web應用程序攻擊可能對企業造成多大危害，2019年所有數據泄露中有五分之二以上（43％）與該威脅有關。此外，根據Verizon DBIR 2020報告，它們是造成數據泄露的最大原因。

網絡罪犯以盡職調查而聞名，他們會在選擇目標時竭盡全力，小心翼翼地收集潛在受害者的信息，在發動攻擊前找出系統中的薄弱環節。未能解決在線基礎設施內部潛在問題的企業，低估了現代黑客的意愿。

即使是最輕微的錯誤也可能讓黑客在您的系統中找到立足點，或者在您不注意的情況下，在您的錢箱中找到立足點。

重要的是要記住，在修補Web應用程序時，沒有一種萬能的解決方案，因此對關鍵基礎結構的內在理解對于保護敏感信息至關重要。

攻擊面映射和防護

那么，安全團隊如何才能成功映射Web應用程序的整個攻擊面，并在為時已晚之前確定關鍵的攻擊媒介？從應用程序發現開始，這可以分為三個關鍵階段。企業應該擁有自己擁有哪些關鍵Web應用程序以及最有可能暴露在何處的清單。

這里存在一個問題，因為應用程序和相關漏洞的數量很容易成千上萬，尤其是在較大的組織中,陰影更普遍,所以它是重要的來定位公開暴露web應用程序在例行節奏來闡明潛在的盲點。

下一步行動是針對針對軟件漏洞的七種最常利用的攻擊途徑，對確定的Web應用程序的風險級別進行審查：

• 首先，您具有安全機制，該機制確定如何保護用戶與應用程序之間的web通信。
• 接下來，根據使用哪種編碼語言和Web設計程序，創建頁面的方法將揭示更多的安全問題。
• 第三種攻擊途徑稱為分布程度，它與創建的頁面數量相關，因為制作的頁面越多意味著遇到問題的可能性就越大，因此必須監控所有頁面。
• 身份驗證欺騙的發生時間為四點，并且指出在審查了所有訪問權限之后，必須對訪問Web應用程序的合法用戶的身份進行驗證，并且應該僅對需要驗證的用戶進行驗證，否則任何人都可以進入。
• 輸入向量也是輸入字段越多的問題，攻擊面增加的可能性就越大，這可能導致跨站點腳本攻擊。
• 在第六位，我們擁有活動內容，這些活動內容在應用程序運行腳本時使用，它會啟動活動內容，并且根據實施這些腳本的方式，如果使用多種活動內容技術開發網站，攻擊面可能會增加。
• 最后，第七個攻擊媒介是cookie，它是必需的，以允許實時應用程序安全性監視會話活動，這對于減少未經授權的訪問（尤其是針對網絡罪犯的訪問）是有益的。

Securing the Crown Jewels

當針對上述七個向量證實了Web應用程序時，必須將結果與時間（業務關鍵性）和環境（更新頻率）相關聯，以便確定總體風險狀況。當獲得有關總可尋址攻擊面的知識（包括薄弱環節和強項所在）后，安全團隊將擁有部署安全控制所需的彈藥。

一旦繪制了風險分數，安全團隊將擁有必要的數據，以在安全防御中實施有效且連續的應用程序測試并提供投資回報。