Mitre Corp. 更新了其最危险的25个软件漏洞列表,其中许多漏洞多年来一直列在该列表中。Common Weakness Enumeration (CWE) 列表代表了多年来广为人知但仍被编码到软件中,并被测试绕过的漏洞。开发人员和测试人员应该都知道,但在构建应用程序时仍然会犯同样的错误。
我们来回顾多年来几乎一直排在前25名的漏洞。并一起来看看产生漏洞原因。
多数情况下,开发人员在编写应用程序时根本没有将安全放在首位,他们的主要目标是使业务逻辑正确。
测试人员在确保应用程序安全方面负有更直接的责任,但通常只有有限的工具和专业知识。他们几乎总是孤立地测试代码,通常没有数据库、API或网络。如果无法查看内存或创建非法命令并根据攻击来解释结果,它们识别安全漏洞的能力就会受到限制。
技术团队普遍认为,安全是IT生产团队的责任而不一定是开发人员的责任。毕竟IT拥有重要的工具来定义和管理应用程序和网络边界,如防火墙和杀毒软件。在这样的文化意识里,安全漏洞很大程度上是难以发现的,因为他们通常不会影响应用程序的功能,直接攻击系统导致数据丢失。
因此在整个应用程序开发生命周期中关注安全问题更有效,同时在生产中保持警惕。
常见漏洞仍在列表中
接下来是几十年来常见的安全漏洞,看起来它们不会很快离开Mitre列表。它们允许对全球范围广泛的攻击者进行古老但可靠的攻击,这些攻击者经常成功地侵入使用它们的系统和组织。
缓冲区/内存溢出
操纵内存仍然是最流行的攻击系统的方式之一。如果攻击者拥有可执行应用程序中的特定内存地址,他可以使用它来输入超过该内存空间大小的值或命令。一旦超出内存空间,攻击者就可以插入可执行软件,从而有可能接管计算机或提高权限级别。
有很多方法可以利用缓冲区和内存溢出进行攻击。如果开发人员没有限制可变长度,则溢出可能允许攻击者将恶意代码直接写入应用程序内存中。至少,有可能使用这种技术来干扰应用程序的执行,导致它崩溃或返回不正确的结果。
跨站脚本 (XSS)
攻击者可以使用Web功能来植入恶意脚本。在这种情况下,攻击者可以将脚本上传到未受保护的客户端网页,以便在其他人打开该页面时执行。防止这种情况涉及禁止Web 应用程序下载文件,许多开发人员忽略了添加此限制。
许多开发团队继续让攻击者将脚本下载到第三方网站上,而测试人员很难识别这种类型的攻击,因为不清楚恶意脚本的来源。结果是那些无意中访问这些网页的用户可能会无意中将恶意软件下载到他们的系统上。
SQL/命令注入
许多开发人员专注于确保应用程序返回所需的结果。在某些应用程序中,执行此操作的一种常见方法是授予所有用户查询对数据库的管理访问权限。虽然这通常有效,但它会产生后果。
首先,它向任何应用程序用户开放了数据库管理访问权限。这意味着任何使用该应用程序的人都可以使用 SQL 命令来修改数据库。使用 SQL 转义字符,攻击者可以将 SQL 命令输入Web界面并由数据库执行。
其次,它保持数据库连接对所有人开放。每次使用后都不会注销。这意味着不必成为授权用户即可查找打开的数据库。这使得数据的完整性持续受到质疑。
释放后使用
这是另一个记忆操纵技巧。当应用程序需要为某个变量分配内存时,它要么通过编程方式分配内存,要么通过底层平台(JVM或. net Runtime)分配内存。当应用程序使用这些内存时,它或平台将其返回到空闲内存列表。
如果攻击者设法获得了内存地址,他就可以访问空闲内存列表,并将恶意软件插入空闲内存中。下次分配内存时,它的有效负载可能会造成伤害。此外,当内存返回到空闲内存列表时,内存不会被清除干净,从而使攻击者能够读取该内存的内容。
有一些商业调试器能够查看正在运行的进程并让程序员或攻击者使用内存位置获取信息。虽然需要这些类型的调试器,但任何让攻击者查看特定内存地址以确定其内容的工具都有可能被用作黑客工具。
其他网络攻击层出不穷
Mitre列表包含其他常见的攻击,包括身份验证丢失或不正确、不正确的权限和未受保护的凭证。
然而,最流行的攻击仍然是那些几乎自公共互联网诞生以来就存在的攻击。这些一直存在的安全漏洞尽管已经很古老,但仍旧在危害网络安全。随着检测技术的不断发展,在编码阶段通过静态代码检测技术可以检测发现CWE top25运行时缺陷检测,同时对代码进行规范提高代码质量。
安全漏洞问题还需从根源解决,超过六成的安全漏洞与代码有关,而通过静态分析技术可以帮助用户减少30-70%的安全漏洞提高应用软件安全性,与杀毒软件及防火墙共同抵御网络攻击。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
