![[思考]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_15.f58c082.png)
SAST小知识 | 静态应用程序安全测试 (SAST) 概述
获得徽章 8
- 小知识 | 什么是SBOM?
软件材料清单(software Bill of Materials, SBOM),SBOM是组成软件程序或应用程序的成分列表。从安全开发角度来说,大多是代码库中所有开放源码和第三方组件的列表。SBOM中列出的管理这些组件的许可证、代码库中使用的组件的版本及其补丁状态,有助于安全团队快速识别任何相关的安全或许可证风险。展开评论点赞 - 漏洞 | 路径遍历漏洞
路径遍历漏洞是什么?
为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。
许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如,“..”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或目录。例如”../”作为一种常见的特殊字符串,在大多数操作系统中被解释为当前位置的父目录,这种使用特殊元素../的路径遍历漏洞又被称为 相对路径遍历。路径遍历还包括使用绝对路径名(如"/usr/local/bin"),用于访问非预期的文件,这称为 绝对路径遍历。
路径遍历漏洞的构成条件有哪些?
1、数据从不可靠来源(包括但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件)进入应用程序;
2、该数据被用于构造新的文件目录,进一步进行访问或修改。
路径遍历漏洞会造成哪些后果?
1、攻击者可能创建或覆盖关键文件。例如程序或库,并用于执行;
2、攻击者绕过安全机制获取重要数据。例如,在可访问的文件路径末尾附加”../”等路径并重定向到本无权限的重要数据,这可能允许攻击者绕过身份验证;
3、攻击者可能能够覆盖,删除或损坏关键文件。例如程序,库或重要数据。这可能会阻止软件完全工作,并且在诸如认证之类的保护机制的情况下,它有可能锁定软件的每个用户。展开评论点赞 - 小知识 | 什么是凭证填充?
“凭据填充是一种攻击类型,黑客使用自动化和受损用户名和密码列表来破坏身份验证和授权机制,最终目标是帐户接管 (ATO) 和/或数据泄露。” 换句话说,不良行为者收集被破坏的用户名和密码列表,并针对所需的登录名运行它们,直到他们找到一些有效的登录名。然后,他们出于滥用权限、窃取数据或两者兼而有之的目的进入这些帐户。
为什么现在这么流行?
现在,通过受损凭证列表(许多在黑客论坛上免费发布)并运行低复杂度的凭证填充攻击,比以往任何时候都更容易、更经济。在工具方面,黑客也在使用同样有效的资源来实现自动化防御、自动化攻击。这些升级的功能包括脚本和自动化工具、API和流量限制(将暴力攻击伪装成合法流量)。
此外,随着远程工作、XaaS 技术和应用程序便利性的大力推动,企业更加依赖API,而这些API往往得不到充分保护。它们不是面向客户的,因此在保护方面似乎存在滞后。然而,“眼不见,心不烦”显然更利于网络犯罪分子。而且,围绕创建用户名和密码仍然存在普遍的不良卫生习惯,其中许多在多个网站上重复使用。
撞库攻击的工作原理
攻击者可以采取以下几个步骤来实施成功的撞库活动:
确定目标及其API。不良行为者会寻找托管服务器、域名和易受攻击的API端点。在过去几年中,超过50%的泄露记录来自应用程序和API。
收集被盗凭据的数据库。这些被盗的用户名和密码列表作为攻击的弹药。如果这一套被批量使用,就会自动进入。如果只是其中一个,暴力强迫可以更容易地找到另一个。
创建一个自动化且不受怀疑的工具。然后,自动化工具或脚本将对接入点进行暴力破解,直到其中一个有效。大多数黑客通过限制每小时的尝试次数来使这看起来像是合法的用户活动。
发起攻击。从云或各种地理位置发起攻击以逃避检测。
从结果中学习并转向ATO。黑客将检查成功代码,并经常将所有结果编码到他们的自动化工具中,以使攻击在下一次更加有效。一旦他们获得了一个可行的登录,就实现了 ATO,数据泄露就开始了。展开评论点赞 - 漏洞 | URL重定向(跳转)漏洞
URL重定向(URLredirection)漏洞,又称跳转漏洞,指的是网络应用程序接受用户可控的输入作为到外部站点的链接,然后在重定向中使用该链接。该安全漏洞给网络钓鱼攻击提供了极大的便利。
评论点赞 - 漏洞 | 什么是SQL注入漏洞?
SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。展开评论点赞 ![[思考]](//lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_15.f58c082.png)
SAST小知识 | 静态应用程序安全测试 (SAST) 概述
当我们谈论 SAST 时,我们指的是旨在分析应用程序源代码、字节码和二进制文件的安全漏洞的安全工具。应用程序在非运行状态下进行分析,因此是“静态”测试。
SAST 可供开发人员使用并集成到 IDE 中。这些工具告诉开发人员哪些代码可能易受攻击,并提供有关如何修复的建议。
SAST 工具具有源代码访问权限,并且可以提供比 DAST 和 IAST 更好的覆盖率。此外,SAST 可以被动运行,无需太多配置,也无需担心由于代码未执行而破坏应用程序。展开赞过
评论1- 漏洞 | 什么是服务器端请求伪造 (SSRF)?
服务器端请求伪造(SSRF)是OWASP 2021年十大漏洞中唯一有自己类别的漏洞类型。近年来,包括Capital One和MS Exchange攻击在内的几起重大网络安全事件,都使用了SSRF作为入侵技术之一。
SSRF漏洞让攻击者从有漏洞的应用程序的后端服务器发送精心制作的请求。犯罪分子通常使用 SSRF 攻击来针对位于防火墙后面且无法从外部网络访问的内部系统。攻击者还可以利用 SSRF 访问通过被利用服务器的环回接口 (127.0.0.1) 提供的服务。
当攻击者完全或部分控制web应用程序发送的请求时,就会出现SSRF漏洞。一个常见的例子是攻击者可以控制web应用程序向其发出请求的第三方服务URL。展开评论点赞 - SAST小知识 | 为什么会产生误报、漏报?
静态应用程序测试工具本身基于一些算法,对程序数据、控制流分析,预判程序中存在的潜在问题。而算法耗时与准确度成正比。作为工具产品,高运行、高准确度的检测并不容易实现。因此在设计中存在简化、取舍,导致精度流失,运行时间和算法精度之间要达到平衡,因此产生误报。展开赞过 评论1 - IBM 数据泄露成本研究:数据泄露的平均成本超过 420 万美元
该研究基于与2020 年5月至 2021年3月期间 500 多个组织遭受的数据泄露相关的数据。大多数分析的事件都涉及泄露个人身份信息 (PII)。每条记录的平均成本为180 美元,每条记录的总体平均成本为 161 美元,高于前一年的 146 美元(自 2017 年以来增长 14.2%)。
组织用于识别和控制事件的平均天数为 287 天,比上一年增加了7天。展开赞过 评论1
