在Web安全方面，面對各種安全漏洞，IT和安全專業(yè)人員通常采取防御措施，而缺少積極主動的措施。

[[193402]]

在各種類型和規(guī)模的企業(yè)中，有些網(wǎng)絡(luò)安全人員(包括CIO和其他高管)稱他們會定期掃描其網(wǎng)站和應(yīng)用。有些人稱他們的應(yīng)用是正在進(jìn)行的滲透測試工作的一部分，并感覺這可確保安全性。還有些人認(rèn)為管理web安全漏洞不是他們的職責(zé)，因為網(wǎng)站和應(yīng)用托管在云端。

我理解前兩種做法，但第三種則不可原諒。企業(yè)需要專注于安全工作，特別是安全評估，對web環(huán)境的評估可確保安全性，而無論它們托管在哪里。

這個問題是可以解決的。首先，現(xiàn)在有很多非常好的在線資源可提升網(wǎng)絡(luò)安全狀態(tài)，例如OWASP Top 20和OWASP WebGoat項目。

我發(fā)現(xiàn)有些人從未聽說過OWASP，他們不了解它可為其信息安全計劃帶來的價值。如果您希望提高網(wǎng)絡(luò)安全狀態(tài)，對于初學(xué)者來說，我建議您查看OWASP Top 10以及其網(wǎng)站上其他資源。OWASP Top 10仍然還是2013年版，目前新版本正在公開征詢階段，計劃在2017年8月之前發(fā)布。

如果您想要了解應(yīng)該學(xué)習(xí)哪些web安全漏洞，F(xiàn)oundstone軟件應(yīng)用安全服務(wù)工具(例如Hacme Bank)是非常不錯的工具。雖然它們已經(jīng)過時，但仍然有效。您可關(guān)注這些資源和其他免費(fèi)工具。

在web安全方面，您無法修復(fù)您不知道的網(wǎng)絡(luò)漏洞。測試web安全漏洞應(yīng)該被視為獨(dú)立的計劃，至少對于核心或關(guān)鍵應(yīng)用是這樣。這意味著您需要將個別應(yīng)用作為獨(dú)立項目進(jìn)行測試。

我看到太多掃描(通常使用通用網(wǎng)絡(luò)漏洞掃描程序執(zhí)行)和滲透測試掩蓋了企業(yè)web應(yīng)用的重要部分?；谀鷚eb系統(tǒng)的可視性，以及高潛在風(fēng)險，您應(yīng)該花時間對應(yīng)用進(jìn)行測試，無論是否使用用戶身份驗證。您應(yīng)該在代碼中先查找明顯的漏洞，然后再找不那么明顯的漏洞。

下面是內(nèi)部和云技術(shù)應(yīng)用、營銷網(wǎng)站及其隨附內(nèi)容管理系統(tǒng)中最常見的web安全漏洞，以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施系統(tǒng)和物聯(lián)網(wǎng)設(shè)備中經(jīng)常被忽視的問題：

1.跨站腳本，這可方便客戶端漏洞利用。

2.SQL注入，這可允許直接的數(shù)據(jù)庫連接以及遠(yuǎn)程命令提示符。

3.低強(qiáng)度或默認(rèn)密碼以及弱密碼策略，包括無入侵者鎖定，這可方便密碼破解。

4.糟糕設(shè)計的密碼重置功能，這可被攻擊者操縱或者用于創(chuàng)建不必要的密碼泄露。

5.用戶會話管理問題，例如使用在初次登錄和注銷后未更改的cookie，這可通過中間人攻擊或本地瀏覽器操縱被攻擊者利用。

6.開放代理(內(nèi)部和外部)，允許人們使用您的網(wǎng)絡(luò)進(jìn)行web訪問或者繞過內(nèi)部安全控制

7.輸入驗證漏洞，可方便HTTP重定向和幀注入

8.網(wǎng)絡(luò)表單缺乏CAPTCHA，這可創(chuàng)造電子郵件拒絕服務(wù)攻擊。

還有缺少OS和應(yīng)用修補(bǔ)程序，雖然這并不直接相關(guān)，但這會影響Web安全性，因此請務(wù)必對其進(jìn)行測試。

Web安全的目標(biāo)不是尋找所有系統(tǒng)中的所有漏洞。您需要專注于尋找重要應(yīng)用和系統(tǒng)中的緊急web安全漏洞。當(dāng)您專注于緊急和重要漏洞時，根據(jù)80/20定律，通過查找并解決20%的漏洞，您可解決它們制造的80%的問題。

在您控制好后，您可進(jìn)一步查找所有web系統(tǒng)中的漏洞。您可使用Nmap或SoftPerfect Network Scanner等工具進(jìn)行端口掃描，以尋找在通常端口(例如80、443和8080)運(yùn)行的網(wǎng)站和應(yīng)用。您會發(fā)現(xiàn)大量您可能不知道的系統(tǒng)，掃描這些系統(tǒng)，并查看它們包含的漏洞。即使是多功能打印機(jī)和復(fù)印機(jī)的web端口都可能帶來風(fēng)險。如果您沒有找到任何漏洞，說明您不夠用心，或者沒有使用正確的工具(即專業(yè)web漏洞掃描儀，例如Netsparker和Acunetix Web安全掃描儀)。

從開發(fā)和質(zhì)量保證一直到測試和持續(xù)監(jiān)督，您需要將安全視為整體安全計劃的核心組件，否則您將繼續(xù)面臨外部攻擊者、惡意內(nèi)部人員和惡意軟件帶來的風(fēng)險。

請不要再使用通用掃描和測試，這非常重要。專業(yè)掃描測試不僅會發(fā)現(xiàn)更多漏洞，還能讓您更好的了解您的網(wǎng)絡(luò)，從而先解決最重要的風(fēng)險。