概括

澳大利亞信號(hào)局的澳大利亞網(wǎng)絡(luò)安全中心 (ACSC)、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 以及美國(guó)國(guó)家安全局 (NSA) 聯(lián)合發(fā)布此網(wǎng)絡(luò)安全公告，以警告 Web 應(yīng)用程序和組織的供應(yīng)商、設(shè)計(jì)人員和開(kāi)發(fā)人員使用有關(guān)不安全直接對(duì)象引用 (IDOR) 漏洞的 Web 應(yīng)用程序。IDOR 漏洞是訪問(wèn)控制漏洞，惡意行為者可以通過(guò)向網(wǎng)站或 Web 應(yīng)用程序編程接口 (API) 發(fā)出指定其他有效用戶的用戶標(biāo)識(shí)符的請(qǐng)求來(lái)修改或刪除數(shù)據(jù)或訪問(wèn)敏感數(shù)據(jù)。如果無(wú)法執(zhí)行足夠的身份驗(yàn)證和授權(quán)檢查，這些請(qǐng)求就會(huì)成功。

這些漏洞在數(shù)據(jù)泄露事件中經(jīng)常被惡意行為者利用，因?yàn)樗鼈兒艹Ｒ?jiàn)，在開(kāi)發(fā)過(guò)程之外很難預(yù)防，并且可能被大規(guī)模濫用。IDOR 漏洞已導(dǎo)致數(shù)百萬(wàn)用戶和消費(fèi)者的個(gè)人、財(cái)務(wù)和健康信息遭到泄露。

ACSC、CISA 和 NSA 強(qiáng)烈鼓勵(lì)供應(yīng)商、設(shè)計(jì)人員、開(kāi)發(fā)人員和最終用戶組織實(shí)施本通報(bào)緩解部分中的建議（包括以下內(nèi)容），以減少 IDOR 缺陷的流行并保護(hù)其系統(tǒng)中的敏感數(shù)據(jù)。

• Web 應(yīng)用程序框架和 Web 應(yīng)用程序的供應(yīng)商、設(shè)計(jì)者和開(kāi)發(fā)人員：實(shí)施設(shè)計(jì)安全和默認(rèn)原則，并確保軟件對(duì)每個(gè)修改、刪除和訪問(wèn)敏感數(shù)據(jù)的請(qǐng)求執(zhí)行身份驗(yàn)證和授權(quán)檢查。

使用自動(dòng)化工具進(jìn)行代碼審查來(lái)識(shí)別和修復(fù) IDOR 和其他漏洞。

使用間接引用映射，確保 ID、名稱和鍵不會(huì)在 URL 中公開(kāi)。將它們替換為加密強(qiáng)度高的隨機(jī)值 - 特別是使用通用唯一標(biāo)識(shí)符 (UUID) 或全局唯一標(biāo)識(shí)符 (GUID)。

選擇要合并到應(yīng)用程序中的第三方庫(kù)或框架時(shí)要進(jìn)行盡職調(diào)查，并使所有第三方框架和依賴項(xiàng)保持最新。

• 所有最終用戶組織，包括采用軟件即服務(wù) (SaaS) 模式的組織：

選擇 Web 應(yīng)用程序時(shí)要進(jìn)行盡職調(diào)查。遵循供應(yīng)鏈風(fēng)險(xiǎn)管理的最佳實(shí)踐，并且僅從信譽(yù)良好的供應(yīng)商處采購(gòu)。

盡快為Web應(yīng)用打上軟件補(bǔ)丁。

• 部署本地軟件、基礎(chǔ)設(shè)施即服務(wù) (IaaS) 或私有云模型的最終用戶組織：

查看 Web 應(yīng)用程序中可用的身份驗(yàn)證和授權(quán)檢查，以允許修改數(shù)據(jù)、刪除數(shù)據(jù)或訪問(wèn)敏感數(shù)據(jù)。

定期進(jìn)行主動(dòng)漏洞掃描和滲透測(cè)試，以幫助確保面向互聯(lián)網(wǎng)的 Web 應(yīng)用程序和網(wǎng)絡(luò)邊界的安全。

技術(shù)細(xì)節(jié)

描述

IDOR 漏洞是 Web 應(yīng)用程序（以及使用受影響的 Web API 的手機(jī)應(yīng)用程序 [應(yīng)用程序]）中的訪問(wèn)控制漏洞，當(dāng)應(yīng)用程序或 API 使用標(biāo)識(shí)符（例如 ID 號(hào)、名稱或密鑰）直接訪問(wèn)對(duì)象（例如，數(shù)據(jù)庫(kù)記錄），但沒(méi)有正確檢查提交請(qǐng)求的用戶的身份驗(yàn)證或授權(quán)。根據(jù) IDOR 漏洞的類型，惡意行為者可以訪問(wèn)敏感數(shù)據(jù)、修改或刪除對(duì)象或訪問(wèn)功能。

• 當(dāng)用戶可以訪問(wèn)他們不應(yīng)以相同權(quán)限級(jí)別訪問(wèn)的數(shù)據(jù)（例如其他用戶的數(shù)據(jù)）時(shí)，就會(huì)出現(xiàn)橫向 IDOR 漏洞。
• 當(dāng)用戶可以訪問(wèn)他們不應(yīng)該訪問(wèn)的數(shù)據(jù)時(shí)，就會(huì)出現(xiàn)垂直 IDOR 漏洞，因?yàn)檫@些數(shù)據(jù)需要更高的權(quán)限級(jí)別。
• 當(dāng)用戶可以修改或刪除他們不應(yīng)修改或刪除的對(duì)象時(shí)，就會(huì)出現(xiàn)對(duì)象級(jí) IDOR 漏洞。
• 當(dāng)用戶可以訪問(wèn)他們不應(yīng)該訪問(wèn)的功能或操作時(shí)，就會(huì)出現(xiàn)功能級(jí) IDOR 漏洞。

通常，這些漏洞的存在是因?yàn)閷?duì)象標(biāo)識(shí)符被公開(kāi)、在外部傳遞或容易被猜測(cè)，從而允許任何用戶使用或修改該標(biāo)識(shí)符。

• 在正文操作中，參與者修改 POST 請(qǐng)求正文中的 HTML 表單字段數(shù)據(jù)以影響目標(biāo)記錄。
• 在URL 篡改中，攻擊者修改 URL 中的標(biāo)識(shí)符以影響目標(biāo)記錄。
• 在Cookie ID 操縱中，攻擊者將 Cookie 中的標(biāo)識(shí)符修改為不同用戶（包括管理用戶）的標(biāo)識(shí)符，以嘗試獲得對(duì)該賬戶的訪問(wèn)權(quán)限。
• 在HTTP/JSON 請(qǐng)求篡改中，攻擊者使用 Web 代理來(lái)攔截和更改合法請(qǐng)求的任意部分，包括 JSON 對(duì)象內(nèi)的值。

影響

這些漏洞很常見(jiàn)[1]，并且在開(kāi)發(fā)過(guò)程之外很難預(yù)防，因?yàn)槊總€(gè)用例都是獨(dú)特的，無(wú)法通過(guò)簡(jiǎn)單的庫(kù)或安全功能來(lái)緩解。此外，惡意行為者可以使用自動(dòng)化工具大規(guī)模檢測(cè)和利用它們。這些因素使最終用戶組織面臨數(shù)據(jù)泄露（信息無(wú)意暴露）或大規(guī)模數(shù)據(jù)泄露（惡意行為者獲取暴露的敏感信息）的風(fēng)險(xiǎn)。IDOR 漏洞導(dǎo)致的數(shù)據(jù)泄露或破壞包括：

• 2021 年 10 月發(fā)生的全球數(shù)據(jù)泄露事件，不安全的“跟蹤軟件”應(yīng)用程序泄露了數(shù)十萬(wàn)臺(tái)設(shè)備的手機(jī)數(shù)據(jù)，包括短信、通話記錄、照片和地理位置。[2] 這些應(yīng)用程序收集并轉(zhuǎn)發(fā)來(lái)自手機(jī)的據(jù)到相同的外國(guó)服務(wù)器基礎(chǔ)設(shè)施，其中包含 IDOR 漏洞CVE-2022-0732。[ 3] 這導(dǎo)致所收集的應(yīng)用程序數(shù)據(jù)暴露。[ 4]
• 2019 年的一次數(shù)據(jù)泄露事件，來(lái)自美國(guó)金融服務(wù)部門(mén)組織的超過(guò) 8 億份個(gè)人財(cái)務(wù)文件被泄露，包括銀行對(duì)賬單、銀行賬號(hào)和抵押付款文件。[ 5],[ 6]
• 2012 年的一次數(shù)據(jù)泄露事件中，惡意網(wǎng)絡(luò)攻擊者從美國(guó)通信部門(mén)組織的公開(kāi)訪問(wèn)網(wǎng)站獲取了超過(guò) 100,000 名移動(dòng)設(shè)備所有者的個(gè)人數(shù)據(jù)。[ 7]

緩解措施

供應(yīng)商和開(kāi)發(fā)商

ACSC、CISA 和 NSA 建議 Web 應(yīng)用程序的供應(yīng)商、設(shè)計(jì)者和實(shí)施者（包括構(gòu)建和部署供內(nèi)部使用的軟件（例如 HR 工具）的組織以及創(chuàng)建開(kāi)源項(xiàng)目的組織）實(shí)施以下緩解措施。這些緩解措施可能會(huì)減少軟件中 IDOR 漏洞的流行，并有助于確保產(chǎn)品在設(shè)計(jì)上和默認(rèn)情況下都是安全的。

• 在軟件開(kāi)發(fā)生命周期 (SDLC) 的每個(gè)階段實(shí)施并注入安全設(shè)計(jì)和默認(rèn)原則和最佳實(shí)踐。美國(guó)國(guó)家安全技術(shù)研究所 (NIST) 的安全軟件開(kāi)發(fā)框架 (SSDF) SP 800-218中定義了具體推薦的做法。特別注意：

在預(yù)期用途的背景下審查和評(píng)估第三方組件。

通過(guò)哈?；蚝灻?yàn)證來(lái)驗(yàn)證產(chǎn)品的完整性。

如果提供，請(qǐng)?jiān)谑褂媒M件之前檢查其軟件物料清單 (SBOM)是否有過(guò)時(shí)、易受攻擊或未經(jīng)授權(quán)的應(yīng)用程序。

使所有第三方框架和依賴項(xiàng)保持最新，以限制漏洞繼承。注意：組織應(yīng)維護(hù)第三方框架和依賴項(xiàng)的清單或目錄，以協(xié)助主動(dòng)更新?？紤]使用工具來(lái)識(shí)別項(xiàng)目依賴性和第三方代碼中的已知漏洞。有關(guān)更多信息，請(qǐng)參閱 OWASP 2018 年十大主動(dòng)控制，C2：利用安全框架和庫(kù)有關(guān)更多信息，請(qǐng)參閱聯(lián)合持久安全框架的《保護(hù)軟件供應(yīng)鏈：開(kāi)發(fā)人員推薦實(shí)踐指南》、CISA 的供應(yīng)鏈風(fēng)險(xiǎn)管理要點(diǎn)和 ACSC 的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理

使用間接引用映射，這樣 ID、名稱和鍵就不會(huì)在 URL 中公開(kāi)。將它們替換為加密強(qiáng)度高的隨機(jī)值 - 特別是使用 UUID 或 GUID。注意： UUID 和 GUID 不應(yīng)用于安全功能。有關(guān)詳細(xì)信息，請(qǐng)參閱征求意見(jiàn) (RFC) 4122 。將應(yīng)用程序配置為默認(rèn)拒絕訪問(wèn)，并確保應(yīng)用程序?qū)γ總€(gè)修改數(shù)據(jù)、刪除數(shù)據(jù)和訪問(wèn)敏感數(shù)據(jù)的請(qǐng)求執(zhí)行身份驗(yàn)證和授權(quán)檢查。例如：

• 在可行的情況下，使用驗(yàn)證碼來(lái)限制自動(dòng)無(wú)效的用戶請(qǐng)求。

• 盡可能使用內(nèi)存安全的編程語(yǔ)言。

• 語(yǔ)法驗(yàn)證驗(yàn)證每個(gè)輸入的傳入值是否滿足應(yīng)用程序的期望。進(jìn)行語(yǔ)法驗(yàn)證時(shí)，請(qǐng)驗(yàn)證字符串是否在所需的最小和最大長(zhǎng)度內(nèi)、字符串不包含不可接受的字符、數(shù)值是否在最小和最大邊界內(nèi)以及輸入的數(shù)據(jù)類型是否正確。

• 邏輯驗(yàn)證添加了檢查，以查看輸入值是否有意義并且與設(shè)計(jì)意圖一致。進(jìn)行邏輯驗(yàn)證時(shí)，驗(yàn)證授權(quán)檢查是否在正確的位置執(zhí)行、具有不同的血統(tǒng)，并且對(duì)失敗的身份驗(yàn)證和授權(quán)請(qǐng)求進(jìn)行錯(cuò)誤處理。

• 規(guī)范化請(qǐng)求。有多種方法可以對(duì)網(wǎng)絡(luò)輸入進(jìn)行編碼和解碼。在創(chuàng)建訪問(wèn)控制檢查點(diǎn)之前對(duì)輸入進(jìn)行解碼和標(biāo)準(zhǔn)化。確保訪問(wèn)控制系統(tǒng)和 Web 應(yīng)用程序的其他部分執(zhí)行相同的標(biāo)準(zhǔn)化。

• 利用語(yǔ)法和邏輯驗(yàn)證實(shí)施參數(shù)驗(yàn)證，以便 Web 應(yīng)用程序驗(yàn)證每個(gè) HTTP/S 請(qǐng)求收到的所有輸入。拒絕無(wú)效請(qǐng)求可以減輕訪問(wèn)控制系統(tǒng)的負(fù)擔(dān)。

• ACSC、CISA 和 NSA 建議對(duì)所有受支持的版本使用自動(dòng)代碼分析工具來(lái)識(shí)別和修復(fù)漏洞。

• 根據(jù)同行編碼標(biāo)準(zhǔn)進(jìn)行代碼審查[ SSDF PW 7.2、RV 1.2 ]，檢查后門(mén)、惡意內(nèi)容或邏輯缺陷。

• 遵循Web 和移動(dòng)應(yīng)用程序的 安全編碼實(shí)踐[ SSDF PW 5.1 ]，以確保它們正確驗(yàn)證用戶輸入并生成強(qiáng)大的用戶 ID。

• 測(cè)試代碼以識(shí)別漏洞并驗(yàn)證是否符合安全要求 [ SSDF PW 8.2 ]。

• 使用自動(dòng)化測(cè)試工具來(lái)促進(jìn)測(cè)試，使用模糊測(cè)試具來(lái)查找輸入處理問(wèn)題，[ 8]并使用滲透測(cè)試來(lái)模擬威脅行為者如何利用軟件?？紤]使用動(dòng)態(tài)應(yīng)用程序安全測(cè)試 (DAST) 工具來(lái)識(shí)別 Web 應(yīng)用程序中的 IDOR 漏洞。

• 對(duì)負(fù)責(zé)安全軟件開(kāi)發(fā)的人員進(jìn)行基于角色的培訓(xùn)[ SSDF PO 2.2 ]。

• 在選擇要合并到您的應(yīng)用程序中的第三方庫(kù)或框架時(shí)進(jìn)行盡職調(diào)查[ SSDF PW 4.1 ]。

• 建立漏洞披露計(jì)劃，驗(yàn)證和解決組織內(nèi)部或外部人員披露的安全漏洞。

此外，ACSC、CISA 和 NSA 建議在生產(chǎn)和企業(yè)環(huán)境中遵循網(wǎng)絡(luò)安全最佳實(shí)踐。軟件開(kāi)發(fā)人員是高價(jià)值目標(biāo)，因?yàn)樗麄兊目蛻粼谧约旱目尚啪W(wǎng)絡(luò)上部署軟件。有關(guān)最佳實(shí)踐，請(qǐng)參閱：

• ACSC 的八項(xiàng)基本要素八項(xiàng)基本策略是幫助網(wǎng)絡(luò)安全專業(yè)人員減輕各種網(wǎng)絡(luò)威脅引起的網(wǎng)絡(luò)安全事件的優(yōu)先策略。
• CISA 的跨部門(mén)網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG)。CPG 由 CISA 和 NIST 開(kāi)發(fā)，是 IT 和 OT 安全實(shí)踐的優(yōu)先子集，可以有效降低已知網(wǎng)絡(luò)風(fēng)險(xiǎn)以及常見(jiàn)策略、技術(shù)和程序的可能性和影響。由于 CPG 是最佳實(shí)踐的子集，ACSC、CISA 和 NSA 還建議軟件制造商基于公認(rèn)的框架（例如 NIST網(wǎng)絡(luò)安全框架 (CSF)）實(shí)施全面的信息安全計(jì)劃。
• NSA 的十大網(wǎng)絡(luò)安全緩解措施。十大組織為企業(yè)活動(dòng)設(shè)定了優(yōu)先事項(xiàng)，以應(yīng)對(duì)廣泛的利用技術(shù)并最大限度地減少任務(wù)影響。

所有最終用戶組織

ACSC、CISA 和 NSA 建議所有最終用戶組織（包括擁有本地軟件、SaaS、IaaS 和私有云模型的組織）實(shí)施以下緩解措施，以改善其網(wǎng)絡(luò)安全狀況。

• 選擇網(wǎng)絡(luò)應(yīng)用程序時(shí)要進(jìn)行盡職調(diào)查。遵循供應(yīng)鏈風(fēng)險(xiǎn)管理的最佳實(shí)踐，并從信譽(yù)良好的供應(yīng)商處采購(gòu)，這些供應(yīng)商表現(xiàn)出對(duì)設(shè)計(jì)安全和默認(rèn)原則的承諾。

通過(guò)哈?；蚝灻?yàn)證來(lái)驗(yàn)證產(chǎn)品的完整性。

如果提供，請(qǐng)?jiān)谑褂卯a(chǎn)品之前 查看SBOM是否有過(guò)時(shí)、易受攻擊或未經(jīng)授權(quán)的應(yīng)用程序。

有關(guān)詳細(xì)信息，請(qǐng)參閱持久安全框架的《保護(hù)軟件供應(yīng)鏈：客戶推薦實(shí)踐指南》、CISA 的供應(yīng)鏈風(fēng)險(xiǎn)管理要點(diǎn)和 ACSC 的網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理

• 盡快為Web應(yīng)用打上軟件補(bǔ)丁。
• 配置應(yīng)用程序以記錄篡改嘗試并生成警報(bào)- 網(wǎng)絡(luò)防御者可以利用此信息進(jìn)行調(diào)查并采取適當(dāng)?shù)暮罄m(xù)行動(dòng)。

• 建立基線以有效識(shí)別異常行為。注意： Web 應(yīng)用程序錯(cuò)誤代碼（例如HTTP 404和 ）HTTP 403與常見(jiàn)枚舉技術(shù)相關(guān)。

• 將日志聚合到集中式解決方案（例如安全信息和事件管理 [SIEM] 工具）中，以促進(jìn)主動(dòng)監(jiān)控和威脅搜尋。

• 創(chuàng)建、維護(hù)和實(shí)施基本的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃 (IRP) 和相關(guān)的通信計(jì)劃。計(jì)劃應(yīng)包括數(shù)據(jù)泄露和網(wǎng)絡(luò)事件的響應(yīng)和通知程序。有關(guān)更多信息，請(qǐng)參閱：

• ACSC：準(zhǔn)備和應(yīng)對(duì)網(wǎng)絡(luò)事件

• ACSC：網(wǎng)絡(luò)事件響應(yīng)計(jì)劃 - 指南

• ACSC：網(wǎng)絡(luò)事件響應(yīng)準(zhǔn)備清單澳大利亞信息專員辦公室 (OAIC)：數(shù)據(jù)泄露準(zhǔn)備和響應(yīng)

• OIAC：數(shù)據(jù)泄露響應(yīng)計(jì)劃

• CISA：事件響應(yīng)計(jì)劃基礎(chǔ)知識(shí)

• CISA：聯(lián)邦政府網(wǎng)絡(luò)安全事件和漏洞響應(yīng)手冊(cè)（雖然是為美國(guó)聯(lián)邦民事部門(mén) (FCEB) 機(jī)構(gòu)量身定制的，但這些手冊(cè)提供了規(guī)劃和開(kāi)展網(wǎng)絡(luò)安全事件和漏洞響應(yīng)活動(dòng)的操作程序，以及事件和漏洞響應(yīng)的詳細(xì)步驟。）

• CISA：保護(hù)敏感信息和個(gè)人信息免遭勒索軟件導(dǎo)致的數(shù)據(jù)泄露

此外，ACSC、CISA 和 NSA 建議遵循網(wǎng)絡(luò)安全實(shí)踐。有關(guān)最佳實(shí)踐，請(qǐng)參閱 ACSC 的八項(xiàng)基本策略

CISA 的CPG和 NSA 的十大網(wǎng)絡(luò)安全緩解策略。

具有本地軟件、IaaS 或私有云模型的最終用戶組織

ACSC、CISA 和 NSA 建議組織：

• 定期進(jìn)行主動(dòng)滲透測(cè)試，以確保網(wǎng)絡(luò)邊界以及 Web 應(yīng)用程序的安全。優(yōu)先考慮面向互聯(lián)網(wǎng)并包含用戶登錄功能的 Web 應(yīng)用程序。此類測(cè)試可能超出某些組織的技術(shù)或財(cái)務(wù)能力?？紤]使用受信任的第三方進(jìn)行滲透測(cè)試，以發(fā)現(xiàn)新的攻擊媒介（特別是在部署新的或更改的面向互聯(lián)網(wǎng)的服務(wù)之前）。注意：組織應(yīng)酌情咨詢其法律顧問(wèn)，以確定哪些系統(tǒng)和應(yīng)用程序可以包含在滲透測(cè)試范圍內(nèi)。

• 使用 Web 應(yīng)用程序滲透測(cè)試工具捕獲在請(qǐng)求包含敏感數(shù)據(jù)的網(wǎng)頁(yè)時(shí)發(fā)送到 Web 服務(wù)器的用戶標(biāo)識(shí)符，并映射用戶輸入用于直接引用對(duì)象的所有位置。使用不同權(quán)限級(jí)別的用戶（例如普通用戶和管理員用戶）進(jìn)行測(cè)試。

• 使用 DAST 和其他漏洞掃描器來(lái)檢測(cè) IDOR 漏洞。DAST 工具通過(guò)滲透測(cè)試識(shí)別 Web 應(yīng)用程序中的漏洞并生成自動(dòng)警報(bào)。注意：選擇 DAST 工具時(shí)要進(jìn)行盡職調(diào)查。并非所有 DAST 工具都可以檢測(cè) IDOR 漏洞 - 具有這種能力的工具可能需要以特定方式配置的環(huán)境，并且還可能需要適當(dāng)?shù)淖远x規(guī)則。足夠的 DAST 工具通常會(huì)攝取應(yīng)用程序 API 文檔來(lái)構(gòu)建應(yīng)用程序的模型。雖然這些工具可用于檢測(cè) IDOR 漏洞，但它們并非萬(wàn)無(wú)一失，應(yīng)與其他安全測(cè)試方法結(jié)合使用以確保全面覆蓋。
• 立即向供應(yīng)商或開(kāi)發(fā)人員報(bào)告檢測(cè)到的漏洞。或者（或者如果供應(yīng)商或開(kāi)發(fā)人員未能做出響應(yīng)），向 CISA 報(bào)告該漏洞。
• 考慮建立漏洞披露計(jì)劃驗(yàn)證、解決和報(bào)告組織內(nèi)部或外部人員披露的安全漏洞。
• 使用 Web 應(yīng)用程序防火墻 (WAF)來(lái)過(guò)濾、監(jiān)控和阻止流向 Web 應(yīng)用程序的惡意 HTTP/S 流量。
• 使用數(shù)據(jù)丟失防護(hù) (DLP) 工具來(lái)防止未經(jīng)授權(quán)的數(shù)據(jù)離開(kāi)應(yīng)用程序。

ACSC、CISA 和 NSA 建議擁有本地軟件或 IaaS 的組織考慮將 SaaS 模型用于其面向互聯(lián)網(wǎng)的網(wǎng)站。

采用 SaaS 模式的最終用戶組織

擁有足夠資源的利用 SaaS 的組織可以考慮進(jìn)行滲透測(cè)試并使用漏洞掃描器。然而，此類測(cè)試可能會(huì)干擾服務(wù)提供商的運(yùn)營(yíng)。組織應(yīng)酌情咨詢其法律顧問(wèn)，以確定滲透測(cè)試范圍內(nèi)可以包含哪些內(nèi)容。

事件響應(yīng)

如果您或您的組織是數(shù)據(jù)泄露或網(wǎng)絡(luò)事件的受害者，請(qǐng)酌情遵循相關(guān)的網(wǎng)絡(luò)事件響應(yīng)和溝通計(jì)劃。

• 澳大利亞：受到網(wǎng)絡(luò)安全事件影響或需要幫助的澳大利亞組織可以通過(guò) 1300 CYBER1 (1300 292 371) 聯(lián)系 ACSC，或向cyber.gov.au交報(bào)告。
• 美國(guó)：美國(guó)組織可以通過(guò)Report@cisa.dhs.gov
• cisa.gov/report或 (888) 282-0870向 CISA 的 24/7 運(yùn)營(yíng)中心報(bào)告網(wǎng)絡(luò)安全事件。如果有的話，請(qǐng)?zhí)峁┯嘘P(guān)事件的信息：事件的日期、時(shí)間和地點(diǎn)；活動(dòng)類型；受影響人數(shù)；用于活動(dòng)的設(shè)備類型；提交公司或組織的名稱；以及指定的聯(lián)絡(luò)點(diǎn)。

資源

• 有關(guān)設(shè)計(jì)安全設(shè)計(jì)和默認(rèn)產(chǎn)品的更多指導(dǎo)，請(qǐng)參閱聯(lián)合指南《改變網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的平衡：設(shè)計(jì)安全和默認(rèn)安全的原則和方法》。
• 有關(guān)防止數(shù)據(jù)泄露的更多指導(dǎo)，請(qǐng)參閱 ACSC 有關(guān)數(shù)據(jù)泄露的頁(yè)。

參考

[1] A01 訪問(wèn)控制損壞 - OWASP Top 10:2021

[2]大規(guī)?！案欆浖毙孤妒箶?shù)千人的手機(jī)數(shù)據(jù)面臨風(fēng)險(xiǎn)

[3]移動(dòng)設(shè)備監(jiān)控服務(wù)不對(duì) API 請(qǐng)求進(jìn)行身份驗(yàn)證

[4]跟蹤軟件網(wǎng)絡(luò)泄露數(shù)十萬(wàn)私人電話數(shù)據(jù)的背后

[5]第一美國(guó)金融公司泄露數(shù)億份產(chǎn)權(quán)保險(xiǎn)記錄

[6]美國(guó)歷史上最大的數(shù)據(jù)泄露事件 [2023 年更新]

[7] AT&T 黑客“Weev”被判處 3.5 年監(jiān)禁

[8]模糊測(cè)試 | OWASP基金會(huì)

后記：我們會(huì)發(fā)現(xiàn)，美西方國(guó)家對(duì)網(wǎng)絡(luò)安全體系化的控制，一直以來(lái)本公眾號(hào)在整理過(guò)程中，都是希望大家能夠以“拿來(lái)主義”精神，借鑒吸收提升自身網(wǎng)絡(luò)安全能力，同時(shí)看到差距后能夠自省我們的網(wǎng)絡(luò)安全工作。