首页
社区
课程
招聘
[资讯](11.23)2017年OWASP Top 10最终版本发布
发表于: 2017-11-23 10:07 3421

[资讯](11.23)2017年OWASP Top 10最终版本发布

2017-11-23 10:07
3421

2017年OWASP Top 10最终版本发布


在4月份,OWASP发不了2017年OWASP Top 10的首个候选版本,引人注目的是出现了两个新类别的漏洞。

  • 攻击检测和防范不足
  • 未受保护的API

2017年OWASP Top 10是基于23个贡献者的数据,涵盖了114,000个应用程序。 OWASP在GitHub上发布了报告相关的数据,这些类别是根据它们构成的风险来选择的,那么它们的安全风险又是什么呢?

 

攻击者可能会凭借应用程序使用许多不同的手段来损害你的业务或组织,而每一种方式所带来的风险有些能够引起足够的重视,而有些却可能不够重视。但是大多数时候这些漏洞很难找到,并且很难加以利用。

 

OWASP Top 10 2017 包括:

  • 注入
  • 认证失效
  • 敏感数据泄露
  • XML外部实体(XXE)
  • 失效的访问控制
  • 安全配置不当
  • XSS
  • 不安全的反序列化
  • 使用已知漏洞组件
  • 日志防范和攻击检测不足

其中,第四项不安全的直接对象引用和第七项功能级访问控制缺失的合并为第五项失效的访问控制

 

 

OWASP将跨站点脚本(XSS)单独成类,同时删除了跨站点请求伪造(CSRF)。由于发现CSRF的应用程序不到5%,同时只在8%左右的应用程序中发现未验证的重定向和转发,因此删除了CSRF

 

新添加的类包括XXE不安全的反序列化日志防范和攻击检测不足,而后者对于许多组织来说是个严重的问题。

 

原文链接

 

本文由看雪翻译小组fyb波编译。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 6112
活跃值: (1212)
能力值: (RANK:30 )
在线值:
发帖
回帖
粉丝
2

IoT设备安全问题令人堪忧,导致DDoS攻击在2017年上半年增长一倍

安全公司Corero的一份报告称:因不安全的IoT设备,DDos攻击在2017年的上半年翻了一倍。

 

只要电脑联网,DoS攻击就会一直存在。如果有的公司依赖于互联网销售产品或分工协作,那DoS攻击就会成为一件致命的事情。

 

在过去几年里,DoS攻击一直在“猫捉老鼠”的革命进程中缓慢的增长——黑客们的攻击越来越强,网络公司也用越来越强大的设备来防御。通常僵尸网络的攻击会损坏或感染电脑和服务器。购买和维护这些僵尸网络系统的费用十分高昂,所以经济上的限制对此类攻击影响很大。但是2016年Mirai事件的发生,改变了一切。

 

Mirai僵尸网络并不与网络公司的安全团队或安全技术对抗,如杀毒软件和防火墙。

 

而是直接瞄准数以百万计的物联网设备,如联网摄像头、家用联网路由器,用来构建僵尸网络。由于没有任何安全技术检测,Mirai僵尸网络继续发展壮大,并发起了前所未有的大规模DDoS攻击。

 

Arbor Netword 在2016年年底发布的一份报告称:“2016年,IoT僵尸网络成为大量DDoS攻击的源头。到目前为止,这些攻击还没有改变/放大技术。他们只是利用了大量的IoT设备。”报告还强调了,过去的2015年DDoS攻击急速增长,攻击的数量及时间都有所增加。卡巴斯基2016年第四季度情报报告中称:“2016年Q4,最长的一次攻击持续了292小时,约12.2天——这是过去几个季节的最大值(184小时,约7.7天),创造了2016年的记录。”

 

有利益的驱使,那我们可以推测网络犯罪分子将会进一步利用物联网的不安全性,攻击将呈上升态势。

 

数据显示,2017年年初,攻击频率为机构组织现平均每天4次,但如今攻击数量上升为 平均每天8 次。不安全物联网设备和 DDoS 出租服务是导致攻击数量上升的重要原因。

 

大规模的 DDoS 攻击数量的成为了媒体的关注焦点,但这只是攻击的一小部分。最有意思的是,2017 年第二季度有20%的 DDoS 攻击使用了多种载体何技术,旨在绕过目标网络的安全防御系统。换言之,攻击者的目标不是DoS 攻击,而是声东击西,借此隐藏恶意软件注入和偷取数据的行为。

 

DDoS已经成为一种十分成熟、且有利可图的技术。

 

目前,只需要每小时 20 美元,任何黑客都可采用僵尸网络针对目标企业发动攻击。此外,网络犯罪分子通过DoS勒索项目,向企业索要赎金,并利用DDoS掩盖其他网络犯罪活动。只要有利可图,那DDoS的攻击就没有尽头。

 

来源:securityaffair
本文由看雪翻译小组哆啦咪编译

2017-11-23 11:53
0
游客
登录 | 注册 方可回帖
返回
//