Web 应用程序威胁：攻击面映射与防护

从网络安全的角度来看，在现代Web应用程序的黑暗世界中导航可能是一个雷区。许多这类关键应用程序包含错综复杂的层，如果在设计时没有考虑安全性，它们可能是漏洞的滋生地。

因此，对于组织而言，至关重要的是找到并了解有经验的黑客可能将其用作切入点的任何方面。为此，安全团队必须更好地了解其应用程序体系结构中的弱点，以减少整体攻击面。

通常，Web应用程序是收集和存储客户个人身份信息（PII）和特权财务数据的地方。该信息不仅对于日常业务运营具有不可思议的价值，而且还受到国际交叉监管要求的保护，并且不遵守该信息可能导致高额罚款，客户信任度的重大损失和负面宣传。

此外，由于大多数企业在在家工作的“新常态”之后优先考虑业务连续性，由于资源和时间的限制，许多应用程序的安全性不足。但是，这种误导的方法可能与英国远程工作者网络安全卫生状况恶化的趋势直接相关。

网络罪犯一直在不断采取策略，侵入网络应用程序，提取个人数据。有人可能会认为，仅凭基本的用户控制和web应用程序防火墙(WAF)就可以防止灾难性的场景，但不幸的是，没有人能免受这些简单的应用程序攻击的影响。

据记载，Web应用程序攻击可能对企业造成多大危害，2019年所有数据泄露中有五分之二以上（43％）与该威胁有关。此外，根据Verizon DBIR 2020报告，它们是造成数据泄露的最大原因。

网络罪犯以尽职调查而闻名，他们会在选择目标时竭尽全力，小心翼翼地收集潜在受害者的信息，在发动攻击前找出系统中的薄弱环节。未能解决在线基础设施内部潜在问题的企业，低估了现代黑客的意愿。

即使是最轻微的错误也可能让黑客在您的系统中找到立足点，或者在您不注意的情况下，在您的钱箱中找到立足点。

重要的是要记住，在修补Web应用程序时，没有一种万能的解决方案，因此对关键基础结构的内在理解对于保护敏感信息至关重要。

攻击面映射和防护

那么，安全团队如何才能成功映射Web应用程序的整个攻击面，并在为时已晚之前确定关键的攻击媒介？从应用程序发现开始，这可以分为三个关键阶段。企业应该拥有自己拥有哪些关键Web应用程序以及最有可能暴露在何处的清单。

这里存在一个问题，因为应用程序和相关漏洞的数量很容易成千上万，尤其是在较大的组织中,阴影更普遍,所以它是重要的来定位公开暴露web应用程序在例行节奏来阐明潜在的盲点。

下一步行动是针对针对软件漏洞的七种最常利用的攻击途径，对确定的Web应用程序的风险级别进行审查：

• 首先，您具有安全机制，该机制确定如何保护用户与应用程序之间的web通信。
• 接下来，根据使用哪种编码语言和Web设计程序，创建页面的方法将揭示更多的安全问题。
• 第三种攻击途径称为分布程度，它与创建的页面数量相关，因为制作的页面越多意味着遇到问题的可能性就越大，因此必须监控所有页面。
• 身份验证欺骗的发生时间为四点，并且指出在审查了所有访问权限之后，必须对访问Web应用程序的合法用户的身份进行验证，并且应该仅对需要验证的用户进行验证，否则任何人都可以进入。
• 输入向量也是输入字段越多的问题，攻击面增加的可能性就越大，这可能导致跨站点脚本攻击。
• 在第六位，我们拥有活动内容，这些活动内容在应用程序运行脚本时使用，它会启动活动内容，并且根据实施这些脚本的方式，如果使用多种活动内容技术开发网站，攻击面可能会增加。
• 最后，第七个攻击媒介是cookie，它是必需的，以允许实时应用程序安全性监视会话活动，这对于减少未经授权的访问（尤其是针对网络罪犯的访问）是有益的。

Securing the Crown Jewels

当针对上述七个向量证实了Web应用程序时，必须将结果与时间（业务关键性）和环境（更新频率）相关联，以便确定总体风险状况。当获得有关总可寻址攻击面的知识（包括薄弱环节和强项所在）后，安全团队将拥有部署安全控制所需的弹药。

一旦绘制了风险分数，安全团队将拥有必要的数据，以在安全防御中实施有效且连续的应用程序测试并提供投资回报。