<acronym id="6uiss"><center id="6uiss"></center></acronym>
<acronym id="6uiss"></acronym>

網絡安全類文檔

促銷活動、技術干貨、問題解答、技術討論,學習,成長,分享,共建

規避漏洞的防范措施和定期升級

2021-08-04 07:54:04 點擊:2335

緩沖區溢出漏洞

當軟件程序試圖讀取或寫入超出范圍的緩沖區時,就會發生緩沖區溢出。它可能導致覆蓋或在現有代碼中附加數據。緩沖區溢出可使攻擊者執行代碼、更改程序流、讀取敏感數據或使系統崩潰等。


包括:


接受長度不受限制的輸入

允許從無效索引對數組進行讀取操作

緩沖區溢出漏洞通常發生在體系結構和設計、實施或操作階段。這一漏洞最常見于 C,C ++ 和 Assembly 程序,可以以任何缺少內存管理支持的語言出現。


如何防范?


盡可能選擇一種防止或降低此漏洞風險的語言,例如:Java 或 Perl。不要禁用溢出保護,例如在 C# 中。與環境中的易受攻擊的本機代碼交互時,即使是“免疫”語言也可能會產生錯誤。


為了防止利用緩沖區溢出漏洞,可以使用包含功能或擴展名以限制輸入的編譯器。例如, Visual Studio 或 StackGuard。還可以使用工具在內存中隨機排列程序組件。使地址更難以識別或預測,從而使攻擊者難以利用特定組件。


最后,在創建代碼時,確保正確分配了緩沖區空間。另外,使用允許限制輸入大小的方法和功能。


對輸入的驗證

當用戶輸入在接受時未得到驗證或驗證不足時,就會發生輸入驗證不當。不正確的驗證可以使攻擊者執行惡意代碼、更改程序流、訪問敏感數據或濫用資源分配。


包括:


假設攻擊者無法訪問隱藏的表單字段

僅驗證輸入的長度而不是內容

通常發生在架構、設計和實施階段。它可以在任何接受外部數據的語言或系統中發生。


預防措施


應該對任何用戶采取“零信任”原則,并假設所有輸入都是有害的,直到證明安全為止。使用白名單以確保輸入內容僅包含可接受的格式和內容。


在驗證輸入時,長度、類型、語法和對邏輯的符合性(即輸入具有語義意義)??梢允褂枚喾N工具來確保進行充分的驗證,例如 OWASP ESAPI 驗證 API 和 RegEx。使用這些工具來驗證所有輸入源,包括環境變量,查詢,文件,數據庫和 API 調用。


確保在客戶端和服務器端都執行檢查??梢岳@過客戶端驗證,因此需要仔細檢查。如果繞過客戶端驗證,則在服務器端捕獲輸入可以幫助你識別攻擊者的操縱。在進行任何必要的組合或轉換后,請驗證輸入。


信息泄露

當有意或無意將數據提供給潛在攻擊者時,就會發生信息泄露。數據可以包含敏感信息,也可以向攻擊者提供有關可以在攻擊中利用的軟件或環境的信息。


信息公開的示例包括:


顯示文件或程序完整路徑的錯誤

錯誤消息暴露了數據庫中用戶的存在

信息泄漏漏洞通常發生在開發的體系結構和設計或實施階段。任何語言都可能發生這些漏洞。


預防措施


為防止信息泄露,應該設計程序體系結構以將敏感信息包含在具有明確信任邊界的區域中。確保使用訪問控制來保護和限制“安全”區域與端點之間的連接。


為了最大程度地利用漏洞,請驗證錯誤消息和用戶警告中是否包含不必要的信息。還應該限制來自 URL 和通信標頭的敏感信息。例如,模糊完整的路徑名或 API 密鑰。


權限認證不當

如果未正確分配、跟蹤、修改或驗證用戶權限和憑據,則會發生不正確的權限或身份驗證。這些漏洞可使攻擊者濫用權限,執行受限任務或訪問受限數據。


包括:


不可逆轉的臨時權限升級。

通過黑名單而不是白名單來限制權限。

允許較低的權限級別影響較高的權限帳戶,例如:重置管理員密碼。

無限制的登錄嘗試或會話限制。

權限或身份驗證漏洞通常在開發的體系結構和設計,實施或操作階段引入。任何語言都可能發生這些漏洞。


預防措施


應該將最小權限原則應用于軟件和系統交互的所有用戶和服務。通過在整個程序和環境中應用訪問控制來限制用戶和實體的功能。將權限限制為僅用戶或服務所需的那些資源。


此外,將高級權限分成多個角色。分離有助于限制“高級用戶”,并降低攻擊者濫用訪問權限的能力。還可以應用多因素身份驗證方法來防止攻擊者繞過系統或獲得輕松的訪問權限。


減少一般漏洞的措施

除了采取針對特定漏洞的措施外,還應該采取一些措施來總體上減少漏洞。例如:


關注威脅情報


時刻關注威脅情報,了解新漏洞、新補丁、新舉措,防范于未然。


進行漏洞評估


對軟件進行定期的滲透測試,提高軟件安全性,在攻擊者之前發現潛在漏洞的存在,并做好相應的應對措施。


  • 7x24

    在線售后支持

  • 10

    +

    10年互聯網服務經驗

  • 300

    +

    全國300余家服務機構

  • 5000

    +

    5000多人顧問式服務

  • 70000

    +

    與70000余家企業客戶攜手

服務熱線

400-007-8608

公司: 蘇州祥云平臺信息技術有限公司

地址:江蘇省昆山市昆太路530號祥和國際大廈15-16層

花橋公司:
江蘇省昆山市花橋鎮綠地大道231弄綠地杰座雙子樓8號樓1103室
自慰无印,偷自拍亚洲视频在线观看99,美女电影图片小说,国产性感网红露出视频,swag系列在线观看芊芊,国产欧美另类久久久精品视频,麻豆传媒官网在线观看入口,哈商大女同性恋,国产a 天在线视频 萌白酱M3U8在线| caoliushequ ty66| 国产最新免费剧情AV| 报复表演系前女友国产情侣| 韩国167| 杨美娟果冻传媒图片| 免费国产a在线视频| 国产剧情片快递是哪里拍的| 国产小萝莉帮我打飞机| 国产主播免费无码| 欧美专区 日韩专区| 日本什么口红| 女同性恋可能在一起一辈子吗| 麻生希 中文字幕| 天使与魔鬼中文字幕版| 免费中文字幕欧美三级伦理电影| 暴力调教一区二区三区中央电视台女主持人淫| 337799在线播放| 求pr社萌汁全套资源| 在线观看91精品国产777| 国产剧情制作 采访北票清纯出台妹子| 国产91大量情侣偷拍| 国产主播在亚洲| 韩国六一| 麻豆印画传媒在哪看| 丝瓜草莓最新在线视频资源网| 国产极品大胸在线视频| 国产小忍者深夜测评| 午夜live 在线观看| 18岁可进免费中文字幕| 超碰99自拍| 俄罗斯福利视频一区| 国产丝袜TS在线观看| 麻豆传媒直播app下载免费| 麻豆传媒app下载破解版ios| 欧美绿化| 豪华欧美装饰| 留学日本印章| 丝瓜视频下载安装在线| 国产福利视频在线视频免费| 日韩动漫av| http://www.millionaireswillbemade.com http://www.womansclubchipley.com http://www.ellsonconsulting.com http://www.mycookery.net http://www.avretoday.com http://www.franklinhungerheroes.com