Coders Conquer Security OWASP Top 10 API Series - Insufficient Logging and Monitoring

发表于2020年11月25日
作者:Matias Madou
仔细说来?

毋庸置疑,这是个很好的机会。悬浮在空中的各种元素的三层结构。他说:"我的意思是说,我可以在这里工作,但我不能在这里工作,因为我不能在这里工作,因为我不能在这里工作。在这里,我想说的是,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是。在这里,我想说的是,我们的生命力是有限的。

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗?看看这个吧。

攻击者如何利用不充分的记录和监控?

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。

一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。

有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。

最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。

查看资源

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

Coders Conquer Security OWASP Top 10 API Series - Insufficient Logging and Monitoring

发表于2023年2月3日
作者:Matias Madou

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗?看看这个吧。

攻击者如何利用不充分的记录和监控?

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。

一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。

有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。

最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。

输入你的详细资料以获取完整的报告。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

Oopsie daisy