博客

Coders Conquer Security OWASP Top 10 API Series - Insufficient Logging and Monitoring

马蒂亚斯-马杜博士
发表于2020年11月25日

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗?看看这个吧。

攻击者如何利用不充分的记录和监控?

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。

一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。

有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。

最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。

查看资源
查看资源

记录和监控不足的缺陷主要是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。

想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
马蒂亚斯-马杜博士
发表于2020年11月25日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗?看看这个吧。

攻击者如何利用不充分的记录和监控?

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。

一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。

有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。

最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗?看看这个吧。

攻击者如何利用不充分的记录和监控?

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。

一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。

有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。

最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
马蒂亚斯-马杜博士
发表于2020年11月25日

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。

马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。

分享到

记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。

这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。

准备好现在就用挑战来测试你的技能了吗?看看这个吧。

攻击者如何利用不充分的记录和监控?

如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。

一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。

有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。

这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。  

消除日志和监控不足的漏洞

自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。

你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。

最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。

Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。

目录

下载PDF
查看资源
想了解更多信息?

Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心