编码员征服安全。分享与学习系列 - 传输层保护不充分
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Jaap Karan Singh是一位安全编码布道者,首席辛格和Secure Code Warrior 的共同创始人。
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
即使你已经完全保证了应用服务器和它所使用的后端系统的安全,如果你没有足够的传输层保护,通信仍然可能容易被窥探。在物理世界中,硬通货使用装甲车移动的原因是为了在运输过程中提供保护。如果一家商店或银行产生的钱被装进高尔夫球车,开车穿过城镇,那么它有多安全就真的不重要了。
网络领域中的传输层也是如此。即使一个应用程序是安全的,但如果进入它的信息在没有保护的情况下被发送,仍然存在一个关键的漏洞。而且,如果某些应用程序还向其他服务器或数据库发送信息,则存在第二个漏洞。这些信息可能会暴露给那些无权窥探这些交易的内部人员。
要完全保护用户和数据,需要保护传输层。只有这样做,你才能从头到尾完全保护整个交易。
在这一集里,我们将学习。
- 黑客如何利用传输层保护不足的问题
- 为什么不保护传输层是如此危险
- 怎样才能保证进入和通过应用程序或服务器的所有数据的传输。
攻击者如何利用不充分的传输层保护?
不充分的传输层保护可以使你的数据流中的两个点受到攻击。最常被利用的地方是在用户和应用服务器之间。如果信息是以明文或弱加密方式发送的,那么黑客将能够监视、窃取并可能改变这些信息。这可能允许黑客窃取用户的信用卡、他们的登录凭证或任何其他发送到应用服务器的信息。即使服务器本身是安全的,黑客监视它和用户之间不安全的通道,也可以几乎不受限制地获得大量信息。
第二点是应用程序和网络其他部分之间的传输层,这一点往往没有得到保护。例如,一个应用服务器可能会处理在线购物订单,然后将其发送到执行系统,或者数据可能只是被卸载到数据库进行存储。如果这些内部通道不受保护,内部用户可能会看到这些信息。
虽然相信所有的内部用户都是好人是很好的,但事实是内部威胁在很多行业都在上升。内部人员已经被发现接受贿赂,以换取为攻击者或竞争对手收集敏感信息。而拥有像数千张有效信用卡的权限,对一些人来说可能只是太过诱人而无法忽视。
就攻击技术而言,拦截未受保护的通信并不十分困难。即使是低级别的黑客也知道如何对未加密的数据流进行中间人攻击。如果他们不知道,网上有一些视频可以在不到半小时内训练他们。
为什么传输层保护不足的漏洞会如此危险?
对传输层的保护不足或不存在是危险的,因为它使黑客极容易收集敏感信息。他们不需要闯入你的应用服务器或入侵你的网络。他们只需设置一个中间人攻击,并读取用户发送到服务器的所有信息。这可能包括用户名和密码,可以用来在未来使用有效的证书绕过安全。根据不同的应用,这还可能包括信用卡信息或其他关于用户的个人数据。
值得注意的是,所有这些窥探都是在你的网络之外进行的。如果你使用的是不安全的传输通道,就没有办法知道是否有人在捕捉这些信息。通常情况下,第一个迹象是当很多用户开始报告账户受损或信用卡购买时,共同的因素是你的应用程序 "不是一个好地方。黑客也可以在获得信息后进行修改,例如改变送货地址,甚至在将信息传递给用户之前将恶意脚本插入服务器的响应中。
在后端,如果不能保证传输层的安全,数据就会暴露给内部人员。与来自外部的黑客做同样的事情相比,内部人员窥视传输层的可能性要小得多。但如果发生这种情况,也会更加危险,因为内部威胁不仅能看到用户数据,还能看到应用服务器在发送这些数据包之前添加的任何专有信息。
消除不充分的传输层保护漏洞
尽管传输层保护不足可能很危险,但适当地保护你所有的传输通道也不是非常困难。这要从后端基础设施开始。这应该是专门的HTTPS,确保不要在一个网站上混合使用HTTPS和HTTP。最后,保持一个有效的SSL证书,密钥大小至少为2048位,同时强迫所有用户使用具有HTTP严格传输安全(HSTS)的安全浏览器进行交互。
一旦基础设施到位,开发者应该使用一个强大的协议来保护传输层。理想情况下,应该使用TLS1.2,尽管在绝对必要时,TLS1.1和1.0也是可以接受的。一旦到位,像SSLv2这样的弱协议就应该被完全禁用,并且永远不被支持。
还应注意确保加密密码器在后端有足够的力量。理想情况下,最小会话密钥大小应该是128位。与协议一样,应该禁用对DES和RC4-40等弱加密算法的支持。最后,在服务器本身和进出服务器的所有数据路径得到充分保护之前,不要认为一个应用程序是真正安全的。
关于传输层保护不足的漏洞的更多信息
要进一步阅读,你可以看一下OWASP保护传输层的指南。你还可以用Secure Code Warrior 平台的免费演示来测试你新发现的防御知识,该平台可以培训网络安全团队成为最终的网络战士。要了解更多关于击败这个漏洞以及其他威胁的流氓画廊,请访问Secure Code Warrior 博客。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
