硬编码的凭证会带来安全风险
Secure Code Warrior 我们致力于帮助教育安全和开发人员社区如何安全地编写代码,以及减少通过不安全的代码引入漏洞的风险。作为这个目标的一部分,我们将利用Uber最近的安全事件 的发展故事作为一个机会来讨论开发者驱动的安全和左移的重要性。
Uber发生的安全事件
Uber在9月16日发布了一份关于网络安全事件的声明,他们还在继续更新。读者应该记住,这是一个正在进行的故事。让我们回顾一下我们通过Uber迄今为止的声明和安全社区的其他知名帖子所了解到的情况。
黑客在找到一名Uber员工的What'sApp号码后,首先对其进行了社会工程。攻击者与他们联系,并通过让毫无戒心的员工登录一个假的Uber网站,然后获取他们的用户名和密码,开始钓鱼式地获取凭证。
Uber账户通过多因素认证(MFA)进行保护,这意味着除了提交密码外,用户必须出示第二份证据来确认其身份。在大多数情况下,这是向移动设备发送的提示。
在获得凭证后,攻击者发起了MFA疲劳攻击,不断尝试登录真正的Uber网站,并在员工的设备上发出大量推送通知,使其不堪重负。攻击者再次通过WhatsApp与受害者联系。据称,这一次他们假装是IT支持,并成功说服他们接受。
硬编码的凭证
Uber的安全漏洞的基础是一次成功的网络钓鱼攻击。一旦进入,入侵者发现了包含PowerShell脚本的网络共享。其中一个脚本包含一个管理员用户的硬编码凭证,这导致了Uber内部服务的泄露,如AWS、G-Suite和代码库。黑客还进入了Uber的HackerOne账户。然而,根据Uber的说法,"攻击者能够访问的任何错误报告都已经得到补救"。
好奇地想看看这个漏洞在代码中是什么样子的?免费尝试一下我们的PowerShell挑战。
这些类型的攻击有多常见?
社会工程作为一种攻击媒介是很难防御的,因为人的因素一直被认为是网络安全最薄弱的部分。Uber黑客事件清楚地表明,MFA的实施很容易被规避。防止这种情况的关键是在员工中建立更多关于网络钓鱼攻击的工作原理的意识。
然而,导致Uber内部服务暴露的原因是在PowerShell脚本中发现了管理员的用户名和密码。硬编码凭证从来都不是一件好事,因为它们可以被任何开发人员,以及基本上可以访问代码的任何人阅读。
但还是那句话,意识是关键!具有以安全为中心的思想的开发人员更有可能发现漏洞,也更不可能编写漏洞。
一个双管齐下的方法,即关于社会工程的一般教育,以及更具体的,积极主动的安全编码培训,将减少代码库中的漏洞数量,因此被证明是对抗安全威胁的关键。
想了解更多关于保持最新的安全编码最佳实践的信息?请查看安全代码教练。在这里,你可以免费学习安全编码准则和尝试培训练习。
Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。
预定一个演示
Laura Verheyde 是Secure Code Warrior 的一名软件开发人员,主要负责研究漏洞并为Missions 和编码实验室创建内容。
Secure Code Warrior 我们致力于帮助教育安全和开发人员社区如何安全地编写代码,以及减少通过不安全的代码引入漏洞的风险。作为这个目标的一部分,我们将利用Uber最近的安全事件 的发展故事作为一个机会来讨论开发者驱动的安全和左移的重要性。
Uber发生的安全事件
Uber在9月16日发布了一份关于网络安全事件的声明,他们还在继续更新。读者应该记住,这是一个正在进行的故事。让我们回顾一下我们通过Uber迄今为止的声明和安全社区的其他知名帖子所了解到的情况。
黑客在找到一名Uber员工的What'sApp号码后,首先对其进行了社会工程。攻击者与他们联系,并通过让毫无戒心的员工登录一个假的Uber网站,然后获取他们的用户名和密码,开始钓鱼式地获取凭证。
Uber账户通过多因素认证(MFA)进行保护,这意味着除了提交密码外,用户必须出示第二份证据来确认其身份。在大多数情况下,这是向移动设备发送的提示。
在获得凭证后,攻击者发起了MFA疲劳攻击,不断尝试登录真正的Uber网站,并在员工的设备上发出大量推送通知,使其不堪重负。攻击者再次通过WhatsApp与受害者联系。据称,这一次他们假装是IT支持,并成功说服他们接受。
硬编码的凭证
Uber的安全漏洞的基础是一次成功的网络钓鱼攻击。一旦进入,入侵者发现了包含PowerShell脚本的网络共享。其中一个脚本包含一个管理员用户的硬编码凭证,这导致了Uber内部服务的泄露,如AWS、G-Suite和代码库。黑客还进入了Uber的HackerOne账户。然而,根据Uber的说法,"攻击者能够访问的任何错误报告都已经得到补救"。
好奇地想看看这个漏洞在代码中是什么样子的?免费尝试一下我们的PowerShell挑战。
这些类型的攻击有多常见?
社会工程作为一种攻击媒介是很难防御的,因为人的因素一直被认为是网络安全最薄弱的部分。Uber黑客事件清楚地表明,MFA的实施很容易被规避。防止这种情况的关键是在员工中建立更多关于网络钓鱼攻击的工作原理的意识。
然而,导致Uber内部服务暴露的原因是在PowerShell脚本中发现了管理员的用户名和密码。硬编码凭证从来都不是一件好事,因为它们可以被任何开发人员,以及基本上可以访问代码的任何人阅读。
但还是那句话,意识是关键!具有以安全为中心的思想的开发人员更有可能发现漏洞,也更不可能编写漏洞。
一个双管齐下的方法,即关于社会工程的一般教育,以及更具体的,积极主动的安全编码培训,将减少代码库中的漏洞数量,因此被证明是对抗安全威胁的关键。
想了解更多关于保持最新的安全编码最佳实践的信息?请查看安全代码教练。在这里,你可以免费学习安全编码准则和尝试培训练习。
Secure Code Warrior 我们致力于帮助教育安全和开发人员社区如何安全地编写代码,以及减少通过不安全的代码引入漏洞的风险。作为这个目标的一部分,我们将利用Uber最近的安全事件 的发展故事作为一个机会来讨论开发者驱动的安全和左移的重要性。
Uber发生的安全事件
Uber在9月16日发布了一份关于网络安全事件的声明,他们还在继续更新。读者应该记住,这是一个正在进行的故事。让我们回顾一下我们通过Uber迄今为止的声明和安全社区的其他知名帖子所了解到的情况。
黑客在找到一名Uber员工的What'sApp号码后,首先对其进行了社会工程。攻击者与他们联系,并通过让毫无戒心的员工登录一个假的Uber网站,然后获取他们的用户名和密码,开始钓鱼式地获取凭证。
Uber账户通过多因素认证(MFA)进行保护,这意味着除了提交密码外,用户必须出示第二份证据来确认其身份。在大多数情况下,这是向移动设备发送的提示。
在获得凭证后,攻击者发起了MFA疲劳攻击,不断尝试登录真正的Uber网站,并在员工的设备上发出大量推送通知,使其不堪重负。攻击者再次通过WhatsApp与受害者联系。据称,这一次他们假装是IT支持,并成功说服他们接受。
硬编码的凭证
Uber的安全漏洞的基础是一次成功的网络钓鱼攻击。一旦进入,入侵者发现了包含PowerShell脚本的网络共享。其中一个脚本包含一个管理员用户的硬编码凭证,这导致了Uber内部服务的泄露,如AWS、G-Suite和代码库。黑客还进入了Uber的HackerOne账户。然而,根据Uber的说法,"攻击者能够访问的任何错误报告都已经得到补救"。
好奇地想看看这个漏洞在代码中是什么样子的?免费尝试一下我们的PowerShell挑战。
这些类型的攻击有多常见?
社会工程作为一种攻击媒介是很难防御的,因为人的因素一直被认为是网络安全最薄弱的部分。Uber黑客事件清楚地表明,MFA的实施很容易被规避。防止这种情况的关键是在员工中建立更多关于网络钓鱼攻击的工作原理的意识。
然而,导致Uber内部服务暴露的原因是在PowerShell脚本中发现了管理员的用户名和密码。硬编码凭证从来都不是一件好事,因为它们可以被任何开发人员,以及基本上可以访问代码的任何人阅读。
但还是那句话,意识是关键!具有以安全为中心的思想的开发人员更有可能发现漏洞,也更不可能编写漏洞。
一个双管齐下的方法,即关于社会工程的一般教育,以及更具体的,积极主动的安全编码培训,将减少代码库中的漏洞数量,因此被证明是对抗安全威胁的关键。
想了解更多关于保持最新的安全编码最佳实践的信息?请查看安全代码教练。在这里,你可以免费学习安全编码准则和尝试培训练习。
Secure Code Warrior 我们致力于帮助教育安全和开发人员社区如何安全地编写代码,以及减少通过不安全的代码引入漏洞的风险。作为这个目标的一部分,我们将利用Uber最近的安全事件 的发展故事作为一个机会来讨论开发者驱动的安全和左移的重要性。
Uber发生的安全事件
Uber在9月16日发布了一份关于网络安全事件的声明,他们还在继续更新。读者应该记住,这是一个正在进行的故事。让我们回顾一下我们通过Uber迄今为止的声明和安全社区的其他知名帖子所了解到的情况。
黑客在找到一名Uber员工的What'sApp号码后,首先对其进行了社会工程。攻击者与他们联系,并通过让毫无戒心的员工登录一个假的Uber网站,然后获取他们的用户名和密码,开始钓鱼式地获取凭证。
Uber账户通过多因素认证(MFA)进行保护,这意味着除了提交密码外,用户必须出示第二份证据来确认其身份。在大多数情况下,这是向移动设备发送的提示。
在获得凭证后,攻击者发起了MFA疲劳攻击,不断尝试登录真正的Uber网站,并在员工的设备上发出大量推送通知,使其不堪重负。攻击者再次通过WhatsApp与受害者联系。据称,这一次他们假装是IT支持,并成功说服他们接受。
硬编码的凭证
Uber的安全漏洞的基础是一次成功的网络钓鱼攻击。一旦进入,入侵者发现了包含PowerShell脚本的网络共享。其中一个脚本包含一个管理员用户的硬编码凭证,这导致了Uber内部服务的泄露,如AWS、G-Suite和代码库。黑客还进入了Uber的HackerOne账户。然而,根据Uber的说法,"攻击者能够访问的任何错误报告都已经得到补救"。
好奇地想看看这个漏洞在代码中是什么样子的?免费尝试一下我们的PowerShell挑战。
这些类型的攻击有多常见?
社会工程作为一种攻击媒介是很难防御的,因为人的因素一直被认为是网络安全最薄弱的部分。Uber黑客事件清楚地表明,MFA的实施很容易被规避。防止这种情况的关键是在员工中建立更多关于网络钓鱼攻击的工作原理的意识。
然而,导致Uber内部服务暴露的原因是在PowerShell脚本中发现了管理员的用户名和密码。硬编码凭证从来都不是一件好事,因为它们可以被任何开发人员,以及基本上可以访问代码的任何人阅读。
但还是那句话,意识是关键!具有以安全为中心的思想的开发人员更有可能发现漏洞,也更不可能编写漏洞。
一个双管齐下的方法,即关于社会工程的一般教育,以及更具体的,积极主动的安全编码培训,将减少代码库中的漏洞数量,因此被证明是对抗安全威胁的关键。
想了解更多关于保持最新的安全编码最佳实践的信息?请查看安全代码教练。在这里,你可以免费学习安全编码准则和尝试培训练习。
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
