コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-ロギングとモニタリングが不十分
记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。
这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。
准备好现在就用挑战来测试你的技能了吗?看看这个吧。
攻击者如何利用不充分的记录和监控?
如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。
一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。
有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。
这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。
消除日志和监控不足的漏洞
自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。
你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。
最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。
。 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。
这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。
准备好现在就用挑战来测试你的技能了吗?看看这个吧。
攻击者如何利用不充分的记录和监控?
如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。
一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。
有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。
这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。
消除日志和监控不足的漏洞
自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。
你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。
最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。
。 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。
记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。
这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。
准备好现在就用挑战来测试你的技能了吗?看看这个吧。
攻击者如何利用不充分的记录和监控?
如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。
一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。
有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。
这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。
消除日志和监控不足的漏洞
自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。
你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。
最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。
。 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
记录和监控不足的缺陷大多是由于在记录所有失败的认证尝试、被拒绝的访问和输入验证错误方面的网络安全计划失败而造成的。它可能发生在生产环境的其他点上,但与未能阻止无效的登录尝试最相关。
这是一个危险的漏洞,因为它意味着网络安全团队不会对攻击作出反应,因为他们不知道这些攻击。这给了攻击者一个很大的优势,让他们在试图进一步渗透系统或升级他们的证书时不被注意。事实上,如果没有适当的记录和监控,就很难甚至不可能在攻击造成重大损害之前发现和阻止它们。
准备好现在就用挑战来测试你的技能了吗?看看这个吧。
攻击者如何利用不充分的记录和监控?
如果日志级别设置不正确、设置太低、错误信息不包括足够的细节或根本没有日志功能,任何API都容易出现日志和监控不足的问题。
一个有趣的例子是,如果一个黑客获得了一个网站或服务的大量受损用户名的列表。通过实验,他们可以发现,在他们被锁定在系统之外,以及在网络安全人员被通知之前,需要三次失败的登录尝试。
有了这些信息,他们就可以编写一个脚本,使用 "123456 "或 "password "等常见的密码,尝试以被入侵名单上的每个名字登录,而不是试图对单个账户进行暴力攻击。诀窍是,他们只尝试每个用户名一次,或者两次,保持在锁定和警报的阈值以下。如果他们运气好的话,他们至少会在一开始就泄露几个密码。之后,他们只需等待一天,让登录计数器复位,然后用不同的密码如 "qwerty "或 "god "再次运行这个过程。如果管理员从来没有发现他们在做什么,攻击者可以多次通过列表,并最终妥协大多数账户的弱密码。
这种情况发生在OWASP提供的例子中,一个视频共享平台被攻击,利用了不充分的记录和监控漏洞的凭证填充攻击。在该公司开始收到用户投诉之前,它不知道这种攻击正在发生。最终,他们在API日志中发现了证据,不得不向所有的用户发出强制更改密码的通知,并向监管部门报告了这次攻击。
消除日志和监控不足的漏洞
自动化和持续监控可以帮助结束这一漏洞。首先,所有失败的认证尝试都应该被记录下来。该日志应该被转换成机器可读的格式,如STIX和TAXII,这样它就可以被纳入安全信息和事件管理(SIEM)系统,该系统经过培训,无论使用何种阈值,都可以寻找到攻击。
你还应该保护你的日志文件。将它们视为敏感信息,保护它们不被攻击者删除或修改。一个好的政策是既要备份日志文件,也要对它们进行加密。
最后,创建自定义仪表板和警报,以便尽快发现和应对任何可疑的活动。如果你消除了攻击者使用系统的时间,你就消除了他们使用低级和缓慢的攻击技术来保持不被发现的能力。
。 Secure Code Warrior博客页面,了解有关这一漏洞的更多见解,以及如何保护你的组织和客户免受其他安全缺陷的蹂躏。你也可以尝试演示一下 Secure Code Warrior 培训平台,以保持你所有的网络安全技能得到磨练和更新。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
