认识达内从这里开始

近些年来因为用户信息泄露或者是企业数据泄露引起的网络安全事件时常发生，许多用户对于网络安全也越来越重视，下面我们就通过案例分析来了解一下，用户数据泄露引起的问题都有哪些。

1、跨站脚本(XSS)

当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时，或者使用可以创建HTML或JavaScript的浏览器API更新现有的网页时，就会出现XSS缺陷。XSS让攻击者能够在受害者的浏览器中执行脚本，并劫持用户会话、破坏网站或将用户重定向到恶意站点。

如何防止：

使用设计上就会自动编码来解决XSS问题的框架，如：Ruby3.0或ReactJS。了解每个框架的XSS保护的局限性，并适当地处理未覆盖的用例。

为了避免反射式或存储式的XSS漏洞，好的办法是根据HTML输出的上下文(包括：主体、属性、JavaScript、CSS或URL)对所有不可信的HTTP请求数据进行恰当的转义。

在客户端修改浏览器文档时，为了避免DOMXSS攻击，好的选择是实施上下文敏感数据编码。

使用内容安全策略(CSP)是对抗XSS的深度防御策略。如果不存在可以通过本地文件放置恶意代码的其他漏洞(例如：路径遍历覆盖和允许在网络中传输的易受攻击的库)，则该策略是有效的。

2、不安全的反序列化

不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行，攻击者也可以利用它们来执行攻击，包括：重播攻击、注入攻击和特权升级攻击。

如何防止：

执行完整性检查，如：任何序列化对象的数字签名，以防止恶意对象创建或数据篡改。

在创建对象之前强制执行严格的类型约束，因为代码通常被期望成一组可定义的类。绕过这种技术的方法已经被证明，所以完全依赖于它是不可取的。

如果可能，隔离运行那些在低特权环境中反序列化的代码。

记录反序列化的例外情况和失败信息，如：传入的类型不是预期的类型，或者反序列处理引发的例外情况。

限制或监视来自于容器或服务器传入和传出的反序列化网络连接。

监控反序列化，当用户持续进行反序列化时，对用户进行警告。

3、使用含已知漏洞的组件

组件(例如：库、框架和其他软件模块)拥有和应用程序相同的权限。如果应用程序中含有已知漏洞的组件被攻击者利用，可能会造成严重的数据丢失或服务器接管。同时，使用含有已知漏洞的组件的应用程序和API可能会破坏应用程序防御、造成各种攻击并产生严重影响。

如何防止：

移除不使用的依赖、不需要的功能、组件、文件和文档。

利用如versions、DependencyCheck、retire.js等工具来持续的记录客户端和服务器端以及它们的依赖库的版本信息。持续监控如CVE和NVD等是否发布已使用组件的漏洞信息，可以使用软件分析工具来自动完成此功能。订阅关于使用组件安全漏洞的警告邮件。

仅从官方渠道安全的获取组件，并使用签名机制来降低组件被篡改或加入恶意漏洞的风险。

监控那些不再维护或者不发布安全补丁的库和组件。如果不能打补丁，可以考虑部署虚拟补丁来监控、检测或保护。

4、不足的日志记录和监控

不足的日志记录和监控，以及事件响应缺失或无效的集成，使攻击者能够进一步攻击系统、保持持续性或转向更多系统，以及篡改、提取或销毁数据。大多数缺陷研究显示，缺陷被检测出的时间超过200天，且通常通过外部检测方检测，而不是通过内部流程或监控检测。

如何防止：

确保所有登录、访问控制失败、输入验证失败能够被记录到日志中去，并保留足够的用户上下文信息，以识别可疑或恶意帐户，并为后期取证预留足够时间。

确保日志以一种能被集中日志管理解决方案使用的形式生成。

确保高额交易有完整性控制的审计信息，以防止篡改或删除，例如审计信息保存在只能进行记录增加的数据库表中。

建立有效的监控和告警机制，使可疑活动在可接受的时间内被发现和应对。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请加danei0707学习了解。欢迎关注“达内在线”参与分销，赚更多好礼。