Log4j 漏洞还没收拾完,新漏洞又来了……
闹得沸沸扬扬的Apache Log4j 2 被曝存在“核弹级”漏洞从被发现到现在已经过去了十几天,据说全球有近一半企业都受到了影响。 大批研发和安全人员为此深夜加班修 Bug,直到今天 Log4j 漏洞的修复工作还在进行中,然而新的漏洞又出现了。 据云安全供应商 Wiz 报告,微软 Azure 应用服务中存在一个名为“NotLegit”的漏洞——该漏洞将影响所有通过“本地 Git”部署的 PHP、Node、Ruby 和 Python 应用。 Wiz 方面将该漏洞称为“NotLegit”,自 2017 年 9 月以来便一直存在,很可能已被利用。Wiz 指出,唯一不受“NotLegit”漏洞影响的是基于 IIS 的应用,具体影响范围包括: 自 2017 年 9 月以来,在 Azure 应用服务中使用“本地 Git”部署的所有 PHP、Node、Ruby 和 Python 应用; 从 2017 年 9 月起,在应用容器中创建或修改文件后,使用 Git 源代码部署在 Azure 应用服务中的所有 PHP、Node、Ruby 和 Python 应用; 微软在了解问题严重性后很快便采取了相关必要措施。Azure 应用服务团队进行深入调查找到了根结所在,随后为大部分受影响客户修复应用,并在 2021 年 12 月 7 日至 15 日之间通过邮件通知所有仍然暴露的客户。 No.1 因为Log4j漏洞涉及范围广,让不少不了解相关技术的人也知道了安全漏洞这个概念。对于技术开发和安全人员来说,安全漏洞问题其实是非常常见的,也已经成为了一个重要的课题。 常见的安全漏洞主要有以下这些: SQL注入 web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 失效的身份认证 应用中负责认证和会话管理的部分没有正确实现,使得攻击者得以泄露密码,口令或令牌,进而可能获取其他用户的身份。 敏感数据泄露 攻击者不是直接攻击密码,而是在传输过程中或从客户端(例如:浏览器)窃取密钥、发起中间人攻击,或从服务器端窃取明文数据。这通常需要手动攻击。通过使用图形处理单元(GPU),早前检索的密码数据库可能被暴力破解。 越权访问 越权访问(Broken Access Control,简称BAC)是Web应用程序中一种常见的漏洞,由于其存在范围广、危害大,被OWASP列为Web应用十大安全隐患的第二名。 安全性错误配置 攻击者能够通过未修复的漏洞、访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系统的未授权的访问或了解。 XSS跨站脚本攻击 XSS漏洞出现在当web页面包含不可信的数据,却没有合适的验证手段来找到它的时候。XSS使得攻击者能够在受害者的浏览器中执行脚本,从而劫持会话,或重定向到恶意站点。 其实安全问题出现的原因远远不止上述这些,在互联网时代,网络安全问题远比我们想象的要严峻得多。 No.2 随着互联网的发展和普及,网络在给我们生活带来极大便利的同时,也给我们留下了隐私数据泄露、电脑病毒传播等诸多问题,因此不仅仅从个人还是企业的角度来讲,网络安全的相关问题都是重中之重。 企业招聘到合适的安全测试人才相当不易,并非IT企业的招聘要求苛刻,实际情况是大量求职人员受专业技能限制而无法满足企业需求。 安全测试工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,掌握企业核心网络架构、安全技术,具有不可替代的竞争优势。
网络安全现状分析
【网络安全】网络安全现状分析 随着计算机和通信技术的发展,网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足,再加上系统软件中的安全漏洞以及所欠缺的严格管理,致使网络易受攻击,因此网络安全所采取的措施应能全方位地针对各种不同的威胁,保障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善、不安全的。 网络安全是研究与计算机科学相关的安全问题,具体地说,网络安全研究了安全的存储、处理或传输信息资源的技术、体制和服务的发展、实现和应用。每个计算机离不开人,网络安全不仅依赖于技术上的措施,也离不开组织和法律上的措施。客户服务器计算模式下的网络安全研究领域,一是OSI安全结构定义的安全服务:鉴别服务、数据机密性服务、数据完整性服务、访问控制服务等; 二是OSI安全结构定义的安全机制:加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复;三是访问控制服务:访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关;四是通信安全服务:OSI结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务;五是网络存活性:目前对Internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。