您当前所在的位置:首页 / 新闻中心 / 常见问题
新闻中心
行业资讯
常见问题
知识百科
产品技术
推荐新闻

询问这9个安全问题以更好地保护您的贷款超市系统

发表于:2019-02-11

今天,整个企业都是围绕一个网站建立的。为了保护这项投资,网络全问题必须是首要考虑因素。本文旨在探讨一些最常见的贷款超市系统漏洞安全漏洞,让这篇文章作为保护您的数据和业务的入门读物。

Security

网络安全问题1:如果我的API文档可见,这是一个问题吗?

是。让我们假设一个企业刚刚发布了一个贷款超市系统。它由两部分组成:使用Angular的前端和后端的API。

公开您的API文档和应用程序逻辑会使您的解决方案面临风险。使用一个URL,潜在攻击者将能够查看您的所有端点,所需的所有参数以及是否需要身份验证。

如果我的文档网址没有在任何地方指定,我受到保护,对吗?可能想要破坏您的解决方案的攻击者不需要URL来造成严重损害。实际上,大多数贷款超市系统使用标准工具来生成文档。所有这些工具都有一个默认URL来加载它,这是每个人都知道的。每个响应在响应头中都有额外的参数。对于.NET API,这些参数将如下所示:

服务器:Microsoft-IIS / 8.5 
X-Powered-By:ASP.NET

从那些,潜在的攻击者知道服务器操作系统,IIS版本和用于编写API的技术。从那里,他们可以搜索用于该技术的最常用工具。这会将您的文档URL缩小到大约5。

网络安全问题2:您应该保护您的终端参数吗?

是。如果潜在的攻击者可以轻松地从您的API文档中找到您的端点和预期参数,他们可以通过发送参数格式不佳的请求来破坏应用程序的正常工作流程。

这为什么危险?

假设您的应用程序包含一个简单的分页库。您需要传递作为参数返回的结果数,但您没有任何限制或验证。攻击者可以编写一个简单的迭代,通过从您的库中的每个请求获取10,000个结果,永远迭代。这将导致服务器负载增加,并且可能导致应用程序速度变慢。

考虑这种情况。您正在使用像Amazon这样的基于云的托管,如果站点使用率高于平均值,您已将其配置为添加更多CPU内核和内存。亚马逊将按每小时额外的处理能力向您收取更多费用。如果攻击者继续定位您的图库,并且您没有为最大图库结果添加验证,则会出现问题。

网络安全问题3:如果我使用身份验证,我的应用程序会更安全吗?

进行身份验证不会使您的应用程序安全。存储任何类型的用户信息都可以激励攻击者攻击你。身份验证和授权劫持也可用于窃取用户的身份。

可能最简单的一个攻击者使用的是cookie劫持。如果用户登录并且攻击者找到了窃取cookie的方法,则可以很容易地将其注入他/她自己的浏览器中。重新加载网页后,攻击者可以完全访问用户的个人资料。然后,攻击者可以窃取用户的个人信息并将其出售给其他人。

这为什么危险?

不考虑用户的安全是一个巨大的问题。主要是因为每个用户的帐户都包含个人信息,即使只是一个电子邮件地址。通常人们对所有帐户都有一个密码。想象一下,如果有人窃取了您的用户密码,并且这些密码也用于网上银行。

网络安全问题4:小型贷款超市系统是否也需要保护?

一切都做到了。即使您只有一个图片库和评论作为唯一的用户输入。假设您没有验证用户输入的注释。攻击者可以使用跨站点脚本(XSS)漏洞并保存实际JavaScript代码的注释。如果攻击者写了一堆评论,所有评论都显示了JavaScript警告消息并保存,那么下次有人打开页面时,JavaScript就会执行。

这为什么危险?

想象一下,如果用户在加载页面时一个接一个地被警报淹没,他们会感觉如何。即使开发人员添加验证,也可能为时已晚,因为您已经失去了大部分用户。

网络安全问题5:我是否需要验证所有用户输入?

在Web 安全问题中,这个问题至关重要。开发人员必须始终在前端验证用户输入,并且在后端是绝对必需的。即使开发团队禁止在用户输入中使用脚本标记,黑客也可以通过其他方式在页面中注入JavaScript。

假设您的应用程序允许用户在页面上嵌入图像。攻击者可以将跨站点脚本与跨域/跨域策略漏洞一起使用,以找到在HTML中插入图像元素的方法。他们可以将链接指向图像源属性中的JavaScript文件,而不是指向图片网址的源。加载页面时,它不会显示图像,但会加载JavaScript文件。

这为什么危险?

能够在网站上执行JavaScript实际上是攻击者需要对您的网站造成损害。如果成功,他/她可以操纵页面HTML。例如,他们可能会插入一个要求用户凭据的表单,并将其提交给私有服务器。或者,他们可能会添加一条虚假消息,提醒用户他们已赢得100美元,他们所要做的只是提供选择信息来收集奖金。这就是XSS的美丽和可怕的力量。对于普通用户来说,一切看起来都像是他们信任的网站的一部分。

网络安全问题6:我应该让用户上传他们想要的任何文件吗?

另一个影响很大的Web安全问题是允许上载可执行文件或批处理文件。这是灾难的秘诀。如果这些文件存储在服务器上,则存在操作系统命令注入的风险。如果可能,将文件上载限制为图像或pdf文件。但是,这并不一定意味着你受到了保护。

假设您允许用户上传图片。攻击者可以利用这一点来发挥其优势。在上传照片之前,他/她可以编辑图像源并在其末尾添加一些脚本。它仍然是一个有效的图像。但是,如果没有检查文件的代码注入只是打开或返回图像(在某些情况下)意味着将读取和执行图像源。内部任何注入的代码也将被执行。

这为什么危险?

上传文件也被视为用户输入。如果您允许用户上载可执行文件,他们可能会编写批处理命令来格式化整个服务器硬盘驱动器。或者使用图像和一些代码注入,我可以执行将从数据库加载所有用户并删除它们的代码。

网络安全问题7:HTTPS(HTTP over SSL)会有帮助吗?

添加https会使您的应用程序变得更加困难。但确定的袭击者仍然可以使用中间人攻击来嗅出流量。在一个非常简单粗略的例子中,假设您和邻居使用相同的互联网提供商。攻击者可以连接到最近的互联网提供商路由器,并开始嗅探通过的所有互联网流量。他们可以过滤指向特定网站的有流量,因此在发出请求时,可以看到所有数据,身份验证和Cookie。怎么可能?对于中间人攻击,目标网站使用https无关紧要。由于所有流量都通过攻击者进行路由,然后可以根据网站的要求将其路由到https。

这为什么危险?

虽然上面的例子使得https听起来有点无牙,但它在现代万维网中是绝对必要的做法。不使用加密来存储数据和数据传输是一个巨大的安全漏洞。这将使嗅探流量变得非常容易,并暴露用户的身份和私人数据。

网络安全问题8:如果我的用户从未注销该怎么办?这有危险吗?

是。如果允许用户保持登录状态,则必须采取其他预防措施来保护用户。假设用户登录了攻击者想要定位的网站,同时他们正在浏览被黑客攻击的其他网站。通过来自被黑网站的跨站点请求伪造(CSRF),攻击者可以代表用户向目标网站发出请求。甚至不需要在浏览器中打开目标站点。目标网站将认为它是用户,因为他/她仍然登录。

这为什么危险?

跨站请求伪造(CSRF)非常危险,因为攻击者可以同时定位多个网站。

我们来看看这个例子吧。想象一下,用户还没有退出他/她最喜欢的支付系统。通过一些请求,攻击者可以代表用户将钱汇到其他帐户,而不会引发危险信号。如果转移历史显示用户他/她自己进行转移,则用户更难以证明欺诈。

网络安全问题9:IP限制是否有帮助?

即使构建解决方案只允许单个IP向服务器发出请求,其他名为Network Mappers的程序也可以使用世界上每个可能的IP地址ping您的服务器IP。在10分钟内,攻击者可以剔除服务器允许的所有IP列表。

这为什么危险?

许多开发人员认为这是安全应用程序所需要的全部内容,并且仍然使应用程序容易受到上述攻击。IP限制绝对是限制对服务器的访问并帮助防止Web安全问题的好方法。但这不是万无一失的。在潜在攻击者拥有您的服务器开放的IP地址列表后,他/她可以通过连接到VPN服务向您的服务器发出伪造IP地址的请求。从那里,他/她可以提出所有要求。

我们注定要不安全吗?

阅读本文并分析一些常见的网络安全问题后,似乎在互联网上,没有什么是安全的。通过了解试图使用户受害的攻击类型开发队可以创建更安全的贷款超市系统。

最终用户还可以通过保留以下红色警告来保护自己:

  • 当网站要求您提供个人信息时

  • 要求你的信用卡(即使它说你赢了钱)

  • 检查它是否使用HTTPS(对于付款,它绝对是强制性的。)

  • 如果您不确定预期的操作,请单击按钮(即使唯一选项正常)或链接

游客