云計算原理-課件 6.5Web與云安全風(fēng)險

《云計算原理》王

鵬Web與云安全風(fēng)險注入漏洞當(dāng)用戶輸入被插入到命令或查詢中，由解釋器執(zhí)行時，通常發(fā)生在未對不可信數(shù)據(jù)進行適當(dāng)過濾/清理，并且/或者未使用參數(shù)化查詢的情況下。這可能導(dǎo)致數(shù)據(jù)的創(chuàng)建、銷毀和外泄，也可能導(dǎo)致完整主機的被攻陷。身份驗證失效當(dāng)身份驗證機制和會話管理實現(xiàn)不當(dāng)時，就會出現(xiàn)此問題。缺陷包括缺乏有效的速率限制、較差的密碼策略要求以及無效或缺失的多因素身份驗證。這可能允許攻擊者破壞會話令牌、賬戶、密碼和密鑰。敏感數(shù)據(jù)暴露當(dāng)敏感數(shù)據(jù)（如密碼、信用卡信息和健康信息）未得到妥善保護時，就會出現(xiàn)此問題。這方面的例子包括使用弱加密算法、未安全存儲靜態(tài)敏感數(shù)據(jù)（如鹽和哈希處理）以及以明文形式傳輸數(shù)據(jù)。這可能導(dǎo)致敏感數(shù)據(jù)被盜或暴露，這些數(shù)據(jù)可能被用于后續(xù)攻擊，例如通過被盜的登錄憑證進行攻擊。XML外部實體當(dāng)應(yīng)用程序接受來自不可信來源的XML或直接將數(shù)據(jù)插入XML文檔時，可能會出現(xiàn)此問題，隨后由XML處理器進行解析。如果XML處理器沒有禁用文檔類型定義，且使用的是舊版本的SOAP（<1.2），應(yīng)用程序可能會面臨漏洞。XXE可能導(dǎo)致未授權(quán)的數(shù)據(jù)上傳或外泄，以及完整主機的被攻陷。訪問控制失效當(dāng)用戶能夠獲得未授權(quán)訪問應(yīng)受限的應(yīng)用程序資源或功能時，就會出現(xiàn)此問題。一個例子是通過不安全的直接對象引用(IDOR)，在這種情況下，可以通過在脆弱的參數(shù)中指定標識值直接訪問資源或賬戶。訪問控制失效可能導(dǎo)致賬戶被攻陷、重要數(shù)據(jù)曝光以及對保留功能的濫用。安全配置錯誤安全配置錯誤可以在應(yīng)用程序棧的任何層級出現(xiàn)，通常源于不安全的安裝過程。一些安全配置錯誤的例子包括糟糕的錯誤處理、默認賬戶/密碼未被更改，以及安全設(shè)置未設(shè)為安全值。安全配置錯誤可能導(dǎo)致一系列后果，最嚴重的后果是主機系統(tǒng)可能完全被攻陷?？缯灸_本攻擊(XSS)XSS是一種客戶端攻擊，允許攻擊者將客戶端腳本注入到其他用戶查看的網(wǎng)頁中。XSS有三種變體：反射型、存儲型和基于DOM的。XSS對最終用戶的影響包括憑證、會話Cookie和數(shù)據(jù)的盜竊，以及重定向到惡意網(wǎng)站。不安全的反序列化當(dāng)應(yīng)用程序接受來自不可信來源的序列化對象時，可能會出現(xiàn)此問題。攻擊者可以修改對象，插入惡意數(shù)據(jù)，然后將序列化負載轉(zhuǎn)發(fā)到服務(wù)器，此時它會被反序列化，惡意負載被傳遞。不安全的反序列化可能導(dǎo)致服務(wù)拒絕、權(quán)限提升和遠程代碼執(zhí)行。利用已知漏洞的組件當(dāng)應(yīng)用程序使用未修補的軟件組件版本，而該版本已被識別出有已知漏洞時，就會出現(xiàn)此問題。示例包括軟件庫和依賴項，以及現(xiàn)成的