当前位置:主页 > 数据安全 >

服务器防ddos_高防cdn服务器_怎么防

时间:2021-06-11 23:21来源:E度网络 作者:E度网络 点击:

服务器防ddos_高防cdn服务器_怎么防

安全统计数据是复杂的,围绕着一些基本问题,比如:SQL注入缺陷有多常见?上一天的两篇有趣的文章说明了回答这个问题的一些挑战。一家名为DB Networks的公司宣布,该公司发现2014年SQL注入普及率有所上升,而从2010年到2013年,SQL注入的普及率似乎在稳步下降。DB Networks基于国家漏洞数据库的数据进行分析,无线路由器ddos防御,该数据库收集已知漏洞的披露。不久之后,高防cdn纵然云,ddos攻击防御系统搭建,杰里科损耗.org一位著名的安全评论员指出DB Networks的方法存在缺陷(简而言之:披露的增加并不意味着漏洞的增加;cve可能涵盖多个漏洞类别,等等)。杰里科在文章结尾说:"我鼓励公司和个人继续发布漏洞统计数据。但我强调,这应该是负责任的。"本着Jericho的挑战精神,我认为有必要讨论一下我们在自己的应用程序数据集中看到的SQL注入的流行情况。简而言之:我们看不到DB Networks看到了什么,但"问题变得更好了吗"的答案很复杂,取决于发现缺陷的方法,被扫描的应用程序之前是否被扫描过,还是首次被看到,以及其他因素。利用我们单一的基于云的平台及其端到端的应用程序安全功能,我们的数据集由超过50000个应用程序组成,这些应用程序在2012年至2014年期间被Veracode使用多种分析技术进行了一次或多次扫描。在本分析中,"应用程序"是指客户上传到Veracode云端平台进行静态扫描的一组编译代码(二进制或字节码);由用户标识的用于已验证或未经验证的动态扫描的单个web主机;由客户标识的用于手动渗透的应用范围测试;或者在某些情况下是其中两个或三个的组合。因为我们的目标是查看流行率,所以我们进一步限制了我们正在查看的数据集的定义,仅包括客户的"第一次扫描";也就是说,Veracode第一次代表客户对该应用程序执行该类型的扫描。这是为了消除安全计划的系统性风险降低工作对这些应用程序造成的任何影响。我们发现,总的来说,在所有被扫描的应用程序中,有20.2%或略高于1/5的应用程序中,至少有一个SQL注入漏洞是通过静态、动态或手动扫描确定的。按扫描类型,进行静态扫描的应用程序中,31.4%的应用程序至少发现了一个可能的SQL注入漏洞;在进行动态扫描的应用程序中,有6.1%的应用程序至少存在一个可能的SQL注入漏洞;在进行手动渗透测试的应用程序中,有8.2%的应用程序存在SQL注入漏洞。图1:按扫描类型划分的SQL注入总体流行率扫描类型%第一次扫描时易受SQL注入攻击的应用程序总体20.2%静态31.4%动态的6.1%手册8.3%为什么扫描类型之间有区别?归结起来就是静态测试和动态测试的区别。Veracode的静态扫描程序检查所有可执行代码路径,以查找可能被攻击者使用的易受攻击的代码结构;我们的动态扫描程序执行非破坏性测试,以寻找SQL注入漏洞存在的信号,类似于手动渗透测试人员处理问题的方式。动态扫描仪的发现更有可能被利用,但因为动态扫描仪必须执行应用程序才能找到缺陷,所以它可能受到所提供时间的限制,也可能受到扫描仪通过单击应用程序UI或运行后端接口到达应用程序易受攻击部分的能力的限制。当然,人工测试,由人驱动,有时"有时间限制"到一个固定的时间段,是一个不太可预测的过程,但可能会发现其他方法遗漏的漏洞。趋势呢?由于扫描方法的不同,我按扫描类型查看趋势,而不是总体应用程序流行趋势。这里有一些明显的区别。通过人工干预,我们发现从2012年到2014年,患病率下降了约4.7%。Dynamic略有反弹,但从2012年到2014年呈现净增长。对于静态的,下降了大约1%——考虑到样本的大小,在统计学上可能是显著的,但并不像手工操作那样剧烈。图2:SQL注入应用程序流行趋势因此,在一个大的数据集上,使用三种不同的测试方法,我们可以看到SQL注入流行率在两种情况下有所下降,而在第三种情况下则有所不同。但是为什么会下降呢?在这里,我脱离了简单的事实,根据总体趋势以及Veracode客户群采取的具体行动进行了解释。首先,在过去几年中的违规行为提高了人们对SQL注入作为攻击媒介的重要性的认识。因此,安全行业将注意力集中在SQL注入上,包括OWASP前10名和CWE/SANS前25名等标准。其次,Veracode的客户将政策重点放在消除更严重的漏洞上,包括SQL注入。许多Veracode客户专注于创建一个策略来度量和消除非常高或高严重性的缺陷(在Veracode的标准评分系统中,SQL注入的严重性很高),而不是让开发人员负责修复发现的每一个缺陷。(关于Veracode客户政策的讨论可在Veracode的软件安全状态报告"供应商测试功能"中找到)。我相信这可能是SQL注入普及率逐年下降的部分原因。什么解释了静态方法和其他两种方法在下降率上的差异?我们看到的一件事是,客户有时会更认真地对待动态和手动发现,因为它们看起来"更真实"。虽然确实,在运行系统上的发现比静态分析的平均发现更容易被利用,值得记住的是,与静态分析相比,这两种方法在开发阶段(很晚)和覆盖率(低得多)方面的区别。更微妙的是,与在某人的代码中找到一个易受攻击的点(然后指出需要进行修复的确切位置)相比,要达到可证明的漏洞点的成本更高,ddos防御结果,不仅是在努力上,而且在时间上也是如此。我们认为这三种测试方法都很重要,但最好注意权衡。最后一点:现在庆祝SQL注入的结束还为时过早。不仅动态统计数据表明这种下降可能不是完全真实的,而且下降速度表明,linux防御大量cc,如果它真的到来的话,它还将在数年后结束。但在这方面,任何希望的迹象都值得追求。同样值得思考的是,如何在系统地跟踪SQL注入方面加快进度。

推荐文章
最近更新