2014年数据泄漏调查报告 解析

        在Web应用程序攻击是关于在2014年的Verizon数据泄露调查报告（DBIR）数据披露最关心的问题之一。这些事件进行了主要是通过在输入验证漏洞和认证影响常见的内容管理系统，如的Joomla！，WordPress的，和Drupal的漏洞。

        报告指出，这些类型的攻击不仅是一个可靠的方法黑客，也有快60％花几分钟或更少的妥协。随着Web应用程序通常作为一个组织的公众形象到互联网，便于开发基于网络的脆弱性令人担忧。

        该DBIR报告建议修复漏洞的攻击者之前找到他们，但你如何找到这些漏洞之前，坏人都关闭你的数据在几分钟之内？一个方法来识别Web应用程序漏洞是开放Web应用安全项目（OWASP）十大文件，旨在筹集约在Web应用程序中10个最关键的安全漏洞的意识。

        就在OWASP十大顶部，你会发现“注入”，如SQL注入叫出来的DBIR。注入漏洞是一种非常常见的安全漏洞，非常容易利用无需工具使用基于简单的文本命令。

        最好的办法，以避免基于Web的如SQL注入攻击是防止在首位的漏洞安全编程实践，但安全编程必须在Web应用程序的开发过程中发生的。那么Web应用程序已经在生产中可能包含像SQL注入漏洞？

        在广泛使用的Web应用程序像WordPress或Drupal的漏洞可能会得到重视安全研究人员和漏洞管理厂商可能会包括在他们的产品的检查。

        然而，传统的漏洞扫描器是不可能找到鲜为人知的和定制的Web应用程序的漏洞，如果安全研究团队不重视他们（或不知道它们的存在，在内置的内部Web应用程序的情况下）。

       使用像Tripwire的WebApp360一个漏洞管理解决方案，包括覆盖在OWASP十大的每个区域可以帮助识别安全漏洞在生产环境中的Web应用程序，甚至是定制或不太知名的Web应用程序。

        不同于传统的漏洞检查，Web应用程序漏洞扫描器采取启发式的，而不是基于规则的方法来发现Web应用程序漏洞无证。结果在网络上找到这些问题之前，黑客这样做，你可以采取措施补救或减轻风险。