网络安全：Web应用程序中的漏洞数据

以信息传播的速度，人们很容易忘记互联网还相对年轻。凭借指数级增长的潜力，尤其是负面的预见，我们可以开始看到互联网在使用数据推动技术进步时的好处。

致力于分析、开发和研究漏洞的网络安全项目现在正与 Cisco Talos、Google和 IBM 等行业领导者和公司合作，旨在有目的地暴露设计缺陷。从本质上破坏软件的努力在本质上是恶意和粗鲁的。然而，这些蓄意的攻击提供了透明度，促进了安全性的加强，以抵御潜在的威胁。在实践中，最好是好人在坏人利用之前发现漏洞。之前向供应商提供零日漏洞在公开披露，让开发人员有机会实施补丁。这个想法是一起工作，因为像谷歌这样的公司与自由软件项目（如 GNU 项目）合作，为开源项目提供了一个改进的平台。

使用分析数据保护用户

开源项目主要是社区驱动的，许多项目是成员开发和研究贡献的产物。Open Web Application Security Project，简称 OWASP，是一个致力于 Web 应用安全的非盈利组织。提供 Web App 安全和分析数据，这个开源社区在服务器层面有更直接的影响。虽然思科、谷歌和 IBM 等大公司在前沿运营，但 OWASP 等项目使用 2017 年收集的数据编制了Web 应用程序中的十大安全风险。

主要网络安全风险

1、注入：SQL、XML 解析器、操作系统命令、SMTP 标头

注入型攻击显着增加— 2017 年比 2016 年增长 37%。代码注入攻击可以包括整个系统，完全控制。SQL 注入会破坏数据库，查询通常包含个人信息的最重要的组件。

2、身份验证：蛮力、字典、会话管理攻击

随着单词列表的不断膨胀，弱密码变得更容易受到字典攻击。避免设置阻碍密码复杂性的特殊字符限制和最大长度值。成功的身份验证会生成具有空闲超时的随机会话 ID。

3、安全配置错误：未修补的缺陷、默认帐户、未受保护的文件/目录

错误是几乎五分之一的违规行为的核心。

4、XML 外部实体：DDoS、XML 上传、

使用 XML-RPC 的 URI 评估 CMS，包括 WordPress 和 Drupal，容易受到远程入侵。有许多用于发送 DoS/DDoS 流量的pingback 攻击实例。在大多数情况下，可以完全删除 XML-RPC 文件。XML 处理器可以评估 URI，该 URI 可被用来上传恶意内容。

5、记录和监控不足

防止不可挽回的数据泄露需要意识。68% 的违规行为需要数月或更长时间才能发现。记录和监控警报对于记录异常情况至关重要。

网络安全的未来

了解风险是最好的防御。对看似不可避免的攻击的准备是在漏洞百出的世界网络中最大的资产。毫无疑问，安全始于个人。大多数 IT 专业人士同意相关课程应该是一项要求。漏洞会随着技术的进步而出现，作为一个社区，我们可以看到数据和分析在创新中的重要性。