当今应用程序安全 (AppSec) 环境中的常见问题
如今,为嵌入式系统、移动设备、电动汽车、银行和交易服务开发了各种类型的软件应用程序。然而,经常被忽视的是,许多应用程序和数字体验的设计和操作都没有安全措施,如果安全性不是重中之重,这可能会有风险。
即使优先考虑安全性并实施安全的软件开发实践,公司仍然可能措手不及。当今应用程序安全环境中的常见问题包括:
• 第三方库和框架中的漏洞:许多应用程序依赖于 第三方库和框架 ,如果不定期更新,可能会将漏洞引入应用程序。
• 注入攻击:注入攻击涉及攻击者将恶意代码或命令 注入 应用程序的输入字段(如登录表单或搜索框),以获得对应用程序或其基础数据库的未经授权的访问。
• 跨站点脚本 (XSS):XSS攻击涉及攻击者将恶意代码注入网站或 Web 应用程序,然后可以在用户的浏览器中执行,从而可能窃取敏感数据或代表用户执行未经授权的操作。
• 不安全的身份验证和授权:设计或实施不当的身份验证和授权机制可能允许攻击者绕过安全控制并访问敏感数据或功能。
• 日志记录和监视不足:如果没有足够的日志记录和监视,则可能难以检测和响应安全事件或确定安全问题的根本原因。
• 移动应用程序安全性:随着移动设备的激增,确保移动应用程序的安全性变得越来越重要。移动应用程序可能容易受到一系列攻击,包括针对设备本身或应用程序后端服务器的攻击。
• 云安全 :随着云计算的使用越来越多,确保基于云的应用程序的安全性变得至关重要。基于云的应用程序可能容易受到一系列攻击,包括针对云基础架构、应用程序本身或存储在云中的数据的攻击。
可以使用一个或多个安全编码合规性度量(如 OWASP Top 10 、 CWE Top 25 和 CERT 规则集)来检测上述列表中的项目,以实现安全软件开发。
————————————————
选自文章:安全软件开发的最佳实践
原文链接:https://polelink.blog.csdn.net/article/details/130432325
- 复制链接
- 举报
