程序员以代码的形式征服安全基础架构系列:禁用的安全功能
如今,网络安全威胁无处不在,持续不断。随着我们生活中越来越多的方面被数字化,网络犯罪分子面临的风险就越高——有太多的代码无法保证安全,私人数据也太有价值了。而且,好吧,在部署程序后试图跟上并防御攻击面的各个方面几乎是不可能的。
有些方法可以缓解其中一些症状,当精明的组织接受基础设施即代码(IaC)的概念时,其中一种方法显而易见。当然,与任何开发一样,有一些安全陷阱需要解决。而且,由于开发人员正在研究生成用于托管应用程序的重要基础设施的代码,因此安全意识在流程的每个阶段都至关重要。
那么,刚接触云服务器环境的开发人员究竟会如何提高技能、学习技能,并在提高安全意识的情况下进行构建呢? 我们创建了下一部 Coders Conquer Security 系列,以解决常见的 IaC 漏洞,接下来的几篇博客将重点介绍你(开发人员)可以采取的步骤,开始在自己的组织中以代码形式部署安全基础架构。
让我们开始吧。
美国旧西部有一个寓言,讲述的是一个偏执的人,他认为土匪会袭击并抢劫他的家园。作为补偿,他投资了各种安全措施,例如安装了超坚固的前门,登上了所有的窗户,以及将大量枪支放在触手可及的地方。有一天晚上他在睡觉的时候还被抢劫了,因为他忘记锁侧门。土匪只是找到了失效的保安人员,并迅速利用了这种情况。
在基础架构中禁用安全功能就像这样。即使您的网络具有强大的安全基础架构,如果禁用了元素,也无济于事。
在我们潜入之前,让我提出一个挑战:
访问上面的链接,您将被带到我们的游戏化训练平台,您可以立即尝试克服禁用的安全功能漏洞。(请注意: 它将在 Kubernetes 中打开,但使用下拉菜单,你可以从 Docker、CloudFormation、Terraform 和 Ansible 中进行选择)。
你做得怎么样?如果你还有一些工作要做,请继续阅读:
安全功能可能由于各种原因而被禁用。对于某些应用程序和框架,它们可能在默认情况下处于禁用状态,必须先打开才能开始运行。管理员也可能禁用了特定的安全功能,以便更轻松地执行某些任务,而不会经常受到挑战或封锁(即公开 AWS S3 存储桶)。工作完成后,他们可能会忘记重新激活那些禁用的功能。他们可能还宁愿将其关闭,以便将来更轻松地完成工作。
为什么禁用的安全功能如此危险
禁用一项或多项安全功能是不好的,原因有两个。首先,将安全功能投入到基础设施资源中,以防范已知的漏洞、威胁或漏洞。如果它被禁用,那么它将无法保护你的资源。
攻击者总是会首先尝试找到易于利用的漏洞,甚至可能使用脚本来修复常见的漏洞。这与小偷检查街上的所有汽车以查看是否有门被解锁没什么不同,这比砸窗户容易得多。黑客可能会惊讶地发现常见的安全防御措施处于非活动状态。但是,当这种情况发生时,他们很快就会利用它。
其次,设置良好的安全性然后禁用会产生虚假的安全感。如果管理员不知道有人禁用了这些防御,他们可能会认为自己可以免受常见威胁的侵害。
作为攻击者如何利用已禁用的安全功能的示例,可以考虑阻止公有访问的 AWS S3 安全功能。借助 Amazon S3 屏蔽公有访问权限,账户管理员和存储桶所有者可以轻松设置集中控制来限制对其 Amazon S3 资源的公开访问。但是,一些管理员在访问 S3 存储桶时遇到问题,决定将其公开,以便尽快完成任务。如果他们忘记启用该安全功能,攻击者将完全访问存储在该S3存储桶中的信息,这不仅会导致信息泄露,还会因数据传输费用而产生额外费用。
让我们比较一些现实世界的代码;看看以下 CloudFormation 片段:
易受攻击:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:错误
BlockPublicy:错误
ignorepublicacls:错误
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
安全:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:对
BlockPublicy:没错
ignoreRepublicacls:
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
防止禁用安全功能
阻止禁用的安全功能对您的组织造成负面损害既是政策问题,也是实践问题。应该制定一项坚定的政策,规定只有在非常特殊的情况下才能禁用安全功能。应记录必须暂时禁用功能才能解决问题或更新应用程序的事件。所需工作完成后,应检查功能以确保已完全重新激活。
如果必须永久禁用安全功能以简化操作,则应为受影响的数据提供其他保护措施,以确保在没有默认保护的情况下,黑客将无法访问该功能。如果所需的保护功能已被禁用,那么攻击者找到未锁定的门并利用这种情况只是时间问题。
了解更多,挑战自我:
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞和漏洞的破坏。
现在你已经阅读了这篇文章,准备好发现并修复这个漏洞了吗?是时候到了试试 iMac 游戏化安全挑战 在 Secure Code Warrior 平台上,让您的所有网络安全技能不断磨练并保持最新状态。
这是每周一次的系列文章,涵盖了我们排名前八的 “基础架构即代码” 漏洞;下周回来查看更多信息!
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
如今,网络安全威胁无处不在,持续不断。随着我们生活中越来越多的方面被数字化,网络犯罪分子面临的风险就越高——有太多的代码无法保证安全,私人数据也太有价值了。而且,好吧,在部署程序后试图跟上并防御攻击面的各个方面几乎是不可能的。
有些方法可以缓解其中一些症状,当精明的组织接受基础设施即代码(IaC)的概念时,其中一种方法显而易见。当然,与任何开发一样,有一些安全陷阱需要解决。而且,由于开发人员正在研究生成用于托管应用程序的重要基础设施的代码,因此安全意识在流程的每个阶段都至关重要。
那么,刚接触云服务器环境的开发人员究竟会如何提高技能、学习技能,并在提高安全意识的情况下进行构建呢? 我们创建了下一部 Coders Conquer Security 系列,以解决常见的 IaC 漏洞,接下来的几篇博客将重点介绍你(开发人员)可以采取的步骤,开始在自己的组织中以代码形式部署安全基础架构。
让我们开始吧。
美国旧西部有一个寓言,讲述的是一个偏执的人,他认为土匪会袭击并抢劫他的家园。作为补偿,他投资了各种安全措施,例如安装了超坚固的前门,登上了所有的窗户,以及将大量枪支放在触手可及的地方。有一天晚上他在睡觉的时候还被抢劫了,因为他忘记锁侧门。土匪只是找到了失效的保安人员,并迅速利用了这种情况。
在基础架构中禁用安全功能就像这样。即使您的网络具有强大的安全基础架构,如果禁用了元素,也无济于事。
在我们潜入之前,让我提出一个挑战:
访问上面的链接,您将被带到我们的游戏化训练平台,您可以立即尝试克服禁用的安全功能漏洞。(请注意: 它将在 Kubernetes 中打开,但使用下拉菜单,你可以从 Docker、CloudFormation、Terraform 和 Ansible 中进行选择)。
你做得怎么样?如果你还有一些工作要做,请继续阅读:
安全功能可能由于各种原因而被禁用。对于某些应用程序和框架,它们可能在默认情况下处于禁用状态,必须先打开才能开始运行。管理员也可能禁用了特定的安全功能,以便更轻松地执行某些任务,而不会经常受到挑战或封锁(即公开 AWS S3 存储桶)。工作完成后,他们可能会忘记重新激活那些禁用的功能。他们可能还宁愿将其关闭,以便将来更轻松地完成工作。
为什么禁用的安全功能如此危险
禁用一项或多项安全功能是不好的,原因有两个。首先,将安全功能投入到基础设施资源中,以防范已知的漏洞、威胁或漏洞。如果它被禁用,那么它将无法保护你的资源。
攻击者总是会首先尝试找到易于利用的漏洞,甚至可能使用脚本来修复常见的漏洞。这与小偷检查街上的所有汽车以查看是否有门被解锁没什么不同,这比砸窗户容易得多。黑客可能会惊讶地发现常见的安全防御措施处于非活动状态。但是,当这种情况发生时,他们很快就会利用它。
其次,设置良好的安全性然后禁用会产生虚假的安全感。如果管理员不知道有人禁用了这些防御,他们可能会认为自己可以免受常见威胁的侵害。
作为攻击者如何利用已禁用的安全功能的示例,可以考虑阻止公有访问的 AWS S3 安全功能。借助 Amazon S3 屏蔽公有访问权限,账户管理员和存储桶所有者可以轻松设置集中控制来限制对其 Amazon S3 资源的公开访问。但是,一些管理员在访问 S3 存储桶时遇到问题,决定将其公开,以便尽快完成任务。如果他们忘记启用该安全功能,攻击者将完全访问存储在该S3存储桶中的信息,这不仅会导致信息泄露,还会因数据传输费用而产生额外费用。
让我们比较一些现实世界的代码;看看以下 CloudFormation 片段:
易受攻击:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:错误
BlockPublicy:错误
ignorepublicacls:错误
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
安全:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:对
BlockPublicy:没错
ignoreRepublicacls:
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
防止禁用安全功能
阻止禁用的安全功能对您的组织造成负面损害既是政策问题,也是实践问题。应该制定一项坚定的政策,规定只有在非常特殊的情况下才能禁用安全功能。应记录必须暂时禁用功能才能解决问题或更新应用程序的事件。所需工作完成后,应检查功能以确保已完全重新激活。
如果必须永久禁用安全功能以简化操作,则应为受影响的数据提供其他保护措施,以确保在没有默认保护的情况下,黑客将无法访问该功能。如果所需的保护功能已被禁用,那么攻击者找到未锁定的门并利用这种情况只是时间问题。
了解更多,挑战自我:
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞和漏洞的破坏。
现在你已经阅读了这篇文章,准备好发现并修复这个漏洞了吗?是时候到了试试 iMac 游戏化安全挑战 在 Secure Code Warrior 平台上,让您的所有网络安全技能不断磨练并保持最新状态。
这是每周一次的系列文章,涵盖了我们排名前八的 “基础架构即代码” 漏洞;下周回来查看更多信息!
如今,网络安全威胁无处不在,持续不断。随着我们生活中越来越多的方面被数字化,网络犯罪分子面临的风险就越高——有太多的代码无法保证安全,私人数据也太有价值了。而且,好吧,在部署程序后试图跟上并防御攻击面的各个方面几乎是不可能的。
有些方法可以缓解其中一些症状,当精明的组织接受基础设施即代码(IaC)的概念时,其中一种方法显而易见。当然,与任何开发一样,有一些安全陷阱需要解决。而且,由于开发人员正在研究生成用于托管应用程序的重要基础设施的代码,因此安全意识在流程的每个阶段都至关重要。
那么,刚接触云服务器环境的开发人员究竟会如何提高技能、学习技能,并在提高安全意识的情况下进行构建呢? 我们创建了下一部 Coders Conquer Security 系列,以解决常见的 IaC 漏洞,接下来的几篇博客将重点介绍你(开发人员)可以采取的步骤,开始在自己的组织中以代码形式部署安全基础架构。
让我们开始吧。
美国旧西部有一个寓言,讲述的是一个偏执的人,他认为土匪会袭击并抢劫他的家园。作为补偿,他投资了各种安全措施,例如安装了超坚固的前门,登上了所有的窗户,以及将大量枪支放在触手可及的地方。有一天晚上他在睡觉的时候还被抢劫了,因为他忘记锁侧门。土匪只是找到了失效的保安人员,并迅速利用了这种情况。
在基础架构中禁用安全功能就像这样。即使您的网络具有强大的安全基础架构,如果禁用了元素,也无济于事。
在我们潜入之前,让我提出一个挑战:
访问上面的链接,您将被带到我们的游戏化训练平台,您可以立即尝试克服禁用的安全功能漏洞。(请注意: 它将在 Kubernetes 中打开,但使用下拉菜单,你可以从 Docker、CloudFormation、Terraform 和 Ansible 中进行选择)。
你做得怎么样?如果你还有一些工作要做,请继续阅读:
安全功能可能由于各种原因而被禁用。对于某些应用程序和框架,它们可能在默认情况下处于禁用状态,必须先打开才能开始运行。管理员也可能禁用了特定的安全功能,以便更轻松地执行某些任务,而不会经常受到挑战或封锁(即公开 AWS S3 存储桶)。工作完成后,他们可能会忘记重新激活那些禁用的功能。他们可能还宁愿将其关闭,以便将来更轻松地完成工作。
为什么禁用的安全功能如此危险
禁用一项或多项安全功能是不好的,原因有两个。首先,将安全功能投入到基础设施资源中,以防范已知的漏洞、威胁或漏洞。如果它被禁用,那么它将无法保护你的资源。
攻击者总是会首先尝试找到易于利用的漏洞,甚至可能使用脚本来修复常见的漏洞。这与小偷检查街上的所有汽车以查看是否有门被解锁没什么不同,这比砸窗户容易得多。黑客可能会惊讶地发现常见的安全防御措施处于非活动状态。但是,当这种情况发生时,他们很快就会利用它。
其次,设置良好的安全性然后禁用会产生虚假的安全感。如果管理员不知道有人禁用了这些防御,他们可能会认为自己可以免受常见威胁的侵害。
作为攻击者如何利用已禁用的安全功能的示例,可以考虑阻止公有访问的 AWS S3 安全功能。借助 Amazon S3 屏蔽公有访问权限,账户管理员和存储桶所有者可以轻松设置集中控制来限制对其 Amazon S3 资源的公开访问。但是,一些管理员在访问 S3 存储桶时遇到问题,决定将其公开,以便尽快完成任务。如果他们忘记启用该安全功能,攻击者将完全访问存储在该S3存储桶中的信息,这不仅会导致信息泄露,还会因数据传输费用而产生额外费用。
让我们比较一些现实世界的代码;看看以下 CloudFormation 片段:
易受攻击:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:错误
BlockPublicy:错误
ignorepublicacls:错误
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
安全:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:对
BlockPublicy:没错
ignoreRepublicacls:
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
防止禁用安全功能
阻止禁用的安全功能对您的组织造成负面损害既是政策问题,也是实践问题。应该制定一项坚定的政策,规定只有在非常特殊的情况下才能禁用安全功能。应记录必须暂时禁用功能才能解决问题或更新应用程序的事件。所需工作完成后,应检查功能以确保已完全重新激活。
如果必须永久禁用安全功能以简化操作,则应为受影响的数据提供其他保护措施,以确保在没有默认保护的情况下,黑客将无法访问该功能。如果所需的保护功能已被禁用,那么攻击者找到未锁定的门并利用这种情况只是时间问题。
了解更多,挑战自我:
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞和漏洞的破坏。
现在你已经阅读了这篇文章,准备好发现并修复这个漏洞了吗?是时候到了试试 iMac 游戏化安全挑战 在 Secure Code Warrior 平台上,让您的所有网络安全技能不断磨练并保持最新状态。
这是每周一次的系列文章,涵盖了我们排名前八的 “基础架构即代码” 漏洞;下周回来查看更多信息!
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
如今,网络安全威胁无处不在,持续不断。随着我们生活中越来越多的方面被数字化,网络犯罪分子面临的风险就越高——有太多的代码无法保证安全,私人数据也太有价值了。而且,好吧,在部署程序后试图跟上并防御攻击面的各个方面几乎是不可能的。
有些方法可以缓解其中一些症状,当精明的组织接受基础设施即代码(IaC)的概念时,其中一种方法显而易见。当然,与任何开发一样,有一些安全陷阱需要解决。而且,由于开发人员正在研究生成用于托管应用程序的重要基础设施的代码,因此安全意识在流程的每个阶段都至关重要。
那么,刚接触云服务器环境的开发人员究竟会如何提高技能、学习技能,并在提高安全意识的情况下进行构建呢? 我们创建了下一部 Coders Conquer Security 系列,以解决常见的 IaC 漏洞,接下来的几篇博客将重点介绍你(开发人员)可以采取的步骤,开始在自己的组织中以代码形式部署安全基础架构。
让我们开始吧。
美国旧西部有一个寓言,讲述的是一个偏执的人,他认为土匪会袭击并抢劫他的家园。作为补偿,他投资了各种安全措施,例如安装了超坚固的前门,登上了所有的窗户,以及将大量枪支放在触手可及的地方。有一天晚上他在睡觉的时候还被抢劫了,因为他忘记锁侧门。土匪只是找到了失效的保安人员,并迅速利用了这种情况。
在基础架构中禁用安全功能就像这样。即使您的网络具有强大的安全基础架构,如果禁用了元素,也无济于事。
在我们潜入之前,让我提出一个挑战:
访问上面的链接,您将被带到我们的游戏化训练平台,您可以立即尝试克服禁用的安全功能漏洞。(请注意: 它将在 Kubernetes 中打开,但使用下拉菜单,你可以从 Docker、CloudFormation、Terraform 和 Ansible 中进行选择)。
你做得怎么样?如果你还有一些工作要做,请继续阅读:
安全功能可能由于各种原因而被禁用。对于某些应用程序和框架,它们可能在默认情况下处于禁用状态,必须先打开才能开始运行。管理员也可能禁用了特定的安全功能,以便更轻松地执行某些任务,而不会经常受到挑战或封锁(即公开 AWS S3 存储桶)。工作完成后,他们可能会忘记重新激活那些禁用的功能。他们可能还宁愿将其关闭,以便将来更轻松地完成工作。
为什么禁用的安全功能如此危险
禁用一项或多项安全功能是不好的,原因有两个。首先,将安全功能投入到基础设施资源中,以防范已知的漏洞、威胁或漏洞。如果它被禁用,那么它将无法保护你的资源。
攻击者总是会首先尝试找到易于利用的漏洞,甚至可能使用脚本来修复常见的漏洞。这与小偷检查街上的所有汽车以查看是否有门被解锁没什么不同,这比砸窗户容易得多。黑客可能会惊讶地发现常见的安全防御措施处于非活动状态。但是,当这种情况发生时,他们很快就会利用它。
其次,设置良好的安全性然后禁用会产生虚假的安全感。如果管理员不知道有人禁用了这些防御,他们可能会认为自己可以免受常见威胁的侵害。
作为攻击者如何利用已禁用的安全功能的示例,可以考虑阻止公有访问的 AWS S3 安全功能。借助 Amazon S3 屏蔽公有访问权限,账户管理员和存储桶所有者可以轻松设置集中控制来限制对其 Amazon S3 资源的公开访问。但是,一些管理员在访问 S3 存储桶时遇到问题,决定将其公开,以便尽快完成任务。如果他们忘记启用该安全功能,攻击者将完全访问存储在该S3存储桶中的信息,这不仅会导致信息泄露,还会因数据传输费用而产生额外费用。
让我们比较一些现实世界的代码;看看以下 CloudFormation 片段:
易受攻击:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:错误
BlockPublicy:错误
ignorepublicacls:错误
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
安全:
企业存储桶:
类型:AWS:: S3:: Bucket
属性:
公共访问区块配置:
blockPublicACLS:对
BlockPublicy:没错
ignoreRepublicacls:
restrictPublicBuckets:
版本控制配置:
状态:已启用
存储桶加密:
服务器端加密配置:
-默认情况下服务器端加密:
SSE 算法:“AES256”
防止禁用安全功能
阻止禁用的安全功能对您的组织造成负面损害既是政策问题,也是实践问题。应该制定一项坚定的政策,规定只有在非常特殊的情况下才能禁用安全功能。应记录必须暂时禁用功能才能解决问题或更新应用程序的事件。所需工作完成后,应检查功能以确保已完全重新激活。
如果必须永久禁用安全功能以简化操作,则应为受影响的数据提供其他保护措施,以确保在没有默认保护的情况下,黑客将无法访问该功能。如果所需的保护功能已被禁用,那么攻击者找到未锁定的门并利用这种情况只是时间问题。
了解更多,挑战自我:
来看看 安全代码勇士 博客页面,详细了解此漏洞以及如何保护您的组织和客户免受其他安全漏洞和漏洞的破坏。
现在你已经阅读了这篇文章,准备好发现并修复这个漏洞了吗?是时候到了试试 iMac 游戏化安全挑战 在 Secure Code Warrior 平台上,让您的所有网络安全技能不断磨练并保持最新状态。
这是每周一次的系列文章,涵盖了我们排名前八的 “基础架构即代码” 漏洞;下周回来查看更多信息!
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
