作為信息安全領(lǐng)域的從業(yè)人員很高興回答你的問題�����。關(guān)于Web安全如何修復(fù)我認(rèn)為漏洞修復(fù)分四步發(fā)現(xiàn)漏洞�����、確定漏洞的危害�、確定有那些修復(fù)方案及成本�、綜合比較選擇修復(fù)方案進(jìn)行修復(fù)。
發(fā)現(xiàn)漏洞
在進(jìn)行漏洞修復(fù)之前肯定要確定漏洞是什么�?(如注入、XEE����、跨站、信息泄露、反序列化等OWASP top10常見漏洞或支付��、驗(yàn)證碼����、密碼修改等邏輯漏洞)?����?梢酝ㄟ^專業(yè)的漏洞掃描工具或者專業(yè)的安全服務(wù)團(tuán)隊(duì)發(fā)現(xiàn)漏洞�����,不同類型的漏洞修復(fù)方案不同�����。如注入��、XEE��、跨站����、反序列化可以通過對輸入進(jìn)行控制也可以通過IPS/IDS��,邏輯漏洞則要對邏輯進(jìn)行重新設(shè)計(jì)�����。
確定的漏洞的危害
同樣的漏洞對于不同的情況造成的危害也不一樣����,例如同樣是sql注入漏洞�,一些公司數(shù)據(jù)庫中存放的是極為重要的敏感數(shù)據(jù)(如身份證、手機(jī)號�、賬號、密碼等)���,另外一些公司可能只是存放一些無關(guān)緊要的數(shù)據(jù)(如一些新聞消息),那么可以根據(jù)實(shí)際情況選擇是否修復(fù)�。
確定有那些修復(fù)方案及成本
確定是什么漏洞之后那么就能找到相應(yīng)的修復(fù)方案,如下舉例說明幾種漏洞的修復(fù)方案:
sql注入修復(fù)方案:
1.使用正則表達(dá)式過濾傳入的參數(shù).
2.預(yù)編譯:執(zhí)行階段只是把輸入串作為數(shù)據(jù)處理,而不再對sql語句進(jìn)行解析,準(zhǔn)備,因此也就避免了sql注入問題.
3.權(quán)限控制:在創(chuàng)建一個SQL數(shù)據(jù)庫的用戶帳戶時����,要遵循最低權(quán)限法則。
4.IDS/IPS:從網(wǎng)絡(luò)層來進(jìn)行過濾請求��,來緩解風(fēng)險呢
支付邏輯漏洞修復(fù)方案:
多重校驗(yàn)如下圖:
確定自己Web中漏洞有幾種修復(fù)方案�����,每種修復(fù)方案的成本及影響。
確定修復(fù)方案
根據(jù)修復(fù)漏洞所需要的成本�����,不修復(fù)漏洞帶來的損失�����、對公司的業(yè)務(wù)影響���、對公司的聲譽(yù)影響(如果修復(fù)成本100萬�����,損失10萬完全沒有必要修復(fù))��,選擇相應(yīng)的修復(fù)方案或者緩解措施���。如重要信息未加密漏洞,如果立即修復(fù)對業(yè)務(wù)影響比較大(如代碼需要更改加入加密算法�、數(shù)據(jù)庫結(jié)構(gòu)要重新設(shè)計(jì)、可能第三方對接業(yè)務(wù)代碼也需要更改)�����,可以使用HTTPS協(xié)議及其他緩解措施來增加攻擊的難度,后續(xù)慢慢更改 ���。總之要根據(jù)自身的實(shí)際情況進(jìn)行調(diào)整�。
贊同0
評論0
加載中...
