ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1190

术语表: /attack/glossary

利用面向公众的应用程序

使用软件,数据或命令利用计算机系统或程序中的缺陷以引起意外或未预料到的行为。系统中的缺陷可以是错误、小故障或设计漏洞。这些应用程序通常是网站,但可以包括数据库(如 SQL)、标准服务(如 SMB 或 SSH) 和任何具有 Internet 可访问的开放套接字的其他应用程序,如 web 服务器和相关服务。这可能包括防御规避的利用(Exploitation for Defense Evasion),这取决于利用的漏洞。

对于网站和数据库,OWASP top 10 列出了十大最常见的基于 Web 的漏洞。

缓解

应用程序隔离和最小化特权有助于降低 exploit 的影响。 应用程序隔离将限制被利用的目标对其他进程和系统功能的访问,服务帐户的特权最小化将限制被利用的进程对系统其余部分的权限。 Web 应用程序防火墙可用于限制应用程序的暴露。 使用 DMZ 或在独立的托管基础设施,将面向外部的服务器和服务与网络的其他部分分离。 在设计用于部署到外部系统的自定义软件时,请遵循安全编码最佳实践。 避免 OWASP、CWE 和其他软件缺陷识别工作中所记录的问题。 定期对面向外部的系统进行漏洞扫描,并制定相应程序,使得通过扫描和公开披露发现关键漏洞时,迅速对系统打补丁。

检测

监视应用程序日志中可能表明尝试或成功进行漏洞利用的异常行为。 使用深度包检测来查找常见 exploit 流量的工件,如 SQL 注入。 Web 应用程序防火墙可能检测到尝试漏洞利用的不正确输入。