行业新闻与博客

澳大利亚和美国的网络安全机构发布了一份联合网络安全咨询警告，针对网络应用程序中的安全缺陷发出警告，这些缺陷可能被恶意行为者利用来策划数据泄露事件并窃取机密数据。

这包括一类称为不安全直接对象引用 ( IDOR ) 的特定错误，这是一种访问控制缺陷，当应用程序利用用户提供的输入或标识符直接访问内部资源（例如数据库记录）时，就会发生这种错误，而无需任何额外的验证。

IDOR 缺陷的一个典型示例是用户能够轻松更改 URL（例如 https://example [.] site/details.php?id= 12345）以获取另一笔交易的未经授权的数据（即 https ://example [.] site/details.php?id= 67890）。

这些机构表示：“IDOR 漏洞是访问控制漏洞，恶意行为者可以通过向网站或 Web 应用程序编程接口 (API) 发出指定其他有效用户的用户标识符的请求来修改或删除数据或访问敏感数据。” “如果无法执行足够的身份验证和授权检查，这些请求就会成功。”

编写实体——澳大利亚信号局的澳大利亚网络安全中心 (ACSC)、美国网络安全和基础设施安全局 (CISA) 以及美国国家安全局 (NSA)——指出，此类缺陷正被对手滥用以危害个人信息。数百万用户和消费者的财务和健康信息。

为了减轻此类威胁，建议供应商、设计人员和开发人员采用设计安全和默认原则，并确保软件对每个修改、删除和访问敏感数据的请求执行身份验证和授权检查。

几天前，CISA 发布了对多个联邦民事行政部门 (FCEB) 以及高优先级私营和公共部门关键基础设施运营商进行的风险和脆弱性评估 (RVA) 收集的数据的分析。

研究发现，“有效帐户是最常见的成功攻击技术，占成功尝试的 54%”，其次是鱼叉式网络钓鱼链接 (33.8%)、鱼叉式网络钓鱼附件 (3.3%)、外部远程服务 (2.9%) ）和偷渡式妥协（1.9%）。

合法帐户（可能是尚未从活动目录中删除的前员工帐户或默认管理员帐户）也已成为在受感染网络中建立持久性（56.1％）、升级权限（42.9％）、和防御规避（17.5%）。

CISA 表示：“为了防范有效帐户技术的成功，关键基础设施实体必须实施强大的密码策略，例如防网络钓鱼 [多因素身份验证]，并监控访问日志和网络通信日志以检测异常访问。”