【业界】PureSec数据显示:五分之一的开源无服务器应用程序存在严重漏洞

根据PureSec的数据显示,超过20%的开源无服务器应用程序存在严重的安全漏洞。

对1000个开源无服务器项目的评估显示,其中21%包含一个或多个严重漏洞或错误配置,这些漏洞可能允许攻击者操纵应用程序并执行各种恶意操作。大约6%的项目甚至将应用程序的秘密(例如应用程序编程接口(API)密钥或凭证)发布到其可公开访问的代码存储库中。

据了解,大多数漏洞和错误是由于开发实践不良,缺乏无服务器安全教育以及将不安全的示例代码复制并粘贴到实际项目中所致。

PureSec首席技术官兼联合创始人Ory Segal表示:“随着企业适应无服务器应用程序安全性的独特挑战,PureSec的审核结果令人震惊,但并不令人意外。应用程序安全和云工作负载保护解决方案的传统模式对于无服务器体系结构无效。”

对无服务器基础设施(如物理安全、网络安全或操作系统补丁)安全性的责任落在了服务器提供者上。然而,应用程序所有者仍然对应用程序逻辑、代码、数据和应用程序层配置负全部责任,确保它们安全,稳固并能够抵御攻击。

发现的漏洞百分比在运行时语言是一致的。在选择排除运行时间因素的情况下,人为错误仍然是导致漏洞的原因。DotNet运行时是例外。这些项目的漏洞水平明显较高。

“功能即服务(FaaS)或无服务器功能的核心概念是为消费定义一个API,”Black Duck的技术宣传人员Tim Mackey解释说。这些API可以提供用于集成到更大应用程序中的基本服务。通过将API从核心业务逻辑中解锁出来,现在需要在API函数中实现通常适用于更高级别离散应用程序的安全范例。

例如,离散且面向用户的应用程序通常会在用户输入点执行输入清理例程。然后在应用程序内自由处理已清理过的数据,以将结果返回给最终用户。如果这些内部数据操作例程被分解成离散的API服务,那么当重构API时可以容易地省略输入清理规则。

Mackey补充说:“最终的结果是,意外的数据可能会被呈现给这个函数——相应地会产生意想不到的结果。如果该API功能对其他人有价值,那么这些新的消费者可能不会意识到缺乏相关处理和相关的安全风险。”

此外,任何API都存在潜在的风险,不管它是否被认为是无服务器的。

Mackey说:“应用程序所有者应该注意他们所使用的任何API,并且假定没有独立的验证,可能会存在任何数量的安全问题。除了API执行的安全特性之外,最近媒体对数据泄露的报道也表明,任何使用API的人都应该知道如何使用和存储所呈现的任何数据。”

原文发布于微信公众号 - ATYUN订阅号(atyun_com)

原文发表时间:2018-04-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安智客

Google年度安全报告--8大潜在的恶意程序

最新Google年度安全报告中提到:2017年,从Google Play下载到有害应用程序的可能性比小行星撞击地球的可能性还要低。 安智客在空余时间将报告进行了...

3988
来自专栏织云平台团队的专栏

混合云管理问题,你解决了么?

本文将介绍织云是如何建设和使用命令通道解决混合云的服务器管理问题。

10.5K2
来自专栏FreeBuf

域名劫持事件发生后的应急响应策略

Morphus实验室讲述了这样一个故事,在某周六的早上,你作为一家大公司的CSO(首席安全官),突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的...

2396
来自专栏安恒信息

研究人员发现MAC上的DLL劫持技术

DDL劫持不仅限于Windows:概念上类似的攻击也存在于OS X系统。 根据安全公司的最新研究,DLL劫持在Mac上也同样适用,可以用来绕过苹果GateK...

2975
来自专栏FreeBuf

三年前的libupnp库漏洞,腾讯QQ音乐终于修复了

由于3年前的一个漏洞,今天仍然有610万台设备可被远程代码执行,包括智能手机、路由器、智能电视等,而且这个漏洞早在3年前就已经修复。 该漏洞存在于UPnP™设...

2147
来自专栏ChaMd5安全团队

Shodan在渗透测试及漏洞挖掘中的一些用法

渗透测试中,第一阶段就是信息搜集,这一阶段完成的如何决定了你之后的进行是否顺利,是否更容易。而关于信息收集的文章网上也是有太多,但是你真的会用吗?...

59911
来自专栏程序员的SOD蜜

闲话权限系统的设计

一、权限的本质 权限管理,首先要理清权限的本质:权限就是对受保护资源的有限许可访问。 理解了权限的本质,就好谈权限的管理了。 权限就是对受保护资源的有限许可访问...

3818
来自专栏开源项目

本周新晋优秀开源项目榜单 | 码云周刊第 76 期

1553
来自专栏FreeBuf

极客DIY:利用Arduino制作智能家居系统

智能家居系统简单来说是融合了自动化控制系统、计算机网络系统和网络通讯技术于一体的网络化智能化的家居控制系统。 本文中所展示的智能家居系统可以对室内外温度、天气变...

2228
来自专栏FreeBuf

黑客是如何通过RDP远程桌面服务进行攻击的

企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。 ...

34710

扫码关注云+社区

领取腾讯云代金券