常见的应用程式开发错误：防范网路攻击的一步步指南

文章重点

网路安全领导者面对的挑战持续增加，软体开发者常犯的错误仍有许多可以避免的。安全漏洞在80的应用程式中被发现，主要涉及长期以来的已知问题。五项防止重大安全威胁的建议，包括输入控制认证、API保护和使用正确的工具。

随著网路攻击的不断增加，CSO汇总了软体开发者常犯的一些可避免的错误。具体而言，目前80的应用程式在进行安全扫描时都存在安全漏洞，这些漏洞大多都涉及多年来存在的知名问题。根据Akamai最新的网路安全报告，2023年第一季至2024年第一季，针对应用程式和API的网路攻击增加了49。这显示出应用程式和API对于潜在的攻击者而言，已经变成了具有吸引力的目标。

随著几十年来不同安全倡议的提出，例如安全设计、深度防御和DevSecOps等，问题依然存在。一个质量不良的应用程式可能提供进入企业整体网路的途径，从而引发严重的数据泄漏。以下是五项开发者可以采取的措施，以避免重大安全后果的决策，并强化安全防护。

一、糟糕的输入控制

编写任何代码都需从了解所需的数据输入开始，这意味著要注意这些输入如何被应用程式消耗。缺乏控制输入的措施，会造成跨站脚本XSS或SQL注入等攻击，这些攻击利用了不严谨的输入控制。

Tanya Janca表示，缺乏或不正确的输入验证是非常常见的做法。开发者需要确保准确的输入验证，并确保数据在语法和语义上都是正确的。CISA的最新最佳实践建议，产品应系统性地强制执行参数化查询，将命令的内容与命令输入本身分开。

二、糟糕的身份验证和宽松的权限

缺乏稳健的身份验证和基于角色的权限管理是另一个常见问题，这常常在开发团队急于编写和发布更多代码时被忽视。基本的安全措施应包括设置访问规则、实施多重身份验证，以及消除所有默认或缺失的密码。

Git Guardian跟踪了“秘密外泄”这一问题，发现几乎所有暴露这类秘密的安全漏洞在开发者通知后仍活跃至少五天。确保谁真正需要访问特定资源、定期检查这些角色的有效性，以及在不再需要数据访问时撤销凭证，都是改善这一问题的关键。

三、糟糕的API保护与枚举

随著API数量的激增，开发者需要保护这些通讯路径以确保其安全使用。2023年Salt Security针对API的安全报告显示，400名调查对象中几乎都有生产环境中的API安全问题，17遭遇过与API相关的违规事件。

clash中文版

如同最近的Internet Archive事件，多起重大数据泄露案件皆涉及保护不足的API密钥。开发者需持续测试API的弱点，并实时监控API流量，及时识别威胁，提升反应能力。根据2024年F5应用策略报告，41的受访组织管理的API数量与其