《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 低代碼/無代碼的十大安全風(fēng)險(xiǎn)

低代碼/無代碼的十大安全風(fēng)險(xiǎn)

2022-11-05
來源:安全419
關(guān)鍵詞: 安全風(fēng)險(xiǎn) 代碼

  隨著低代碼/無代碼開發(fā)平臺激增以及被企業(yè)廣泛使用,產(chǎn)業(yè)界提出了一個(gè)明確而緊迫的需求,即建立依賴此類平臺開發(fā)的應(yīng)用程序相關(guān)的安全和隱私風(fēng)險(xiǎn)意識?!禣WASP 低代碼十大安全風(fēng)險(xiǎn)清單》(以下簡稱“《清單》”)是為希望采用和開發(fā)低代碼(可視化少量代碼開發(fā))、無代碼(可視化無需編程開發(fā))應(yīng)用程序的企業(yè)提供幫助和指導(dǎo)。

  LCNC-SEC-01:身份冒充

  無代碼/低代碼開發(fā)的應(yīng)用程序可能內(nèi)嵌任何應(yīng)用程序用戶隱式冒充的用戶身份。這為權(quán)限提升創(chuàng)建了一條攻擊路徑,允許攻擊者隱藏在另一個(gè)用戶的身份背后來繞過傳統(tǒng)的安全控制。

  LCNC-SEC-02:授權(quán)濫用

  在大多數(shù)無代碼/低代碼的平臺中,服務(wù)連接都是頭等對象。這意味著應(yīng)用程序、其他用戶或整個(gè)企業(yè)之間的連接。應(yīng)用程序也可能被共享給無權(quán)訪問基礎(chǔ)數(shù)據(jù)的用戶。

  LCNC-SEC-03:數(shù)據(jù)泄漏和意外后果

  無代碼/低代碼應(yīng)用程序通常會跨多個(gè)系統(tǒng)同步數(shù)據(jù)或觸發(fā)操作,這為數(shù)據(jù)跨越企業(yè)邊界創(chuàng)造了一條攻擊路徑。這就意味著,在一個(gè)系統(tǒng)內(nèi)的操作可能對另一個(gè)系統(tǒng)中造成意想不到的后果。

  LCNC-SEC-04:身份驗(yàn)證和安全通信失效

  無代碼/低代碼應(yīng)用程序通常通過業(yè)務(wù)用戶設(shè)置的連接來連接到關(guān)鍵業(yè)務(wù)數(shù)據(jù),這往往會導(dǎo)致不安全的通信。

  LCNC-SEC-05:安全配置錯(cuò)誤

  配置錯(cuò)誤往往會導(dǎo)致匿名訪問敏感數(shù)據(jù)或操作,以及不受保護(hù)的公共端點(diǎn)、密鑰泄漏和過度共享。

  LCNC-SEC-06:注入處理失效

  無代碼/低代碼應(yīng)用程序以多種方式接收用戶提供的數(shù)據(jù),包括直接輸入或從各種服務(wù)中檢索用戶提供的內(nèi)容。此類數(shù)據(jù)可能會包含給應(yīng)用程序帶來風(fēng)險(xiǎn)的惡意有效載荷。

  LCNC-SEC-07:脆弱和不可信的組件

  無代碼/低代碼應(yīng)用程序嚴(yán)重依賴于市場或web上現(xiàn)有組件,以及由開發(fā)人員構(gòu)建的自定義連接器。這些組件通常是非托管的,缺乏可見性,并使應(yīng)用程序面臨基于供應(yīng)鏈的風(fēng)險(xiǎn)。

  LCNC-SEC-08:數(shù)據(jù)和密鑰處理失效

  無代碼/低代碼應(yīng)用程序通常將數(shù)據(jù)或密鑰作為其“代碼”的一部分進(jìn)行存儲,或者存儲在平臺提供的托管數(shù)據(jù)庫中,而這些數(shù)據(jù)必須按照法規(guī)和安全要求進(jìn)行適當(dāng)?shù)拇鎯Α?/p>

  LCNC-SEC-09:資產(chǎn)管理失效

  無代碼/低代碼應(yīng)用程序易于創(chuàng)建開發(fā),并且維護(hù)成本相對較低,這個(gè)特點(diǎn)使這些應(yīng)用程序在保持活動狀態(tài)的同時(shí),企業(yè)也很容易棄用這些應(yīng)用程序。此外,內(nèi)部應(yīng)用程序可以在不解決業(yè)務(wù)連續(xù)性問題的情況下迅速普及。

  LCNC-SEC-10:安全日志記錄和監(jiān)控失效

  無代碼/低代碼應(yīng)用程序通常依賴于供應(yīng)商來生成日志和監(jiān)視數(shù)據(jù)。在許多情況下,日志要么不足,要么沒有收集,從而阻礙了安全調(diào)查,并且無法滿足合規(guī)性要求。

  此外,應(yīng)用程序通常缺乏全面的審計(jì)跟蹤,從而阻礙了變更管理流程和查詢,很難找出是誰引入了一項(xiàng)變更。

  


更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。