静态代码检测——应用程序安全开发的第一道门槛
2021-06-22

随着网络安全防护手段的提高,网络犯罪分子的攻击手法也在不断更新。目前他们采用一种新的网络钓鱼攻击,这种攻击方式利用谷歌Drive和Docs来绕过网络安全防护检测。

IT安全研究人员发布的一份报告显示,威胁分子正在利用谷歌Docs进行一场新的钓鱼活动。

钓鱼攻击方式

研究人员解释了攻击者是如何编写一个类似谷歌文档共享页面的网页,并将其上传到Google Drive上。Google Drive会扫描该文件并自动呈现HTML。然后,通过Google Docs打开该文件,攻击者将获得带有渲染图像的最高版本。

然后将生成的链接附加到电子邮件并发送给受害者,要求他们下载文档。一旦单击该链接,他们将被重定向到真正的恶意钓鱼网站,在那里他们的证书将通过另一个看起来像 Google登录门户的网页被盗。


提醒大家最好不要打开任何与你共享的Google Docs链接,以防进入某个假装是谷歌文档的第三方。

网络安全研究人员称,攻击者通过在公开的服务中进行攻击来绕过静态链接扫描程序。过去曾在MailGun、FlipSnack和Movable Ink等小型服务上看到过这种情况,但这是第一次通过谷歌Drive/Docs等大型服务看到这种情况。Google Docs以这种方式被网络攻击者使用得非常巧妙,攻击者最终很有可能绕过许多传统安全防护产品使用的静态链接扫描程序。

至于Google Drive,这不是该服务第一次被恶意滥用。此前,恶意软件和钓鱼工具如DarkHydrus也通过谷歌Drive进行传播。

导致数据泄露、网络攻击或危害公共关键设施的系统漏洞不仅造成的代价是高昂的,而且很有可能导致公司未来的终结。因此软件及其背后开发过程的完整性和安全性已成为每个企业成功的关键组成部分,这也是为什么越来越提倡DevsecOps。

在DevsecOps开发流程中,通过自动化应用程序安全测试,可以相对轻松地通过经济又省心的方式发现许多已知漏洞和潜在的安全缺陷。应用程序安全测试包括如静态代码安全检测 (SAST)、动态应用程序安全测试 (DAST)、开源代码测试(SCA)、交互式应用程序安全测试 (IAST) 和运行时应用程序自我保护 (RASP)。

研究表明,每1000行开源软件代码就有14个安全缺陷,每1400行开源软件代码中就有1个高危安全缺陷。由此可见,经常被使用的开源代码若不进行安全检测就直接被引用到开发中,将为系统带来很大的安全隐患。根据Coralogix的说法,一个普通开发人员每1,000行代码会产生70个错误,而修复一个错误所需的时间是编写一行代码的30倍,静态代码检测的重要性不言而喻。

随着安全左移,在软件开发全周期中及时引入自动化应用程序安全检测工具,并通过安全检测工具中识别出安全漏洞进行及时修正,不仅可以帮助企业确定开发团队修复工作流程的优先级,助力敏捷开发,同时也能进一步降低企业、客户和合作伙伴的应用程序风险。

Wukong(悟空)静态代码安全检测工具,是中科天齐自主研发可以和国际代码安全检测产品相抗衡的一款静态代码检测工具。Wukong(悟空)的优势在于不仅误报率是其他产品的1/3,而且代码检测时间缩短1/3,能够自动识别代码中的安全漏洞、查找更多的已知/未知深度安全漏洞。

在企业软件开发阶段,Wukong(悟空)可以帮助开发人员进行快速查找代码编写过程中出现的逻辑漏洞,并识别、追踪有可能因代码规范/缺陷造成的安全漏洞,在开发早期进行代码漏洞预警与修复,降低软件在运行后产生的漏洞风险,提升抵御网络攻击的安全能力,为网络安全提供有利保障。

中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

关键词标签:系统漏洞 网络安全 静态代码检测 代码安全 恶意软件


相关资讯