《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 低代碼/無代碼的十大安全風險

低代碼/無代碼的十大安全風險

2022-11-05
來源:安全419
關鍵詞: 安全風險 代碼

  隨著低代碼/無代碼開發(fā)平臺激增以及被企業(yè)廣泛使用,產業(yè)界提出了一個明確而緊迫的需求,即建立依賴此類平臺開發(fā)的應用程序相關的安全和隱私風險意識?!禣WASP 低代碼十大安全風險清單》(以下簡稱“《清單》”)是為希望采用和開發(fā)低代碼(可視化少量代碼開發(fā))、無代碼(可視化無需編程開發(fā))應用程序的企業(yè)提供幫助和指導。

  LCNC-SEC-01:身份冒充

  無代碼/低代碼開發(fā)的應用程序可能內嵌任何應用程序用戶隱式冒充的用戶身份。這為權限提升創(chuàng)建了一條攻擊路徑,允許攻擊者隱藏在另一個用戶的身份背后來繞過傳統(tǒng)的安全控制。

  LCNC-SEC-02:授權濫用

  在大多數無代碼/低代碼的平臺中,服務連接都是頭等對象。這意味著應用程序、其他用戶或整個企業(yè)之間的連接。應用程序也可能被共享給無權訪問基礎數據的用戶。

  LCNC-SEC-03:數據泄漏和意外后果

  無代碼/低代碼應用程序通常會跨多個系統(tǒng)同步數據或觸發(fā)操作,這為數據跨越企業(yè)邊界創(chuàng)造了一條攻擊路徑。這就意味著,在一個系統(tǒng)內的操作可能對另一個系統(tǒng)中造成意想不到的后果。

  LCNC-SEC-04:身份驗證和安全通信失效

  無代碼/低代碼應用程序通常通過業(yè)務用戶設置的連接來連接到關鍵業(yè)務數據,這往往會導致不安全的通信。

  LCNC-SEC-05:安全配置錯誤

  配置錯誤往往會導致匿名訪問敏感數據或操作,以及不受保護的公共端點、密鑰泄漏和過度共享。

  LCNC-SEC-06:注入處理失效

  無代碼/低代碼應用程序以多種方式接收用戶提供的數據,包括直接輸入或從各種服務中檢索用戶提供的內容。此類數據可能會包含給應用程序帶來風險的惡意有效載荷。

  LCNC-SEC-07:脆弱和不可信的組件

  無代碼/低代碼應用程序嚴重依賴于市場或web上現有組件,以及由開發(fā)人員構建的自定義連接器。這些組件通常是非托管的,缺乏可見性,并使應用程序面臨基于供應鏈的風險。

  LCNC-SEC-08:數據和密鑰處理失效

  無代碼/低代碼應用程序通常將數據或密鑰作為其“代碼”的一部分進行存儲,或者存儲在平臺提供的托管數據庫中,而這些數據必須按照法規(guī)和安全要求進行適當的存儲。

  LCNC-SEC-09:資產管理失效

  無代碼/低代碼應用程序易于創(chuàng)建開發(fā),并且維護成本相對較低,這個特點使這些應用程序在保持活動狀態(tài)的同時,企業(yè)也很容易棄用這些應用程序。此外,內部應用程序可以在不解決業(yè)務連續(xù)性問題的情況下迅速普及。

  LCNC-SEC-10:安全日志記錄和監(jiān)控失效

  無代碼/低代碼應用程序通常依賴于供應商來生成日志和監(jiān)視數據。在許多情況下,日志要么不足,要么沒有收集,從而阻礙了安全調查,并且無法滿足合規(guī)性要求。

  此外,應用程序通常缺乏全面的審計跟蹤,從而阻礙了變更管理流程和查詢,很難找出是誰引入了一項變更。

  


更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。