5、监控和日志记录能力不足:在侦察攻击阶段,攻击者试图破坏网络防御和漏洞,这也是检测和消除网络安全解决方案中可疑行为的关键。
由于非服务器架构位于云环境中,“本地”实时网络安全解决方案是冗余的,这意味着可以忽略攻击的早期迹象。通常,无服务器系统提供日志记录功能,但可能不适用于安全监控或审计。
6、不确定的第三方依赖性:当没有服务器的功能依赖于第三方软件(如开源软件包和库)时,漏洞也会为入侵者铺平道路。
7、存储应用程序的不安全秘密:许多应用程序需要加密和存储“秘密”信息,如API密钥、密码、配置设置和数据库凭据。然而,PureSec检测到的重复错误是一种常见的方法,存储在入侵者可以免费使用的纯文本配置文件中。
8、DDoS攻击,达到资源限制:研究表明,由于可能的内存分配、每个功能的持续时间和执行限制,DDoS攻击对无服务器架构构成了严重风险。由于基本限制和配置错误,DDoS攻击可能会成功,冲突问题可能会延迟。
9、流式操作可以在没有服务器功能的情况下执行:攻击者可以操纵应用程序流、破坏应用程序逻辑,从而导致访问控制绕过、权限提升或拒绝服务攻击。
10、错误异常处理和详细的错误消息:没有服务器结构的调试服务通常非常有限。因此,一些开发人员可能会忘记在实际发生后使用详细的错误消息清理代码,以激活调试并迁移到生产环境。这些消息可能会暴露有关无服务器功能和使用逻辑的信息,以及系统和机密数据中的漏洞。
近年来,无服务器架构发展迅速,年增长率超过700%。我们的研究表明,使用无服务器软件下载软件的体验呈指数级增长,但与此同时,无服务器安全知识与现有应用程序相比有很大差异。