網(wǎng)站為何如此脆弱?
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
網(wǎng)絡(luò)安全如今一直是客戶最頭疼的問(wèn)題,個(gè)人數(shù)據(jù)泄密的事件屢見(jiàn)不鮮。是什么造成了這一切?
安全咨詢專家Joel Snyder說(shuō),“很多網(wǎng)站站長(zhǎng)忽略了這樣一個(gè)問(wèn)題,在網(wǎng)站開(kāi)發(fā)小組里,你尋找的首要目標(biāo)是那些很有創(chuàng)意并且能夠構(gòu)建有創(chuàng)意的網(wǎng)站的人才,可能最后考慮的問(wèn)題才是安全問(wèn)題。” 我們不難看出,如今在網(wǎng)絡(luò)應(yīng)用程序沒(méi)有一種機(jī)制區(qū)分或驗(yàn)證系統(tǒng)來(lái)保證不同部分的數(shù)據(jù)移動(dòng)。網(wǎng)站開(kāi)發(fā)的技術(shù)人員都還沒(méi)有對(duì)安全問(wèn)題引起足夠的重視。 Forrester公司的高級(jí)安全分析家也認(rèn)為,人們總是在網(wǎng)站出事之后才想到亡羊補(bǔ)牢,而不是事先就做好準(zhǔn)備。 Kark說(shuō):“我敢說(shuō)大多數(shù)的網(wǎng)站都有可能被黑,根本原因就是人們?cè)谠O(shè)計(jì)程序的時(shí)候完全沒(méi)有考慮安全問(wèn)題。” 早在2004年就有安全組織提出了的安全需要從網(wǎng)站設(shè)計(jì)處開(kāi)始規(guī)劃,然而網(wǎng)絡(luò)安全并沒(méi)有得到提高;反而隨著網(wǎng)絡(luò)的高速普及,網(wǎng)絡(luò)安全越來(lái)越的威脅著用戶的安全。諸如AJAX 和 Rich Internet Applications這樣的新技術(shù),雖然使得網(wǎng)站看起來(lái)更加漂亮,但卻增加了安全風(fēng)險(xiǎn)。 以下是如今最常被黑客利用發(fā)起攻擊的10大網(wǎng)絡(luò)安全威脅,包括每個(gè)問(wèn)題的詳細(xì)描述,實(shí)例以及怎么樣修補(bǔ)漏洞。 1.跨站腳本攻擊(XXS) 問(wèn)題:這是影響最廣危險(xiǎn)最大的網(wǎng)頁(yè)安全程序漏洞,XSS漏洞發(fā)生在程序直接把用戶的數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)瀏覽器的時(shí)候而沒(méi)有確認(rèn)和編譯這些內(nèi)容。這就使得在瀏覽器中執(zhí)行惡意的腳本,讓黑客劫持用戶數(shù)據(jù),甚至黑掉網(wǎng)站,在網(wǎng)站中插入惡意內(nèi)容,還有發(fā)動(dòng)網(wǎng)絡(luò)釣魚和惡意軟件攻擊。 這些攻擊通常是以Java腳本的形式出現(xiàn)的,可以讓黑客控制所有的網(wǎng)頁(yè)。最壞的情況就是黑客可能會(huì)盜取客戶資料或是假裝成銀行客戶。 實(shí)例:PayPal(一種網(wǎng)上支付方式,可以付錢給任何有e-mail的人,主要用于個(gè)人之間的網(wǎng)上交易)去年就遭到攻擊,黑客欺騙PayPal的用戶訪問(wèn)另外一個(gè)頁(yè)面警告客戶說(shuō)他們的帳戶受到威脅。實(shí)際上受害者訪問(wèn)的是一個(gè)網(wǎng)絡(luò)釣魚站點(diǎn)然后獲取了PayPal客戶的注冊(cè)信息,社會(huì)保險(xiǎn)號(hào),信用卡的詳細(xì)信息。PayPal稱2006年的時(shí)候已經(jīng)關(guān)閉了這一漏洞。 如何保護(hù)客戶:利用黑白名單來(lái)確認(rèn)所有的輸入數(shù)據(jù),拒絕任何不再清單上的數(shù)據(jù)。 除此之外,需要使用適當(dāng)?shù)妮敵鰯?shù)據(jù)編碼,確認(rèn)程序允許檢測(cè)攻擊,編碼可以有效阻止注入腳本在瀏覽器中的運(yùn)行。 2.注入漏洞 問(wèn)題:當(dāng)用戶數(shù)據(jù)作為一種指令或口令發(fā)送到注釋器的時(shí)候,黑客欺騙了注釋器(用來(lái)轉(zhuǎn)換文本命令的)來(lái)執(zhí)行命令。注入漏洞允許攻擊者在網(wǎng)頁(yè)應(yīng)用程序中編寫,讀取,上傳和刪除任何數(shù)據(jù)。最壞的情況是,這些漏洞會(huì)使攻擊者完全威脅到網(wǎng)頁(yè)應(yīng)用程序和根本系統(tǒng),甚至能夠躲開(kāi)嵌套防火墻的監(jiān)視。 實(shí)例:2006年一月的時(shí)候,黑客侵入了羅德島州府的網(wǎng)站并且盜取了大量的信用卡數(shù)據(jù)。黑客們宣稱他們利用SQL注入攻擊,成功的獲取了53,000個(gè)信用卡帳號(hào),但是官方的數(shù)據(jù)聲稱只有4113個(gè)。 如何保護(hù)客戶:盡量少使用注釋器。如果必須使用注釋器的話,避免注入的關(guān)鍵在于使用安全的API,譬如使用高度參數(shù)化的詢問(wèn)以及使用目標(biāo)關(guān)聯(lián)圖。 3.惡意文件的執(zhí)行 問(wèn)題:黑客可以執(zhí)行遠(yuǎn)程代碼攻擊,遠(yuǎn)程安裝rookits,或是完全威脅整個(gè)系統(tǒng)。只要它接受用戶文件名或是文件,任何形式的網(wǎng)頁(yè)應(yīng)用程序都存在漏洞。最普遍的漏洞可能就是與PHP編程語(yǔ)言相關(guān)的,很多網(wǎng)頁(yè)的開(kāi)發(fā)使用這一腳本語(yǔ)言。 實(shí)例:2004年,一個(gè)10幾歲的程序員發(fā)現(xiàn)Guess.com網(wǎng)站存在的漏洞可能會(huì)使黑客從Guess的數(shù)據(jù)庫(kù)里獲取超過(guò)200,000萬(wàn)的客戶數(shù)據(jù),包括姓名,信用卡號(hào)還有其失效期。在聯(lián)邦商務(wù)委員會(huì)(Federal Trade Commission)調(diào)查這一事件之后,Guess公司同意在來(lái)年升級(jí)它的信息安全。 如何保護(hù)客戶:不要使用戶以任何形式的文件名的輸入數(shù)據(jù)進(jìn)入以服務(wù)器的基礎(chǔ)資源。譬如說(shuō)包含有腳本或圖像的資源。設(shè)置防火墻阻止新的鏈接訪問(wèn)站點(diǎn)和內(nèi)部系統(tǒng)。 4.不安全的session 問(wèn)題:攻擊者會(huì)操控直接session來(lái)獲得未經(jīng)授權(quán)的對(duì)其他對(duì)象的訪問(wèn)。當(dāng)URL地址或是其他形式參數(shù)中包含有文件,文件目錄或是數(shù)據(jù)庫(kù)記錄密鈅的時(shí)候,這種危險(xiǎn)就有可能發(fā)生。銀行的網(wǎng)站一般使用的密碼就是客戶的帳號(hào),這很可能在網(wǎng)站的操作界面中暴露客戶帳號(hào)。攻擊者僅僅需通過(guò)猜測(cè)或是尋找其他的有效的密鈅就可以攻擊這些參數(shù)。一般來(lái)說(shuō),這些號(hào)碼都是連續(xù)的。 實(shí)例:2000年的時(shí)候,澳大利亞稅務(wù)局的網(wǎng)站就遭到黑客的劫持,他通過(guò)改變URL地址中的身份認(rèn)證獲取了關(guān)于17,000家企業(yè)的詳細(xì)資料。黑客通過(guò)電子郵件告訴這17,000家公司他們的安全漏洞。 如何保護(hù)客戶:使用索引或是迂回的基準(zhǔn)圖抑或是其他迂回的方法來(lái)避免暴露直接物理session。如果你實(shí)在是無(wú)法避免暴露,就應(yīng)該將網(wǎng)站的訪問(wèn)權(quán)只授權(quán)給一定的目標(biāo)群體。 5.偽造跨站請(qǐng)求 問(wèn)題:這一問(wèn)題很簡(jiǎn)單,但是破壞性極大,這一攻擊會(huì)在受害者瀏覽網(wǎng)頁(yè)時(shí)控制瀏覽器,并且對(duì)網(wǎng)頁(yè)應(yīng)用程序發(fā)送惡意請(qǐng)求。網(wǎng)站是相當(dāng)脆弱的,部分原因是因?yàn)槭跈?quán)的請(qǐng)求是基于cookie的。銀行就是潛在的目標(biāo)。安全專家表示網(wǎng)絡(luò)中99%的應(yīng)用程序會(huì)對(duì)偽造的跨站請(qǐng)求做出回應(yīng),是不是曾經(jīng)真的發(fā)生過(guò)利用這一漏洞盜取客戶存款的事情呢?可能銀行自身也不知道。對(duì)于銀行來(lái)說(shuō),這只不過(guò)是合法用戶的一次正常轉(zhuǎn)帳而已。 實(shí)例:2005年末的時(shí)候,一個(gè)名叫Samy的黑客利用蠕蟲病毒在MySpace.com網(wǎng)站上獲取了為數(shù)超過(guò)1000000的用戶信息,其中數(shù)以千計(jì)的MySpace網(wǎng)頁(yè)上自動(dòng)的出現(xiàn)了“Samy是我的英雄”的字樣。這次攻擊本身的危害性并不大。但是這次事件展示了利用跨站腳本和偽造跨站請(qǐng)求相結(jié)合的威力。另外一個(gè)例子就是一年之前,Google的一個(gè)漏洞允許外部站點(diǎn)隨意修改Google用戶的語(yǔ)言使用偏好。 如何保護(hù)用戶:不要完全相信瀏覽器自動(dòng)接受的信任請(qǐng)求和代號(hào)。唯一的解決之道就是不要讓瀏覽器記住你的使用偏好。 6.信息泄露和不恰當(dāng)?shù)奈C(jī)處理辦法 問(wèn)題:應(yīng)用程序產(chǎn)生和演示的錯(cuò)誤信息對(duì)于黑客來(lái)說(shuō)是很有用的,他們可以借此濫用程序的配置、內(nèi)部網(wǎng)絡(luò)所無(wú)意識(shí)產(chǎn)生的隱私以及信息泄露。網(wǎng)頁(yè)應(yīng)用程序經(jīng)常會(huì)通過(guò)詳細(xì)描述或是調(diào)試錯(cuò)誤信息的時(shí)候泄露關(guān)于系統(tǒng)內(nèi)部狀態(tài)的信息。一般來(lái)說(shuō),這些信息會(huì)引起或是自動(dòng)發(fā)動(dòng)危害很大的攻擊。 實(shí)例:即使有過(guò)失處理方案,信息泄露也在所難免;漏洞事件管理程序也難以避免機(jī)密數(shù)據(jù)的泄露。2005年初,ChoicePoint網(wǎng)站的崩潰就屬于這一范疇。大概163,000名顧客的信息受到威脅,因?yàn)榉缸锓肿觽窝b成ChoicePoint的合法用戶,然后再公司的個(gè)人信息數(shù)據(jù)庫(kù)里搜尋大量注冊(cè)用戶的信息。ChoicePoint后來(lái)出臺(tái)措施限制包含有敏感數(shù)據(jù)的信息產(chǎn)品的出售。 如何保護(hù)用戶:及時(shí)利用工具掃描系統(tǒng)中的漏洞或威脅。 7.打破授權(quán)和session管理 問(wèn)題:當(dāng)應(yīng)用程序自始自終不能保護(hù)信任狀和session標(biāo)記的時(shí)候,用戶和管理員的帳號(hào)就有可能遭到劫持。注意隱私安全、授權(quán)以及帳號(hào)控制的破壞。主要認(rèn)證機(jī)制的漏洞層出不窮,但是漏洞的產(chǎn)生主要是因?yàn)楦郊拥恼J(rèn)證功能,譬如,注銷、密碼管理、定時(shí)設(shè)置、密碼問(wèn)題以及帳戶升級(jí)等。 實(shí)例:2002年的時(shí)候,微軟不得不消除一個(gè)存在于Hotmail中的漏洞,這一漏洞會(huì)使惡意的Java腳本程序編寫者盜取用戶密碼。這一問(wèn)題是由一個(gè)網(wǎng)絡(luò)產(chǎn)品的分銷商發(fā)現(xiàn)的,這一漏洞容易遭受含有能夠改變Hotmail操作界面木馬的郵件的攻擊,強(qiáng)迫用戶重輸入密碼,在毫不知情的情況下密碼就泄露給了黑客。 如何保護(hù)用戶:通訊和信任狀的存儲(chǔ)必須保證絕對(duì)的安全。對(duì)于應(yīng)用程序的認(rèn)證部分來(lái)說(shuō),傳輸隱私文件的SSL(Security Socket Layer , 加密套接字協(xié)議層)協(xié)議是唯一的安全選擇。信任狀必須以復(fù)雜和加密的形式儲(chǔ)存起來(lái)。 8.不安全的密碼儲(chǔ)存 問(wèn)題:許多網(wǎng)頁(yè)的開(kāi)發(fā)者在儲(chǔ)存數(shù)據(jù)的時(shí)候都忘記加密,即使密碼是大多數(shù)網(wǎng)頁(yè)應(yīng)用程序的關(guān)鍵的組成部分。有時(shí)即使有密碼,那也只不過(guò)是非常簡(jiǎn)單的密碼而已,難以保證安全。這些漏洞會(huì)導(dǎo)致敏感信息的泄露和被黑客利用。 實(shí)例:TJX(全球最大的零售商之一)公司的漏洞導(dǎo)致了4570000客戶的信用借記卡號(hào)的泄露。加拿大政府的調(diào)查顯示是因?yàn)樵摴緵](méi)有升級(jí)它的密碼系統(tǒng)以致從從2005年7月開(kāi)始就受到了電子竊聽(tīng)。 如何保護(hù)客戶:密鈅應(yīng)該在線下產(chǎn)生,任何時(shí)候不使用非安全渠道傳輸個(gè)人密鈅。 IT專家網(wǎng)了解到,這些年來(lái)儲(chǔ)存信用卡號(hào)很流行,但是隨著Payment Card Industry Data Security Standard(信用卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的即將生效,阻止將信用卡號(hào)儲(chǔ)存在一起會(huì)更加簡(jiǎn)單。 9.不安全的通訊 問(wèn)題:與上一問(wèn)題類似,也是當(dāng)敏感信息需要保護(hù)的時(shí)候,而網(wǎng)絡(luò)通信加密卻不能提供相應(yīng)的保護(hù)。攻擊者借此可以訪問(wèn)未受保護(hù)的敏感信息。正是因?yàn)檫@個(gè)原因,PCI標(biāo)準(zhǔn)要求信用卡信息在網(wǎng)上的傳輸要加密。 實(shí)例:又是TJX公司。華爾街日?qǐng)?bào)報(bào)道說(shuō),調(diào)查人員認(rèn)為,黑客利用無(wú)線滲透盜取收銀機(jī)和店面電腦之間的數(shù)據(jù)交換。令人不解的是,這家年銷售額174億美元的大公司的無(wú)線網(wǎng)絡(luò)中的安全設(shè)備居然會(huì)比普通家庭用戶中使用的還少。華爾街日?qǐng)?bào)寫到。TJX過(guò)去使用的WEP(WEP--Wired Equivalent Privacy加密技術(shù),WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求)加密系統(tǒng),而不是更加先進(jìn)的WPA系統(tǒng)(WPA是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強(qiáng)解決方案,可大大增強(qiáng)現(xiàn)有以及未來(lái)無(wú)線局域網(wǎng)系統(tǒng)的安全)。 如何保護(hù)客戶:在任何時(shí)候傳輸敏感數(shù)據(jù)(信用卡信息,健康記錄和其他隱私信息)或是認(rèn)證鏈接的時(shí)候,都要使用SSL加密協(xié)議。與此同時(shí)也要要求你的客戶,合伙人,員工和管理員訪問(wèn)在線系統(tǒng)的時(shí)候使用SSL或是類似的加密協(xié)議。利用傳輸層安全或是協(xié)議層加密來(lái)保護(hù)你的基礎(chǔ)組織的安全,譬如網(wǎng)頁(yè)服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)。 10.在控制URL訪問(wèn)上的失敗 問(wèn)題:一些網(wǎng)頁(yè)在設(shè)計(jì)的時(shí)候的對(duì)象只是一部分有特權(quán)的人,譬如管理員。但是對(duì)于這些網(wǎng)頁(yè)卻沒(méi)有真正的保護(hù),有時(shí)黑客只要通過(guò)有根據(jù)的猜測(cè)就可以找到相應(yīng)的URL地址。如果一個(gè)URL地址指向的的ID是123456,黑客可能會(huì)想123457中的是什么呢?這個(gè)攻擊瞄準(zhǔn)的漏洞叫做強(qiáng)制瀏覽(forced browsing),它會(huì)通過(guò)猜測(cè)鏈接和暴力技術(shù)尋找到未受保護(hù)的網(wǎng)頁(yè)。 實(shí)例:今年,Macworld Conference & Expo Web網(wǎng)站上的一個(gè)漏洞使用戶免費(fèi)得到了價(jià)值1700美元的白金會(huì)員和Steve Jobs的施政演說(shuō)。這個(gè)漏洞評(píng)估客戶機(jī)上的特權(quán)而不是服務(wù)器,讓人們免費(fèi)通過(guò)瀏覽器上的Java腳本,而不是通過(guò)服務(wù)器。 如何保護(hù)客戶:不要以為用戶不知道潛在的URL地址。所有的URL地址和商業(yè)功能都應(yīng)該受到一個(gè)有效的機(jī)制的保護(hù),這一機(jī)制要確定用戶的角色和權(quán)利。 最后筆者提醒用戶,特別是企業(yè)用戶,隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,獲取黑客技術(shù)以及利用這些技術(shù),已經(jīng)不再是難題。對(duì)網(wǎng)絡(luò)的潛在威脅也將隨著黑客技術(shù)使用人群的擴(kuò)大而增加,企業(yè)必須認(rèn)真對(duì)待網(wǎng)絡(luò)安全事項(xiàng),避免看似不經(jīng)意的漏洞,卻給您和您的用戶造成巨大的損失。 該文章在 2011/3/10 0:29:19 編輯過(guò) |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
