网站入侵10大隐患 看网站为何如此脆弱?
安全咨询专家Joel Snyder说,“很多网站站长忽略了这样一个问题,在网站开发小组里,你寻找的首要目标是那些很有创意并且能够构建有创意的网站的人才,可能 后考虑的问题才是安全问题。”
我们不难看出,如今在网络应用程序没有一种机制区分或验证系统来保证不同部分的数据移动。网站开发的技术人员都还没有对安全问题引起足够的重视。
Forrester公司的高级安全分析家也认为,人们总是在网站出事之后才想到亡羊补牢,而不是事先就做好准备。
Kark说:“我敢说大多数的网站都有可能被黑,根本原因就是人们在设计程序的时候完全没有考虑安全问题。”
早在2004年就有安全组织提出了的安全需要从网站设计处开始规划,然而网络安全并没有得到提高;反而随着网络的高速普及,网络安全越来越的威胁着用户的安全。诸如AJAX 和 Rich Internet Applications这样的新技术,虽然使得网站看起来更加漂亮,但却增加了安全风险。
以下是如今 常被黑客利用发起攻击的10大网络安全威胁,包括每个问题的详细描述,实例以及怎么样修补漏洞。
1.跨站脚本攻击(XXS)
问题:这是影响 广危险 大的网页安全程序漏洞,XSS漏洞发生在程序直接把用户的数据发送到网络浏览器的时候而没有确认和编译这些内容。这就使得在浏览器中执行恶意的脚本,让黑客劫持用户数据,甚至黑掉网站,在网站中插入恶意内容,还有发动网络钓鱼和恶意软件攻击。
这些攻击通常是以Java脚本的形式出现的,可以让黑客控制所有的网页。 坏的情况就是黑客可能会盗取客户资料或是假装成银行客户。
实例:PayPal(一种网上支付方式,可以付钱给任何有e-mail的人,主要用于个人之间的网上交易)去年就遭到攻击,黑客欺骗PayPal的用户访问另外一个页面警告客户说他们的帐户受到威胁。实际上受害者访问的是一个网络钓鱼站点然后获取了PayPal客户的注册信息,社会保险号,信用卡的详细信息。PayPal称2006年的时候已经关闭了这一漏洞。
如何保护客户:利用黑白名单来确认所有的输入数据,拒绝任何不再清单上的数据。
除此之外,需要使用适当的输出数据编码,确认程序允许检测攻击,编码可以有效阻止注入脚本在浏览器中的运行。
2.注入漏洞
问题:当用户数据作为一种指令或口令发送到注释器的时候,黑客欺骗了注释器(用来转换文本命令的)来执行命令。注入漏洞允许攻击者在网页应用程序中编写,读取,上传和删除任何数据。 坏的情况是,这些漏洞会使攻击者完全威胁到网页应用程序和根本系统,甚至能够躲开嵌套防火墙的监视。
实例:2006年一月的时候,黑客侵入了罗德岛州府的网站并且盗取了大量的信用卡数据。黑客们宣称他们利用SQL注入攻击,成功的获取了53,000个信用卡帐号,但是官方的数据声称只有4113个。
如何保护客户:尽量少使用注释器。如果必须使用注释器的话,避免注入的关键在于使用安全的API,譬如使用高度参数化的询问以及使用目标关联图。
3.恶意文件的执行
问题:黑客可以执行远程代码攻击,远程安装rookits,或是完全威胁整个系统。只要它接受用户文件名或是文件,任何形式的网页应用程序都存在漏洞。 普遍的漏洞可能就是与PHP编程语言相关的,很多网页的开发使用这一脚本语言。
实例:2004年,一个10几岁的程序员发现Guess.com网站存在的漏洞可能会使黑客从Guess的数据库里获取超过200,000万的客户数据,包括姓名,信用卡号还有其失效期。在联邦商务委员会(Federal Trade Commission)调查这一事件之后,Guess公司同意在来年升级它的信息安全。
如何保护客户:不要使用户以任何形式的文件名的输入数据进入以服务器的基础资源。譬如说包含有脚本或图像的资源。设置防火墙阻止新的链接访问站点和内部系统。
4.不安全的session
问题:攻击者会操控直接session来获得未经授权的对其他对象的访问。当URL地址或是其他形式参数中包含有文件,文件目录或是数据库记录密鈅的时候,这种危险就有可能发生。银行的网站一般使用的密码就是客户的帐号,这很可能在网站的操作界面中暴露客户帐号。攻击者仅仅需通过猜测或是寻找其他的有效的密鈅就可以攻击这些参数。一般来说,这些号码都是连续的。”
实例:2000年的时候,澳大利亚税务局的网站就遭到黑客的劫持,他通过改变URL地址中的身份认证获取了关于17,000家企业的详细资料。黑客通过电子邮件告诉这17,000家公司他们的安全漏洞。
如何保护客户:使用索引或是迂回的基准图抑或是其他迂回的方法来避免暴露直接物理session。如果你实在是无法避免暴露,就应该将网站的访问权只授权给一定的目标群体。
5.伪造跨站请求
问题:这一问题很简单,但是破坏性极大,这一攻击会在受害者浏览网页时控制浏览器,并且对网页应用程序发送恶意请求。网站是相当脆弱的,部分原因是因为授权的请求是基于cookie的。银行就是潜在的目标。安全专家表示网络中99%的应用程序会对伪造的跨站请求做出回应,是不是曾经真的发生过利用这一漏洞盗取客户存款的事情呢?可能银行自身也不知道。对于银行来说,这只不过是合法用户的一次正常转帐而已。”
实例:2005年末的时候,一个名叫Samy的黑客利用蠕虫病毒在MySpace.com网站上获取了为数超过1000000的用户信息,其中数以千计的MySpace网页上自动的出现了“Samy是我的英雄”的字样。这次攻击本身的危害性并不大。但是这次事件展示了利用跨站脚本和伪造跨站请求相结合的威力。另外一个例子就是一年之前,Google的一个漏洞允许外部站点随意修改Google用户的语言使用偏好。
如何保护用户:不要完全相信浏览器自动接受的信任请求和代号。唯一的解决之道就是不要让浏览器记住你的使用偏好。
6.信息泄露和不恰当的危机处理办法
问题:应用程序产生和演示的错误信息对于黑客来说是很有用的,他们可以借此滥用程序的配置、内部网络所无意识产生的隐私以及信息泄露。网页应用程序经常会通过详细描述或是调试错误信息的时候泄露关于系统内部状态的信息。一般来说,这些信息会引起或是自动发动危害很大的攻击。
实例:即使有过失处理方案,信息泄露也在所难免;漏洞事件管理程序也难以避免机密数据的泄露。2005年初,ChoicePoint网站的崩溃就属于这一范畴。大概163,000名顾客的信息受到威胁,因为犯罪分子伪装成ChoicePoint的合法用户,然后再公司的个人信息数据库里搜寻大量注册用户的信息。ChoicePoint后来出台措施限制包含有敏感数据的信息产品的出售。
如何保护用户:及时利用工具扫描系统中的漏洞或威胁。
7.打破授权和session管理
问题:当应用程序自始自终不能保护信任状和session标记的时候,用户和管理员的帐号就有可能遭到劫持。注意隐私安全、授权以及帐号控制的破坏。主要认证机制的漏洞层出不穷,但是漏洞的产生主要是因为附加的认证功能,譬如,注销、密码管理、定时设置、密码问题以及帐户升级等。
实例:2002年的时候,微软不得不消除一个存在于Hotmail中的漏洞,这一漏洞会使恶意的Java脚本程序编写者盗取用户密码。这一问题是由一个网络产品的分销商发现的,这一漏洞容易遭受含有能够改变Hotmail操作界面木马的邮件的攻击,强迫用户重输入密码,在毫不知情的情况下密码就泄露给了黑客。
如何保护用户:通讯和信任状的存储必须保证绝对的安全。对于应用程序的认证部分来说,传输隐私文件的SSL(Security Socket Layer , 加密套接字协议层)协议是唯一的安全选择。信任状必须以复杂和加密的形式储存起来。
8.不安全的密码储存
问题:许多网页的开发者在储存数据的时候都忘记加密,即使密码是大多数网页应用程序的关键的组成部分。有时即使有密码,那也只不过是非常简单的密码而已,难以保证安全。这些漏洞会导致敏感信息的泄露和被黑客利用。
实例:TJX(全球 大的零售商之一)公司的漏洞导致了4570000客户的信用借记卡号的泄露。加拿大政府的调查显示是因为该公司没有升级它的密码系统以致从从2005年7月开始就受到了电子窃听。
如何保护客户:密鈅应该在线下产生,任何时候不使用非安全渠道传输个人密鈅。
IT专家网了解到,这些年来储存信用卡号很流行,但是随着Payment Card Industry Data Security Standard(信用卡行业数据安全标准)的即将生效,阻止将信用卡号储存在一起会更加简单。
9.不安全的通讯
问题:与上一问题类似,也是当敏感信息需要保护的时候,而网络通信加密却不能提供相应的保护。攻击者借此可以访问未受保护的敏感信息。正是因为这个原因,PCI标准要求信用卡信息在网上的传输要加密。
实例:又是TJX公司。华尔街日报报道说,调查人员认为,黑客利用无线渗透盗取收银机和店面电脑之间的数据交换。令人不解的是,这家年销售额174亿美元的大公司的无线网络中的安全设备居然会比普通家庭用户中使用的还少。华尔街日报写到。TJX过去使用的WEP(WEP--Wired Equivalent Privacy加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求)加密系统,而不是更加先进的WPA系统(WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的安全)。
如何保护客户:在任何时候传输敏感数据(信用卡信息,健康记录和其他隐私信息)或是认证链接的时候,都要使用SSL加密协议。与此同时也要要求你的客户,合伙人,员工和管理员访问在线系统的时候使用SSL或是类似的加密协议。利用传输层安全或是协议层加密来保护你的基础组织的安全,譬如网页服务器和数据库系统。
10.在控制URL访问上的失败
问题:一些网页在设计的时候的对象只是一部分有特权的人,譬如管理员。但是对于这些网页却没有真正的保护,有时黑客只要通过有根据的猜测就可以找到相应的URL地址。如果一个URL地址指向的的ID是123456,黑客可能会想123457中的是什么呢?这个攻击瞄准的漏洞叫做强制浏览(forced browsing),它会通过猜测链接和暴力技术寻找到未受保护的网页。
实例:今年,Macworld Conference & Expo Web网站上的一个漏洞使用户免费得到了价值1700美元的白金会员和Steve Jobs的施政演说。这个漏洞评估客户机上的特权而不是服务器,让人们免费通过浏览器上的Java脚本,而不是通过服务器。
如何保护客户:不要以为用户不知道潜在的URL地址。所有的URL地址和商业功能都应该受到一个有效的机制的保护,这一机制要确定用户的角色和权利。
后笔者提醒用户,特别是企业用户,随着网络技术的高速发展,获取黑客技术以及利用这些技术,已经不再是难题。对网络的潜在威胁也将随着黑客技术使用人群的扩大而增加,企业必须认真对待网络安全事项,避免看似不经意的漏洞,却给您和您的用户造成巨大的损失。
百度中找“网站入侵10大隐患 看网站为何如此脆弱?”的内容 GOOGLE中找“网站入侵10大隐患 看网站为何如此脆弱?”的内容 |