國際安全組織新發(fā)布：2004年十大網絡應用漏洞 
　　 
IT安全專業(yè)人士的開放網絡應用安全計劃組織(OWASP)發(fā)布的第二份年度十大網絡應用安全薄弱環(huán)節(jié)列表中，增加了“拒絕提供服務”類型的隱患，因為在去年該類型的隱患已屢見不鮮。OWASP的主席兼“奠基石”(一家提供戰(zhàn)略安全服務的公司）顧問會主任柯費·馬克稱：“我們預測：本年度，主要的電子商務網站將遭到拒絕提供服務的攻擊，因為黑客已經對眾多的用戶密碼感到厭煩?！北热纾寒斠幻莆罩罅侩娮余]件帳號的黑客發(fā)起攻擊，致使電子商務網站上的用戶密碼被修改時，他便得手了。 


當柯費在Charles 
Schwab從事IT安全工作時，他和其他公司的同行組建了OWASP，并開始著手對與保護網站安全相關的重大問題進行評定。最終，在隨后的一年他們發(fā)表了一份近200頁的OWASP指導性文獻。這份資料直接面向IT安全專業(yè)人士和編程人員，其下載次數(shù)多達150萬次。 


柯費說：“它被認可的程度遠遠超乎我們的估計?！钡?，編程人員卻說：他們需要某種能拿給CIO和其他主管人員看的東西，因此，去年該機構發(fā)布了它的第一份《十大網絡應用安全薄弱環(huán)節(jié)列表》。此處是2004年的十大薄弱環(huán)節(jié)名列： 


未經驗證的參數(shù)：某信息在被一種網絡應用軟件使用之前未被驗證其合法性，攻擊者可以利用這種信息攻擊后方應用軟件組件。 

失效的訪問控制：控制各種授權用戶的訪問權限的限制性條件施用不當，造成攻擊者利用這些漏洞訪問其它用戶的帳戶或者使用非經授權的功能。 

失效的帳戶及對話管理：帳戶證書和對話權標沒有得到妥當?shù)谋Ｗo，導致攻擊者對密碼、密鑰、對話信息或者權標實施非法操作，并以其它用戶的身份通過認證； 

跨站點腳本漏洞：網絡應用軟件可以被攻擊者用作一種將攻擊轉移至終端用戶的瀏覽器的裝置。一次成功的攻擊可以獲取到終端用戶的對話信息或可以偽造內容以欺騙用戶。 


緩沖溢出：以某些無法正確驗證輸入信息的語言編寫的網絡應用軟件程序組件很可能會毀掉某個進程；同時，在某些情況下，也能被用于控制某個進程。這些組件可能包括公共網關接口(CGI)、程序庫、驅動程序和網絡應用軟件服務器組件。 


命令注入漏洞：當網絡應用軟件訪問外部系統(tǒng)或者是本地操作系統(tǒng)時，網絡應用軟件可能會傳遞出一些參數(shù)。如果攻擊者能夠在這些參數(shù)中嵌入一些惡意命令，那么外部系統(tǒng)可能會以這種網絡應用軟件的名義來執(zhí)行這些命令。 


錯誤的非正確處理：在用戶對系統(tǒng)進行正常操作的過程中出現(xiàn)一些錯誤，這些錯誤沒有得到正確的處理。在這種情況下，攻擊者能夠利用這些錯誤獲取到詳細的系統(tǒng)信息、拒絕服務、引起安全系統(tǒng)癱瘓或者摧毀服務器。 


非安全存儲：使用加密功能來保護信息和證書的網絡應用軟件，業(yè)已經過證實難以正常進行編碼，從而導致保護功能的弱化。 

拒絕提供服務：如上所述，攻擊者極度消耗網絡應用資源，以致其他合法用戶再無法利用這些資源或使用應用程序。攻擊者還可以封鎖用戶的帳戶或導致無法進行帳戶申請。 


非安全的配置管理：擁有一個過得硬的服務器配置標準對于保護網絡應用軟件來說是至關重要的。這些服務器有許多可以影響到安全的配置選項，如果選擇錯誤將使其失去安全性?！熬W絡應用安全面臨著各種挑戰(zhàn)，”柯費說?！霸S多問題是人的邏輯問題，這些問題是永遠無法用技術手段找得到的。沒有什么靈丹妙藥。它是一道邏輯上的難題，一類有待解決的新問題?！?nbsp;

最新評論