應(yīng)用程序級的安全漏洞通常不會像類似SirCam的郵件病毒或者諸如Code Red這樣的蠕蟲病毒那么容易廣為擴散，但它們也同樣會造成很多問題，從竊取產(chǎn)品或信息到使整個Web站點完全癱瘓。確保網(wǎng)站web應(yīng)用程序的安全不是一件簡單的事，而不幸的是對應(yīng)用程序的攻擊是非常容易的。

　　一個和黑客通常都會花上幾個小時來熟悉Web應(yīng)用程序，象編制這一程序的程序員那樣思考然后找出編程時留下的漏洞，然后通過瀏覽器惡意地與應(yīng)用程序及其相關(guān)的設(shè)施進行交互，造成或大或小的損害。

　　要防止這些問題，公司必須找出網(wǎng)站的弱點然后關(guān)閉有可能被黑可利用的縫隙。本文列舉并解釋網(wǎng)站中最容易被黑客利用從而進行攻擊的弱點。

　　找出問題

　　作為Sanctum公司的CTO，我?guī)椭^許多公司找出并修補web應(yīng)用程序中的安全問題。Sanctum公司同時提供安全咨詢服務(wù)和用于完善網(wǎng)絡(luò)安全的長期防衛(wèi)技術(shù)以及驗證工具從而為許多從事電子商務(wù)公司解決了大量的應(yīng)用程序級安全問題。

　　Sanctum檢查了超過100家的頂尖網(wǎng)站，模擬黑客攻擊，發(fā)現(xiàn)超過百分之97的網(wǎng)站有只需幾個小時就能攻破的嚴重的應(yīng)用程序級問題。Sanctum所進行的檢查通常被稱為"善意黑客"，因為是客戶要求并授權(quán)Sanctum對他們的網(wǎng)站進行入侵的--象某個用戶(或黑客)那樣，在公司的防火墻和網(wǎng)絡(luò)之外對網(wǎng)站進行訪問。

　　通過使用Sanctum的自動化應(yīng)用程序弱點評估工具AppScan，檢察人員遍歷整個網(wǎng)絡(luò)，辨識網(wǎng)站的應(yīng)用程序安全策略，找出目標站點已知和未知的漏洞，然后模擬黑客利用這些漏洞對網(wǎng)站進行攻擊。每次成功的攻擊和每個漏洞的嚴重程度都會進行評估，然后提交給公司一份詳細的報告以及修補建議。

　　常見漏洞

　　幾乎所有Sanctum進行過的檢查都發(fā)現(xiàn)各個網(wǎng)站都采取了嚴密的網(wǎng)絡(luò)級安全措施(例如防火墻和加密)，這些站點仍然會使黑客能夠?qū)蛻艉凸具M行入侵。

　　1. Cookie中毒--身份偽裝

　　通過處理存放在瀏覽器cookie中的信息，黑客偽裝成合法的用戶然后就可以存取用戶的信息。許多Web應(yīng)用程序使用客戶機上的cookie來保存信息(用戶身份、時間戳等等)。由于cookie通常都沒有加密，黑客可以對它們進行修改，這樣就可以通過這些"中了毒的cookie"來欺騙應(yīng)用程序。心存惡意的用戶可以訪問他人的賬戶然后象真正用戶那樣行事。

　　2. 操縱隱藏字段--電子行竊

　　黑客能夠很容易地更改網(wǎng)頁原碼中的隱藏字段以改變某件商品的價格。這些字段通常用來保存客戶的會話的信息，以便減少服務(wù)器端復(fù)雜的數(shù)據(jù)庫處理工作。由于電子商務(wù)應(yīng)用程序使用隱藏字段來保存商品的價格，Sanctum的檢查人員就能夠看到網(wǎng)站的源代碼，找出隱藏字段，然后更改價目。而在真實環(huán)境中沒有人能發(fā)現(xiàn)這些改動，而這家公司必須按照改動后的價格發(fā)送商品，甚至發(fā)送折扣。

　　3. 篡改參數(shù)--欺詐

　　這種技術(shù)改變網(wǎng)站URL的參數(shù)。很多web應(yīng)用程序無法確定嵌入在超鏈接中CGI參數(shù)的正確性。比如說，允許信用卡使用500，000元這樣大額的限制，跳過網(wǎng)站的登陸界面以及允許對取消后的訂單和客戶信息進行訪問。

　　4. 緩沖區(qū)溢出--業(yè)務(wù)終止

　　通過使用某種形式的數(shù)據(jù)流，用過量的信息使服務(wù)器超載，黑客常常能夠使服務(wù)器崩潰從而關(guān)閉網(wǎng)站。

　　5. 跨站點腳本--截取信用

　　黑客向網(wǎng)站輸入惡意代碼，在目標服務(wù)器上運行一段看上去無害的錯誤的腳本程序會使黑客能夠完全訪問所獲取的文檔，服務(wù)器甚至有可能向黑客傳送頁面中的數(shù)據(jù)。

　　6. 后門和debug選項--入侵

　　程序員經(jīng)常在網(wǎng)站正式運轉(zhuǎn)前在程序中留下調(diào)試選項。有時由于匆忙，他們忘記了閉這些漏洞，使黑客能夠自由地訪問敏感信息。

　　7. 強制瀏覽--強行侵入

　　通過改變程序流程，黑客能夠?qū)φＧ闆r下無法獲得的信息和程序的某些部分進行訪問，如日志文件、管理工具以及web應(yīng)用程序的源碼。

　　8. 潛入指令--秘密武器

　　黑客們常常通過木馬植入危險的指令，通過運行惡意或未經(jīng)授權(quán)的指令來破壞網(wǎng)站。

　　9. 第三方的錯誤設(shè)置--弱化網(wǎng)站

　　一旦漏洞在公共網(wǎng)站上被公布和修正(比如Securityfocus)，黑客就會獲知這些新的安全漏洞。例如，通過一個設(shè)置錯誤，黑客就可以建立一個新數(shù)據(jù)庫以避免使用在該網(wǎng)站上不能奏效的入侵方法。

　　10. 已知漏洞--控制站點

　　各網(wǎng)站所使用的某些技術(shù)有一些固有的缺陷，這樣就會被某個執(zhí)著的黑客利用。舉例來說，微軟的ASP技術(shù)可以被用來獲取管理員口令進而控制整個網(wǎng)站。