網(wǎng)絡安全如今一直是客戶最頭疼的問題��,個人數(shù)據(jù)泄密的事件屢見不鮮���。是什么造成了這一切����?
安全咨詢專家Joel Snyder說�,“很多網(wǎng)站站長忽略了這樣一個問題,在網(wǎng)站開發(fā)小組里�,你尋找的首要目標是那些很有創(chuàng)意并且能夠構建有創(chuàng)意的網(wǎng)站的人才,可能最后考慮的問題才是安全問題����。”
我們不難看出�,如今在網(wǎng)絡應用程序沒有一種機制區(qū)分或驗證系統(tǒng)來保證不同部分的數(shù)據(jù)移動�。網(wǎng)站開發(fā)的技術人員都還沒有對安全問題引起足夠的重視�����。
Forrester公司的高級安全分析家也認為�,人們總是在網(wǎng)站出事之后才想到亡羊補牢����,而不是事先就做好準備。
Kark說:“我敢說大多數(shù)的網(wǎng)站都有可能被黑�����,根本原因就是人們在設計程序的時候完全沒有考慮安全問題���。”
早在2004年就有安全組織提出了的安全需要從網(wǎng)站設計處開始規(guī)劃���,然而網(wǎng)絡安全并沒有得到提高;反而隨著網(wǎng)絡的高速普及�,網(wǎng)絡安全越來越的威脅著用戶的安全。諸如AJAX 和 Rich Internet Applications這樣的新技術�����,雖然使得網(wǎng)站看起來更加漂亮,但卻增加了安全風險��。
以下是如今最常被黑客利用發(fā)起攻擊的10大網(wǎng)絡安全威脅�����,包括每個問題的詳細描述���,實例以及怎么樣修補漏洞�����。
1.跨站腳本攻擊(XXS)
問題:這是影響最廣危險最大的網(wǎng)頁安全程序漏洞,XSS漏洞發(fā)生在程序直接把用戶的數(shù)據(jù)發(fā)送到網(wǎng)絡瀏覽器的時候而沒有確認和編譯這些內容��。這就使得在瀏覽器中執(zhí)行惡意的腳本��,讓黑客劫持用戶數(shù)據(jù)����,甚至黑掉網(wǎng)站,在網(wǎng)站中插入惡意內容���,還有發(fā)動網(wǎng)絡釣魚和惡意軟件攻擊�����。
這些攻擊通常是以Java腳本的形式出現(xiàn)的�,可以讓黑客控制所有的網(wǎng)頁。最壞的情況就是黑客可能會盜取客戶資料或是假裝成銀行客戶���。
實例:PayPal(一種網(wǎng)上支付方式,可以付錢給任何有e-mail的人�����,主要用于個人之間的網(wǎng)上交易)去年就遭到攻擊��,黑客欺騙PayPal的用戶訪問另外一個頁面警告客戶說他們的帳戶受到威脅��。實際上受害者訪問的是一個網(wǎng)絡釣魚站點然后獲取了PayPal客戶的注冊信息��,社會保險號���,信用卡的詳細信息。PayPal稱2006年的時候已經關閉了這一漏洞�����。
如何保護客戶:利用黑白名單來確認所有的輸入數(shù)據(jù),拒絕任何不再清單上的數(shù)據(jù)�。
除此之外,需要使用適當?shù)妮敵鰯?shù)據(jù)編碼���,確認程序允許檢測攻擊,編碼可以有效阻止注入腳本在瀏覽器中的運行��。
2.注入漏洞
問題:當用戶數(shù)據(jù)作為一種指令或口令發(fā)送到注釋器的時候���,黑客欺騙了注釋器(用來轉換文本命令的)來執(zhí)行命令�����。注入漏洞允許攻擊者在網(wǎng)頁應用程序中編寫��,讀取�,上傳和刪除任何數(shù)據(jù)��。最壞的情況是����,這些漏洞會使攻擊者完全威脅到網(wǎng)頁應用程序和根本系統(tǒng),甚至能夠躲開嵌套防火墻的監(jiān)視����。
實例:2006年一月的時候,黑客侵入了羅德島州府的網(wǎng)站并且盜取了大量的信用卡數(shù)據(jù)���。黑客們宣稱他們利用SQL注入攻擊���,成功的獲取了53,000個信用卡帳號���,但是官方的數(shù)據(jù)聲稱只有4113個�����。
如何保護客戶:盡量少使用注釋器��。如果必須使用注釋器的話,避免注入的關鍵在于使用安全的API����,譬如使用高度參數(shù)化的詢問以及使用目標關聯(lián)圖。
3.惡意文件的執(zhí)行
問題:黑客可以執(zhí)行遠程代碼攻擊����,遠程安裝rookits,或是完全威脅整個系統(tǒng)�。只要它接受用戶文件名或是文件,任何形式的網(wǎng)頁應用程序都存在漏洞���。最普遍的漏洞可能就是與PHP編程語言相關的����,很多網(wǎng)頁的開發(fā)使用這一腳本語言����。
實例:2004年,一個10幾歲的程序員發(fā)現(xiàn)Guess.com網(wǎng)站存在的漏洞可能會使黑客從Guess的數(shù)據(jù)庫里獲取超過200���,000萬的客戶數(shù)據(jù)����,包括姓名�,信用卡號還有其失效期。在聯(lián)邦商務委員會(Federal Trade Commission)調查這一事件之后����,Guess公司同意在來年升級它的信息安全。
如何保護客戶:不要使用戶以任何形式的文件名的輸入數(shù)據(jù)進入以服務器的基礎資源。譬如說包含有腳本或圖像的資源�。設置防火墻阻止新的鏈接訪問站點和內部系統(tǒng)。
4.不安全的session
問題:攻擊者會操控直接session來獲得未經授權的對其他對象的訪問�。當URL地址或是其他形式參數(shù)中包含有文件,文件目錄或是數(shù)據(jù)庫記錄密鈅的時候�,這種危險就有可能發(fā)生。銀行的網(wǎng)站一般使用的密碼就是客戶的帳號�,這很可能在網(wǎng)站的操作界面中暴露客戶帳號。攻擊者僅僅需通過猜測或是尋找其他的有效的密鈅就可以攻擊這些參數(shù)�。一般來說,這些號碼都是連續(xù)的�����。
實例:2000年的時候���,澳大利亞稅務局的網(wǎng)站就遭到黑客的劫持,他通過改變URL地址中的身份認證獲取了關于17�,000家企業(yè)的詳細資料。黑客通過電子郵件告訴這17��,000家公司他們的安全漏洞����。
如何保護客戶:使用索引或是迂回的基準圖抑或是其他迂回的方法來避免暴露直接物理session。如果你實在是無法避免暴露�,就應該將網(wǎng)站的訪問權只授權給一定的目標群體。
5.偽造跨站請求
問題:這一問題很簡單����,但是破壞性極大,這一攻擊會在受害者瀏覽網(wǎng)頁時控制瀏覽器��,并且對網(wǎng)頁應用程序發(fā)送惡意請求���。網(wǎng)站是相當脆弱的���,部分原因是因為授權的請求是基于cookie的�����。銀行就是潛在的目標�����。安全專家表示網(wǎng)絡中99%的應用程序會對偽造的跨站請求做出回應�,是不是曾經真的發(fā)生過利用這一漏洞盜取客戶存款的事情呢?可能銀行自身也不知道。對于銀行來說����,這只不過是合法用戶的一次正常轉帳而已�。
實例:2005年末的時候�,一個名叫Samy的黑客利用蠕蟲病毒在MySpace.com網(wǎng)站上獲取了為數(shù)超過1000000的用戶信息,其中數(shù)以千計的MySpace網(wǎng)頁上自動的出現(xiàn)了“Samy是我的英雄”的字樣���。這次攻擊本身的危害性并不大���。但是這次事件展示了利用跨站腳本和偽造跨站請求相結合的威力。另外一個例子就是一年之前����,Google的一個漏洞允許外部站點隨意修改Google用戶的語言使用偏好。
如何保護用戶:不要完全相信瀏覽器自動接受的信任請求和代號�。唯一的解決之道就是不要讓瀏覽器記住你的使用偏好。
6.信息泄露和不恰當?shù)奈C處理辦法
問題:應用程序產生和演示的錯誤信息對于黑客來說是很有用的���,他們可以借此濫用程序的配置�����、內部網(wǎng)絡所無意識產生的隱私以及信息泄露�。網(wǎng)頁應用程序經常會通過詳細描述或是調試錯誤信息的時候泄露關于系統(tǒng)內部狀態(tài)的信息�。一般來說��,這些信息會引起或是自動發(fā)動危害很大的攻擊。
實例:即使有過失處理方案���,信息泄露也在所難免;漏洞事件管理程序也難以避免機密數(shù)據(jù)的泄露�����。2005年初�,ChoicePoint網(wǎng)站的崩潰就屬于這一范疇��。大概163,000名顧客的信息受到威脅��,因為犯罪分子偽裝成ChoicePoint的合法用戶��,然后再公司的個人信息數(shù)據(jù)庫里搜尋大量注冊用戶的信息���。ChoicePoint后來出臺措施限制包含有敏感數(shù)據(jù)的信息產品的出售。
如何保護用戶:及時利用工具掃描系統(tǒng)中的漏洞或威脅�����。
7.打破授權和session管理
問題:當應用程序自始自終不能保護信任狀和session標記的時候�,用戶和管理員的帳號就有可能遭到劫持��。注意隱私安全��、授權以及帳號控制的破壞�。主要認證機制的漏洞層出不窮���,但是漏洞的產生主要是因為附加的認證功能�����,譬如����,注銷�、密碼管理����、定時設置、密碼問題以及帳戶升級等�����。
實例:2002年的時候�����,微軟不得不消除一個存在于Hotmail中的漏洞,這一漏洞會使惡意的Java腳本程序編寫者盜取用戶密碼�����。這一問題是由一個網(wǎng)絡產品的分銷商發(fā)現(xiàn)的���,這一漏洞容易遭受含有能夠改變Hotmail操作界面木馬的郵件的攻擊,強迫用戶重輸入密碼����,在毫不知情的情況下密碼就泄露給了黑客。
如何保護用戶:通訊和信任狀的存儲必須保證絕對的安全�。對于應用程序的認證部分來說,傳輸隱私文件的SSL(Security Socket Layer , 加密套接字協(xié)議層)協(xié)議是唯一的安全選擇�。信任狀必須以復雜和加密的形式儲存起來��。
8.不安全的密碼儲存
問題:許多網(wǎng)頁的開發(fā)者在儲存數(shù)據(jù)的時候都忘記加密����,即使密碼是大多數(shù)網(wǎng)頁應用程序的關鍵的組成部分。有時即使有密碼����,那也只不過是非常簡單的密碼而已����,難以保證安全�。這些漏洞會導致敏感信息的泄露和被黑客利用。
實例:TJX(全球最大的零售商之一)公司的漏洞導致了4570000客戶的信用借記卡號的泄露����。加拿大政府的調查顯示是因為該公司沒有升級它的密碼系統(tǒng)以致從從2005年7月開始就受到了電子竊聽。
如何保護客戶:密鈅應該在線下產生�,任何時候不使用非安全渠道傳輸個人密鈅。
IT專家網(wǎng)了解到��,這些年來儲存信用卡號很流行�����,但是隨著Payment Card Industry Data Security Standard(信用卡行業(yè)數(shù)據(jù)安全標準)的即將生效�,阻止將信用卡號儲存在一起會更加簡單�����。
9.不安全的通訊
問題:與上一問題類似��,也是當敏感信息需要保護的時候,而網(wǎng)絡通信加密卻不能提供相應的保護���。攻擊者借此可以訪問未受保護的敏感信息����。正是因為這個原因����,PCI標準要求信用卡信息在網(wǎng)上的傳輸要加密�。
實例:又是TJX公司。華爾街日報報道說�����,調查人員認為��,黑客利用無線滲透盜取收銀機和店面電腦之間的數(shù)據(jù)交換����。令人不解的是,這家年銷售額174億美元的大公司的無線網(wǎng)絡中的安全設備居然會比普通家庭用戶中使用的還少�。華爾街日報寫到。TJX過去使用的WEP(WEP--Wired Equivalent Privacy加密技術��,WEP安全技術源自于名為RC4的RSA數(shù)據(jù)加密技術�,以滿足用戶更高層次的網(wǎng)絡安全需求)加密系統(tǒng),而不是更加先進的WPA系統(tǒng)(WPA是一種基于標準的可互操作的WLAN安全性增強解決方案���,可大大增強現(xiàn)有以及未來無線局域網(wǎng)系統(tǒng)的安全)�����。
如何保護客戶:在任何時候傳輸敏感數(shù)據(jù)(信用卡信息���,健康記錄和其他隱私信息)或是認證鏈接的時候,都要使用SSL加密協(xié)議�。與此同時也要要求你的客戶,合伙人�����,員工和管理員訪問在線系統(tǒng)的時候使用SSL或是類似的加密協(xié)議��。利用傳輸層安全或是協(xié)議層加密來保護你的基礎組織的安全���,譬如網(wǎng)頁服務器和數(shù)據(jù)庫系統(tǒng)����。
10.在控制URL訪問上的失敗
問題:一些網(wǎng)頁在設計的時候的對象只是一部分有特權的人,譬如管理員�����。但是對于這些網(wǎng)頁卻沒有真正的保護���,有時黑客只要通過有根據(jù)的猜測就可以找到相應的URL地址。如果一個URL地址指向的的ID是123456��,黑客可能會想123457中的是什么呢?這個攻擊瞄準的漏洞叫做強制瀏覽(forced browsing)��,它會通過猜測鏈接和暴力技術尋找到未受保護的網(wǎng)頁����。
實例:今年�,Macworld Conference & Expo Web網(wǎng)站上的一個漏洞使用戶免費得到了價值1700美元的白金會員和Steve Jobs的施政演說。這個漏洞評估客戶機上的特權而不是服務器�����,讓人們免費通過瀏覽器上的Java腳本�,而不是通過服務器。
如何保護客戶:不要以為用戶不知道潛在的URL地址。所有的URL地址和商業(yè)功能都應該受到一個有效的機制的保護�����,這一機制要確定用戶的角色和權利���。
最后筆者提醒用戶�����,特別是企業(yè)用戶���,隨著網(wǎng)絡技術的高速發(fā)展,獲取黑客技術以及利用這些技術����,已經不再是難題�����。對網(wǎng)絡的潛在威脅也將隨著黑客技術使用人群的擴大而增加�,企業(yè)必須認真對待網(wǎng)絡安全事項,避免看似不經意的漏洞�����,卻給您和您的用戶造成巨大的損失。
該文章在 2011/3/10 0:29:19 編輯過
400 186 1886
