`
dayone
  • 浏览: 366311 次
  • 性别: Icon_minigender_1
  • 来自: xian
社区版块
存档分类
最新评论

安全分析:网站被黑的十大原因

阅读更多
当企业用户们听说了太多的关于个人数据被窃的故事之后,网络安全已成为企业用户们考虑的头等大事,但是网络开发商却忽视了安全漏洞给用户带来的危险。

    IT顾问Joel Snyder说:“他们完全忽略了安全问题。当你去找你的网站设计师时,你要找的实际上是那些可以建立有趣网站的具有创新意识的人。有趣是第一位的,可能排在第九位的应考虑因素才是网站必须是一个安全的网站。”

    他说,最大的问题是设计师们不会在网络应用软件之间建立保护机制来分割和验证系统各部分之间移动的数据。

    Forrester公司高级分析师Khalid Kark说,安全通常是网站建好之后才会考虑到的事,一般人很少在建站之前考虑它。

    Kark说:“我认为,大部分网站都是可被攻破的。问题的症结在于设计师们在建站的时候没有考虑过安全问题。”

    这是个大问题,也是非赢利性组织Open Web Application Security Project(OWASP )试图解决的问题之一。OWASP组织在今年发布了一篇名为《十大最关键的网络应用软件安全漏洞》的报告,提高了网络开发员们对安全问题的严重性的认识。

    这份报告第一版的清单是在2004年发布的,但是OWASP组织的主席Jeff Williams说,网络安全的重要性已经提高了。各种新技术,比如AJAX和Rich Internet Applications等能够让网站看起来更好看,但是也给黑客们留下了更多借以攻击的漏洞。然而,要想说服商业公司的老总们,让他们明白他们的网站是不安全的也并不是一件容易的事。

    Aspect Security公司的首席执行官、联合创始人Williams说:“这真是让人泄气,因为这些漏洞很容易找到,也很容易被利用。它就像秃子头上的苍蝇一样醒目。”

    本文归纳了OWASP组织提出的前十大网络漏洞,包括对每个问题的描述、真实案例以及如何修复它们。

1、跨站脚本(XSS)

    ■ 问题:XSS漏洞是最普遍和最致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击。

    ■ 真实案例:恶意攻击者去年针对Paypal发起了攻击,他们将Paypal用户重新引导到另一个恶意网站并警告用户,他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上,然后输入自己的Paypal登录信息、社会保险号和信用卡资料。Paypal公司称,它在2006年6月修复了那个漏洞。

    ■ 如何保护用户:利用一个白名单来验证接到的所有数据,来自白名单之外的数据一律拦截。另外,还可以对所有接收到的数据进行编码。OWASP说:“验证机制可以检测攻击,编码则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本。”

2、注入漏洞

    ■ 问题:当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙。

    ■ 真实案例:俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站,窃取了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号,而主机服务供应商则声称只被窃取了4113个信用卡账号。

    ■ 如何保护用户:尽可能不要使用转换器。OWASP组织说:“如果你必须使用转换器,那么,避免遭受注入攻击的最好方法是使用安全的API,比如参数化指令和对象关系映射库。”

3、恶意文件执行

    ■ 问题:黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用最普遍的一种脚本语言。

    ■ 真实案例:一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的,攻击者可以从Guess数据库中窃取20万个客户的资料,包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后,同意升级其安全系统。

    ■ 如何保护用户:不要将用户提供的任何文件写入基于服务器的资源,比如镜像和脚本等。设定防火墙规则,防止外部网站与内部系统之间建立任何新的连接。

4、不安全的直接对象参照物

    ■ 问题:攻击者可以利用直接对象参照物而越权存取其他对象。当网站地址或者其他参数包含了文件、目录、数据库记录或者关键字等参照物对象时就可能发生这种攻击。

    银行网站通常使用用户的账号作为主关键字,这样就可能在网络接口中暴露用户的账号。

    OWASP说:“数据库关键字的参照物通常会泄密。攻击者可以通过猜想或者搜索另一个有效关键字的方式攻击这些参数。通常,它们都是连续的。”

    ■ 真实案例:澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业,告知它们的数据已经被破解了。

    ■ 如何保护用户:利用索引,通过间接参照映射或者另一种间接法来避免发生直接对象参照物泄密。如果你不能避免使用直接参照,那么在使用它们之前必须对网站访问者进行授权。

5、跨站指令伪造

    ■ 问题:这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的,部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。

    Williams说:“网络上99%的应用软件都是易被跨站指令伪造漏洞感染的。现实中是否发生过某人因此被攻击而损失钱财的事呢?也许连各银行都不知道。对于银行来说,整个攻击看起来就像是用户登录到系统中进行了一次合法的交易。”

    ■ 真实案例:一位名叫Samy的黑客在2005年末利用一个蠕虫在MySpace网站上获得了100万个“好友”资料,在成千上万个MySpace网页上自动出现了“Samy是我的英雄”的文字。攻击本身也许是无害的,但是据说这个案例证明了将跨站脚本与伪造跨站指令结合在一起所具备的威力。另一个案例发生在一年前,Google网站上出现了一个漏洞,外部网站可以利用那个漏洞改变用户的语言偏好设置。

    ■ 如何保护用户:不要依赖浏览器自动提交的凭证或者标识。OWASP说:“解决这个问题的唯一方法是使用一种浏览器不会记住的自定义标识。”

6、信息泄露和错误处理不当

    ■ 问题:各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。

    OWASP说:“各种网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常,这些信息可能会导致用户系统受到更有力的攻击。”

    ■ 真实案例:信息泄露是通过错误处理不当发生的,ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料,随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。

    ■ 如何保护用户:利用测试工具,比如OWASP的WebScarab Project等来查看应用软件出现的错误信息。OWASP说:“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”

    另一个方法是:禁止或者限制在错误处理中使用详细信息,不向用户显示调试信息。

7、不安全的认证和会话管理

    ■ 问题:如果应用软件不能自始至终地保护认证证书和会话标识,用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。

    OWASP说:“主要验证机制中经常出现各种漏洞,但是攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密问题和账户更新等辅助验证功能展开的。” 

    ■ 真实案例:微软公司曾经消除过Hotmail中的一个漏洞,恶意Java脚本程序员曾经在2002年利用这个漏洞窃取了许多用户密码。这个漏洞是一家联网产品转售商发现的,包含木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面,迫使用户不断重新输入他们的密码,并在用户不知情的情况下将它们发送给黑客。

    ■ 如何保护用户:通信与认证证书存储应确保安全性。传输私人文件的SSL协议应该是应用软件认证系统中的唯一选择,认证证书应以加密的形式进行保存。

    另一个方法是:除去认证或者会话管理中使用的自定义cookie。

8、不安全的加密存储设备

    ■ 问题:虽然加密本身也是大部分网络应用软件中的一个重要组成部分,但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术,其设计也是粗制滥造的。

    OWASP说:“这些漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”.

    ■ 真实案例:TJX数据失窃案中,被窃取的信用卡和提款卡账号达到了4570万个。加拿大政府调查后认为,TJX未能升级其数据加密系统。

    ■ 如何保护用户:不要开发你自己的加密算法。最好只使用已经经过审批的公开算法,比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。

    另外,千万不要在不安全渠道上传送私人资料。

    OWASP说,现在将信用卡账号保存起来是比较常见的做法,但是明年就是《信用卡行业数据安全标准》发布的最后期限,以后将不再将信用卡账号保存起来。

9、不安全的通信

    ■ 问题:与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。 

    ■ 真实案例:这次又是一个关于TJX的例子。华尔街日报的报道称,调查员们认为,黑客利用了一种类似于望远镜的天线和笔记本电脑来窃取通过无线方式传输的用户数据。

    有报道称:“众多零售商的无线网络安全性还比不上许多人自己的局域网。TJX使用的是WEP加密系统而不是安全性更好的WPA加密系统。 

    ■ 如何保护用户:在所有经过认证的连接上利用SSL,或者在敏感信息传输过程中使用SSL。SSL或者类似的加密协议应该加载在客户端、与在线系统有关的合作伙伴、员工和管理员账户上。利用传输层安全或者协议级加密系统来保护基础结构各部分之间的通信,比如网络服务器与数据库系统之间的通信。

10、未对网站地址的访问进行限制

    ■ 问题:有些网页的访问应该是受限于一小部分特权用户,比如管理员。然而这些网页通常并不具备真正的保护系统,黑客们可以通过猜测的方式找出这些地址。  Williams说,如果某个网站地址对应的ID号是123456,那么黑客会猜想123457对应的地址是什么呢?

    OWASP说,针对这种漏洞的攻击被称作强迫浏览,通过猜测的方式去猜周围的链接并找出未经保护的网页。 

    ■ 真实案例:Macworld Conference大会网站上有一个漏洞,用户可以免费获得价值1700美元的高级访问权限和史蒂夫·乔布斯的演讲内容。这个漏洞是在客户端而非服务器上评定用户的访问权限的,这样人们就可以通过浏览器中的Java脚本获得免费权限。

    ■ 如何保护用户:不要以为用户们不知道隐藏的地址。所有的网站地址和业务功能都应受到一个有效访问控制机制的保护,这个机制可以检验用户的身份和权限。



分享到:
评论

相关推荐

    关于Web安全测试规范的分析说明.zip

    首先,我们需要理解Web安全的基石:OWASP(开放网络应用安全项目)的十大安全风险。这包括注入攻击、失效的身份验证和会话管理、跨站脚本(XSS)、不安全的直接对象引用、安全配置错误、敏感数据暴露、失效的访问...

    落地有声,世界人工智能产业安全十大创新实践揭晓.pdf

    7. **安恒信息的《AiLPHA大数据智能安全平台》**:以AI驱动安全为核心,整合了大规模存储、实时智能分析和用户行为分析等功能,具备全网流量处理、异构日志集成和核心数据安全分析能力。 8. **达闼科技的《高安全高...

    黑客眼中的移动安全.pdf

    黑产、灰产-新的安全挑战 黑产数据-数据黑产 黑产数据-数据黑产的冰山一角 钓鱼过程中黑客技术的组合运用 羊毛党黑产 羊毛党黑产相关工具 羊毛党黑产行为分析 移动安全防护体系构建 新趋势下的安全思考 纵深防御...

    app安全评估操作指南及填写范例.zip

    开发者应熟悉OWASP(开放网络应用安全项目)列出的十大常见应用安全风险,并以此作为评估的基础。 **操作指南** 通常会涵盖以下内容: 1. **评估流程**:从初始的威胁建模到最终的风险评级,包括分析应用的功能和...

    Web应用程序安全手册.zip

    3. 输入验证:所有用户输入都应被视为不安全,应进行严格的输入验证,限制输入长度,使用白名单或黑名单规则,以及对特殊字符的处理。 四、安全配置与部署 1. 服务器安全:保持操作系统和Web服务器的补丁更新,限制...

    (2021-2022年收藏)最新十大经典危机公关案例分析整理.doc

    5. **百度被黑事件**:网络安全危机对互联网公司来说是巨大的挑战。百度迅速应对,通过技术手段解决问题,同时通过公开透明的信息发布来稳定用户情绪。企业需要有强大的网络安全防护措施,并能快速响应以减轻影响。 ...

    白帽子讲web安全 完整版

    10. **Web应用安全框架与最佳实践**:介绍OWASP(开放网络应用安全项目)的十大安全风险,以及遵循OWASP Top Ten、OWASP ASVS(应用安全验证标准)等最佳实践。 11. **漏洞响应与修复**:讨论发现漏洞后的处理流程...

    信息安全_数据安全_Break the Top 10 Cloud Attack Killchains.pdf

    【信息安全与数据安全:打破云攻击的十大关键链】\n\n在当今数字化时代,信息安全和数据安全成为了企业和个人必须面对的重要课题。本讲座聚焦于“Break the Top 10 Cloud Attack Killchains”,旨在深入剖析云环境中...

    Web安全测试全解.zip

    1. **OWASP(开放网络应用安全项目)十大风险**:这是Web安全测试的基石,包括SQL注入、跨站脚本(XSS)、未验证的重定向和转发等常见威胁。 2. **渗透测试**:通过模拟黑客攻击行为来发现系统漏洞的过程,包括黑盒...

    网络安全服务.pdf

    渗透测试通常依据PTES(渗透测试执行标准)、NIST SP 800-15(美国国家标准与技术研究院的安全评估框架)以及OWASP-TOP 10(开放网络应用安全项目十大安全风险)等框架和标准进行。测试类型包括: 1. 黑盒测试:...

    安全软件开发入门(教程)

    软件安全问题可以从内外两个方面来分析。 **内因**:主要是指软件自身存在的问题。 1. **脆弱点**:软件中可能存在的一些易受攻击的地方,如不安全的函数调用。 2. **缺陷**:在设计层面,可能会因为设计不合理而...

    基于GIS的城市交通安全预警系统

    - 主要目标是在了解城市道路交通特征的基础上,深入分析交通事故的影响因素,并揭示事故发生机制,进而实现对城市交通安全的分析、预测与评估。 #### 二、影响交通安全的主要因素 交通事故的发生通常受多种因素...

    Web安全从入门到放弃.pdf

    这份名为"Web安全从入门到放弃.pdf"的文档可能是由CplusHua,一位36W白帽大佬和青藤云安全分析师编写的,旨在介绍Web安全的基础知识以及一些常见的攻击类型。以下是基于提供的部分内容详细解释的一些关键知识点: 1...

    揭开每一位消防科学家和工程师关于黑盒、白盒和因果人工智能的十大理念和规则的神秘面纱_Demystifying Ten Big I

    在火灾科学中,白盒AI可能更适合,因为它需要能被理解和解释的决策过程,以确保安全。 2. **因果AI**:不同于仅基于关联性的预测模型,因果AI关注的是因果关系,即某个变量如何引起或影响另一个变量。在火灾分析中...

    XXXX十大成功和失败危机公关.pptx

    以下是对标题中提到的十大成功和失败危机公关事件的详细分析: 1. **娱乐界“诈捐门”** - 成功应对:章子怡等艺人主动承认错误,及时补交善款,展现了责任感,赢得了公众的理解。 - 教训:公众人物需保持透明度...

    Valeria:编码安全性测试

    OWASP(开放网络应用安全项目)列出了应用程序安全的十大常见问题,包括注入、跨站脚本、失效的身份验证等。开发者应熟悉这些风险并采取措施防范。 9. **加密和数据保护**: 对敏感数据进行加密是保护信息安全的...

    TenSec 2019 _ 十大议题公布 你要的干货都在这里.pdf

    第四个议题关注了嵌入式设备的动态安全分析,强调了使用更先进的工具,如avatar2框架,来提升安全分析能力。框架的开源性和更新,为安全研究提供了新的方向。 第五个议题是macOS恶意软件的检测,随着macOS系统日益...

    2010至2008软件评测师下历年真题以及答案

    - 安全测试:渗透测试、代码审查、安全漏洞识别,以及OWASP十大安全威胁。 5. 测试文档编写: - 测试计划:如何编写测试计划,包括测试范围、资源、时间表和风险评估。 - 测试报告:测试结果的记录、分析和汇报...

    移动互联网信息安全体系概述.pptx

    相比之下,iOS平台虽然有严格的应用审核机制,但越狱后的系统安全机制会被削弱, OWASP十大移动风险(2016)中列举了如平台使用不当、不安全的数据存储和通信、身份验证不足等问题。 黑产和灰产的发展是移动安全的...

    十大优秀新闻标题.pdf

    通过分析上述给出的十大优秀新闻标题,我们可以提炼出以下几点关于新闻标题创作的知识点: 1. **巧用修辞手法**:新闻标题可以运用各种修辞手法,如拆词、拟人、设问等,增加标题的趣味性和吸引力。例如,“难以想...

Global site tag (gtag.js) - Google Analytics