在近日發(fā)布的2007年十大Web安全漏洞中��,利用網(wǎng)頁及cookies寫作漏洞的跨站腳本攻擊(XSS)登上首位。
上周疑似使微軟英國網(wǎng)站被駭?shù)碾[碼攻擊(Injection Flaw,包括SQL Injection及Command Injection)居次��,第三位則是Web應(yīng)用程序引入外部惡意程序的惡意文件執(zhí)行攻擊(Malicious File Execution)�����。
在Web 2.0流行風(fēng)潮下,新的網(wǎng)頁應(yīng)用程序開發(fā)與相關(guān)技術(shù)(如AJAX)的應(yīng)用,成為網(wǎng)站欲出奇致勝的重點(diǎn)����,但在網(wǎng)站經(jīng)營者爭(zhēng)相提供創(chuàng)新網(wǎng)頁服務(wù)的情況下���,網(wǎng)頁應(yīng)用程序的安全性也成為新的問題���。
趨勢(shì)科技臺(tái)灣技術(shù)顧問簡(jiǎn)勝財(cái)便指出�����,包括跨站腳本攻擊與數(shù)據(jù)隱碼攻擊等上榜漏洞,多半都是因網(wǎng)頁應(yīng)用程序?qū)懽鞑划?dāng),才產(chǎn)生讓黑客得以入侵的漏洞.
他認(rèn)為���,網(wǎng)頁應(yīng)用程序開發(fā)人員多半缺乏安全相關(guān)訓(xùn)練,導(dǎo)致開發(fā)出的程序可能存在漏洞,導(dǎo)致黑客得以入侵網(wǎng)頁,進(jìn)而竄改網(wǎng)頁��、植入惡意程序�����,或偷取數(shù)據(jù),他認(rèn)為����,企業(yè)網(wǎng)頁開發(fā)人員進(jìn)行網(wǎng)頁程序開發(fā)時(shí)�����,應(yīng)更嚴(yán)謹(jǐn)�����,避免類似事件再次發(fā)生。
他并以6月底發(fā)生在意大利等歐洲國家����,萬余網(wǎng)站遭入侵的事件為例解釋���,黑客已可利用特殊工具包(toolkit)���,主動(dòng)搜索網(wǎng)站漏洞�����,進(jìn)而入侵、竄改網(wǎng)頁內(nèi)容,甚至造成大規(guī)模網(wǎng)災(zāi)�����,提醒網(wǎng)頁應(yīng)用漏洞的普遍性�,以及一旦遭黑客利用所可能造成的嚴(yán)重后果��。
廠商則建議企業(yè)采用網(wǎng)頁應(yīng)用防護(hù)設(shè)備設(shè)備來檢測(cè)網(wǎng)站漏洞�����。
例如阿碼科技(Armorize Technologies)即推出網(wǎng)頁應(yīng)用程序原始碼檢測(cè)器CodeSecure Verifier,以自動(dòng)靜態(tài)分析(Automated Static Analysis)技術(shù)�,提供網(wǎng)頁應(yīng)用程序開發(fā)人員從開發(fā)過程到上線后的開發(fā)生命周期的原始程序代碼分析�����。
至于NetContinuum、F5與Check Point等廠商�,則是推出網(wǎng)頁應(yīng)用防火墻(Web Application Firewall)��,或?qū)⑵涔δ苷⑷肴鏤TM等網(wǎng)絡(luò)安全硬件中,以阻隔針對(duì)網(wǎng)頁應(yīng)用而來的攻擊的方式���,達(dá)到保護(hù)網(wǎng)頁應(yīng)用安全性的目標(biāo)。
2007十大Web安全漏洞第四至第十名分別為:
應(yīng)用程序可任意訪問文件的Insecure Direct Object Reference
讓合法使用者執(zhí)行惡意程序指令卻可能被允許的Cross-Site Request Forgery(CSRF)
錯(cuò)誤信息泄露機(jī)密數(shù)據(jù)的Information Leakage and Improper Error Handling
身份驗(yàn)證功能缺陷的Broken Authentication and Session Management
敏感數(shù)據(jù)加密不安全或無加密的Insecure Cryptographic Storage
傳輸數(shù)據(jù)未加密Insecure Communication
以及因無權(quán)限控制導(dǎo)致可直接存取數(shù)據(jù)的Failure to Restrict URL Access��。
