網站為何如此脆弱?
當前位置:點晴教程→知識管理交流
→『 技術文檔交流 』
網絡安全如今一直是客戶最頭疼的問題,個人數據泄密的事件屢見不鮮。是什么造成了這一切?
安全咨詢專家Joel Snyder說,“很多網站站長忽略了這樣一個問題,在網站開發小組里,你尋找的首要目標是那些很有創意并且能夠構建有創意的網站的人才,可能最后考慮的問題才是安全問題。” 我們不難看出,如今在網絡應用程序沒有一種機制區分或驗證系統來保證不同部分的數據移動。網站開發的技術人員都還沒有對安全問題引起足夠的重視。 Forrester公司的高級安全分析家也認為,人們總是在網站出事之后才想到亡羊補牢,而不是事先就做好準備。 Kark說:“我敢說大多數的網站都有可能被黑,根本原因就是人們在設計程序的時候完全沒有考慮安全問題。” 早在2004年就有安全組織提出了的安全需要從網站設計處開始規劃,然而網絡安全并沒有得到提高;反而隨著網絡的高速普及,網絡安全越來越的威脅著用戶的安全。諸如AJAX 和 Rich Internet Applications這樣的新技術,雖然使得網站看起來更加漂亮,但卻增加了安全風險。 以下是如今最常被黑客利用發起攻擊的10大網絡安全威脅,包括每個問題的詳細描述,實例以及怎么樣修補漏洞。 1.跨站腳本攻擊(XXS) 問題:這是影響最廣危險最大的網頁安全程序漏洞,XSS漏洞發生在程序直接把用戶的數據發送到網絡瀏覽器的時候而沒有確認和編譯這些內容。這就使得在瀏覽器中執行惡意的腳本,讓黑客劫持用戶數據,甚至黑掉網站,在網站中插入惡意內容,還有發動網絡釣魚和惡意軟件攻擊。 這些攻擊通常是以Java腳本的形式出現的,可以讓黑客控制所有的網頁。最壞的情況就是黑客可能會盜取客戶資料或是假裝成銀行客戶。 實例:PayPal(一種網上支付方式,可以付錢給任何有e-mail的人,主要用于個人之間的網上交易)去年就遭到攻擊,黑客欺騙PayPal的用戶訪問另外一個頁面警告客戶說他們的帳戶受到威脅。實際上受害者訪問的是一個網絡釣魚站點然后獲取了PayPal客戶的注冊信息,社會保險號,信用卡的詳細信息。PayPal稱2006年的時候已經關閉了這一漏洞。 如何保護客戶:利用黑白名單來確認所有的輸入數據,拒絕任何不再清單上的數據。 除此之外,需要使用適當的輸出數據編碼,確認程序允許檢測攻擊,編碼可以有效阻止注入腳本在瀏覽器中的運行。 2.注入漏洞 問題:當用戶數據作為一種指令或口令發送到注釋器的時候,黑客欺騙了注釋器(用來轉換文本命令的)來執行命令。注入漏洞允許攻擊者在網頁應用程序中編寫,讀取,上傳和刪除任何數據。最壞的情況是,這些漏洞會使攻擊者完全威脅到網頁應用程序和根本系統,甚至能夠躲開嵌套防火墻的監視。 實例:2006年一月的時候,黑客侵入了羅德島州府的網站并且盜取了大量的信用卡數據。黑客們宣稱他們利用SQL注入攻擊,成功的獲取了53,000個信用卡帳號,但是官方的數據聲稱只有4113個。 如何保護客戶:盡量少使用注釋器。如果必須使用注釋器的話,避免注入的關鍵在于使用安全的API,譬如使用高度參數化的詢問以及使用目標關聯圖。 3.惡意文件的執行 問題:黑客可以執行遠程代碼攻擊,遠程安裝rookits,或是完全威脅整個系統。只要它接受用戶文件名或是文件,任何形式的網頁應用程序都存在漏洞。最普遍的漏洞可能就是與PHP編程語言相關的,很多網頁的開發使用這一腳本語言。 實例:2004年,一個10幾歲的程序員發現Guess.com網站存在的漏洞可能會使黑客從Guess的數據庫里獲取超過200,000萬的客戶數據,包括姓名,信用卡號還有其失效期。在聯邦商務委員會(Federal Trade Commission)調查這一事件之后,Guess公司同意在來年升級它的信息安全。 如何保護客戶:不要使用戶以任何形式的文件名的輸入數據進入以服務器的基礎資源。譬如說包含有腳本或圖像的資源。設置防火墻阻止新的鏈接訪問站點和內部系統。 4.不安全的session 問題:攻擊者會操控直接session來獲得未經授權的對其他對象的訪問。當URL地址或是其他形式參數中包含有文件,文件目錄或是數據庫記錄密鈅的時候,這種危險就有可能發生。銀行的網站一般使用的密碼就是客戶的帳號,這很可能在網站的操作界面中暴露客戶帳號。攻擊者僅僅需通過猜測或是尋找其他的有效的密鈅就可以攻擊這些參數。一般來說,這些號碼都是連續的。 實例:2000年的時候,澳大利亞稅務局的網站就遭到黑客的劫持,他通過改變URL地址中的身份認證獲取了關于17,000家企業的詳細資料。黑客通過電子郵件告訴這17,000家公司他們的安全漏洞。 如何保護客戶:使用索引或是迂回的基準圖抑或是其他迂回的方法來避免暴露直接物理session。如果你實在是無法避免暴露,就應該將網站的訪問權只授權給一定的目標群體。 5.偽造跨站請求 問題:這一問題很簡單,但是破壞性極大,這一攻擊會在受害者瀏覽網頁時控制瀏覽器,并且對網頁應用程序發送惡意請求。網站是相當脆弱的,部分原因是因為授權的請求是基于cookie的。銀行就是潛在的目標。安全專家表示網絡中99%的應用程序會對偽造的跨站請求做出回應,是不是曾經真的發生過利用這一漏洞盜取客戶存款的事情呢?可能銀行自身也不知道。對于銀行來說,這只不過是合法用戶的一次正常轉帳而已。 實例:2005年末的時候,一個名叫Samy的黑客利用蠕蟲病毒在MySpace.com網站上獲取了為數超過1000000的用戶信息,其中數以千計的MySpace網頁上自動的出現了“Samy是我的英雄”的字樣。這次攻擊本身的危害性并不大。但是這次事件展示了利用跨站腳本和偽造跨站請求相結合的威力。另外一個例子就是一年之前,Google的一個漏洞允許外部站點隨意修改Google用戶的語言使用偏好。 如何保護用戶:不要完全相信瀏覽器自動接受的信任請求和代號。唯一的解決之道就是不要讓瀏覽器記住你的使用偏好。 6.信息泄露和不恰當的危機處理辦法 問題:應用程序產生和演示的錯誤信息對于黑客來說是很有用的,他們可以借此濫用程序的配置、內部網絡所無意識產生的隱私以及信息泄露。網頁應用程序經常會通過詳細描述或是調試錯誤信息的時候泄露關于系統內部狀態的信息。一般來說,這些信息會引起或是自動發動危害很大的攻擊。 實例:即使有過失處理方案,信息泄露也在所難免;漏洞事件管理程序也難以避免機密數據的泄露。2005年初,ChoicePoint網站的崩潰就屬于這一范疇。大概163,000名顧客的信息受到威脅,因為犯罪分子偽裝成ChoicePoint的合法用戶,然后再公司的個人信息數據庫里搜尋大量注冊用戶的信息。ChoicePoint后來出臺措施限制包含有敏感數據的信息產品的出售。 如何保護用戶:及時利用工具掃描系統中的漏洞或威脅。 7.打破授權和session管理 問題:當應用程序自始自終不能保護信任狀和session標記的時候,用戶和管理員的帳號就有可能遭到劫持。注意隱私安全、授權以及帳號控制的破壞。主要認證機制的漏洞層出不窮,但是漏洞的產生主要是因為附加的認證功能,譬如,注銷、密碼管理、定時設置、密碼問題以及帳戶升級等。 實例:2002年的時候,微軟不得不消除一個存在于Hotmail中的漏洞,這一漏洞會使惡意的Java腳本程序編寫者盜取用戶密碼。這一問題是由一個網絡產品的分銷商發現的,這一漏洞容易遭受含有能夠改變Hotmail操作界面木馬的郵件的攻擊,強迫用戶重輸入密碼,在毫不知情的情況下密碼就泄露給了黑客。 如何保護用戶:通訊和信任狀的存儲必須保證絕對的安全。對于應用程序的認證部分來說,傳輸隱私文件的SSL(Security Socket Layer , 加密套接字協議層)協議是唯一的安全選擇。信任狀必須以復雜和加密的形式儲存起來。 8.不安全的密碼儲存 問題:許多網頁的開發者在儲存數據的時候都忘記加密,即使密碼是大多數網頁應用程序的關鍵的組成部分。有時即使有密碼,那也只不過是非常簡單的密碼而已,難以保證安全。這些漏洞會導致敏感信息的泄露和被黑客利用。 實例:TJX(全球最大的零售商之一)公司的漏洞導致了4570000客戶的信用借記卡號的泄露。加拿大政府的調查顯示是因為該公司沒有升級它的密碼系統以致從從2005年7月開始就受到了電子竊聽。 如何保護客戶:密鈅應該在線下產生,任何時候不使用非安全渠道傳輸個人密鈅。 IT專家網了解到,這些年來儲存信用卡號很流行,但是隨著Payment Card Industry Data Security Standard(信用卡行業數據安全標準)的即將生效,阻止將信用卡號儲存在一起會更加簡單。 9.不安全的通訊 問題:與上一問題類似,也是當敏感信息需要保護的時候,而網絡通信加密卻不能提供相應的保護。攻擊者借此可以訪問未受保護的敏感信息。正是因為這個原因,PCI標準要求信用卡信息在網上的傳輸要加密。 實例:又是TJX公司。華爾街日報報道說,調查人員認為,黑客利用無線滲透盜取收銀機和店面電腦之間的數據交換。令人不解的是,這家年銷售額174億美元的大公司的無線網絡中的安全設備居然會比普通家庭用戶中使用的還少。華爾街日報寫到。TJX過去使用的WEP(WEP--Wired Equivalent Privacy加密技術,WEP安全技術源自于名為RC4的RSA數據加密技術,以滿足用戶更高層次的網絡安全需求)加密系統,而不是更加先進的WPA系統(WPA是一種基于標準的可互操作的WLAN安全性增強解決方案,可大大增強現有以及未來無線局域網系統的安全)。 如何保護客戶:在任何時候傳輸敏感數據(信用卡信息,健康記錄和其他隱私信息)或是認證鏈接的時候,都要使用SSL加密協議。與此同時也要要求你的客戶,合伙人,員工和管理員訪問在線系統的時候使用SSL或是類似的加密協議。利用傳輸層安全或是協議層加密來保護你的基礎組織的安全,譬如網頁服務器和數據庫系統。 10.在控制URL訪問上的失敗 問題:一些網頁在設計的時候的對象只是一部分有特權的人,譬如管理員。但是對于這些網頁卻沒有真正的保護,有時黑客只要通過有根據的猜測就可以找到相應的URL地址。如果一個URL地址指向的的ID是123456,黑客可能會想123457中的是什么呢?這個攻擊瞄準的漏洞叫做強制瀏覽(forced browsing),它會通過猜測鏈接和暴力技術尋找到未受保護的網頁。 實例:今年,Macworld Conference & Expo Web網站上的一個漏洞使用戶免費得到了價值1700美元的白金會員和Steve Jobs的施政演說。這個漏洞評估客戶機上的特權而不是服務器,讓人們免費通過瀏覽器上的Java腳本,而不是通過服務器。 如何保護客戶:不要以為用戶不知道潛在的URL地址。所有的URL地址和商業功能都應該受到一個有效的機制的保護,這一機制要確定用戶的角色和權利。 最后筆者提醒用戶,特別是企業用戶,隨著網絡技術的高速發展,獲取黑客技術以及利用這些技術,已經不再是難題。對網絡的潛在威脅也將隨著黑客技術使用人群的擴大而增加,企業必須認真對待網絡安全事項,避免看似不經意的漏洞,卻給您和您的用戶造成巨大的損失。 該文章在 2011/3/10 0:29:19 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
