如何保护客户:不要使用户以任何形式的文件名的输入数据进入以服务器的基础资源。譬如说包含有脚本或图像的资源。设置防火墙阻止新的链接访问站点和内部系统。
4.不安全的session
问题:攻击者会操控直接session来获得未经授权的对其他对象的访问。当URL地址或是其他形式参数中包含有文件,文件目录或是数据库记录密鈅的时候,这种危险就有可能发生。银行的网站一般使用的密码就是客户的帐号,这很可能在网站的操作界面中暴露客户帐号。攻击者仅仅需通过猜测或是寻找其他的有效的密鈅就可以攻击这些参数。一般来说,这些号码都是连续的。”
实例:2000年的时候,澳大利亚税务局的网站就遭到黑客的劫持,他通过改变URL地址中的身份认证获取了关于17,000家企业的具体资料。黑客通过电子邮件告诉这17,000家公司他们的安全漏洞。
如何保护客户:使用索引或是迂回的基准图抑或是其他迂回的方法来避免暴露直接物理session。假如你实在是无法避免暴露,就应该将网站的访问权只授权给一定的目标群体。
5.伪造跨站请求
问题:这一问题很简单,但是破坏性极大,这一攻击会在受害者浏览网页时控制浏览器,并且对网页应用程序发送恶意请求。网站是相当脆弱的,部分原因是因为授权的请求是基于cookie的。银行就是潜在的目标。安全专家表示网络中99%的应用程序会对伪造的跨站请求做出回应,是不是曾经真的发生过利用这一漏洞盗取客户存款的事情呢?可能银行自身也不知道。对于银行来说,这只不过是合法用户的一次正常转帐而已。”
实例:2005年末的时候,一个名叫Samy的黑客利用蠕虫病毒在MySpace.com网站上获取了为数超过1000000的用户信息,其中数以千计的MySpace网页上自动的出现了“Samy是我的英雄”的字样。这次攻击本身的危害性并不大。但是这次事件展示了利用跨站脚本和伪造跨站请求相结合的威力。另外一个例子就是一年之前,Google的一个漏洞答应外部站点随意修改Google用户的语言使用偏好。
如何保护用户:不要完全相信浏览器自动接受的信任请求和代号。唯一的解决之道就是不要让浏览器记住你的使用偏好。
6.信息泄露和不恰当的危机处理办法
问题:应用程序产生和演示的错误信息对于黑客来说是很有用的,他们可以借此滥用程序的配置、内部网络所无意识产生的隐私以及信息泄露。网页应用程序经常会通过具体描述或是调试错误信息的时候泄露关于系统内部状态的信息。一般来说,这些信息会引起或是自动发动危害很大的攻击。
实例:即使有过失处理方案,信息泄露也在所难免;漏洞事件治理程序也难以避免机密数据的泄露。2005年初,ChoicePoint网站的崩溃就属于这一范畴。大概163,000名顾客的信息受到威胁,因为犯罪分子伪装成ChoicePoint的合法用户,然后再公司的个人信息数据库里搜寻大量注册用户的信息。ChoicePoint后来出台措施限制包含有敏感数据的信息产品的出售。
如何保护用户:及时利用工具扫描系统中的漏洞或威胁。
7.打破授权和session治理
问题:当应用程序自始自终不能保护信任状和session标记的时候,用户和治理员的帐号就有可能遭到劫持。注重隐私安全、授权以及帐号控制的破坏。主要认证机制的漏洞层出不穷,但是漏洞的产生主要是因为附加的认证功能,譬如,注销、密码治理、定时设置、密码问题以及帐户升级等。
实例:2002年的时候,微软不得不消除一个存在于Hotmail中的漏洞,这一漏洞会使恶意的Java脚本程序编写者盗取用户密码。这一问题是由一个网络产品的分销商发现的,这一漏洞轻易遭受含有能够改变Hotmail操作界面木马的邮件的攻击,强迫用户重输入密码,在毫不知情的情况下密码就泄露给了黑客。
评论加载中…
 |