■ 真实案例:一位青少年程序员在2002年发现了Guess.com网站是存在漏洞的,攻击者可以从Guess数据库中窃取20万个客户的资料,包括用户名、信用卡号和有效期等。Guess公司在次年受到联邦贸易委员会调查之后,同意升级其安全系统。
■ 如何保护用户:不要将用户提供的任何文件写入基于服务器的资源,比如镜像和脚本等。设定防火墙规则,防止外部网站与内部系统之间建立任何新的连接。
4、不安全的直接对象参照物
■ 问题:攻击者可以利用直接对象参照物而越权存取其他对象。当网站地址或者其他参数包含了文件、目录、数据库记录或者要害字等参照物对象时就可能发生这种攻击。
银行网站通常使用用户的账号作为主要害字,这样就可能在网络接口中暴露用户的账号。
OWASP说:“数据库要害字的参照物通常会泄密。攻击者可以通过猜想或者搜索另一个有效要害字的方式攻击这些参数。通常,它们都是连续的。”
■ 真实案例:澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的具体资料。黑客以电子邮件的方式通知了那1.7万家企业,告知它们的数据已经被破解了。
■ 如何保护用户:利用索引,通过间接参照映射或者另一种间接法来避免发生直接对象参照物泄密。假如你不能避免使用直接参照,那么在使用它们之前必须对网站访问者进行授权。
5、跨站指令伪造
■ 问题:这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很轻易被攻击的,部分原因是因为
它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。
Williams说:“网络上99%的应用软件都是易被跨站指令伪造漏洞感染的。现实中是否发生过某人因此被攻击而损失钱财的事呢?也许连各银行都不知道。对于银行来说,整个攻击看起来就像是用户登录到系统中进行了一次合法的交易。”
■ 真实案例:一位名叫Samy的黑客在2005年末利用一个蠕虫在MySpace网站上获得了100万个“好友”资料,在成千上万个MySpace网页上自动出现了“Samy是我的英雄”的文字。攻击本身也许是无害的,但是据说这个案例证实了将跨站脚本与伪造跨站指令结合在一起所具备的威力。另一个案例发生在一年前,Google网站上出现了一个漏洞,外部网站可以利用那个漏洞改变用户的语言偏好设置。
■ 如何保护用户:不要依靠浏览器自动提交的凭证或者标识。OWASP说:“解决这个问题的唯一方法是使用一种浏览器不会记住的自定义标识。”
6、信息泄露和错误处理不当
■ 问题:各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。
OWASP说:“各种网络应用软件经常通过具体或者调试出错信息将内部状态信息泄露出去。通常,这些信息可能会导致用户系统受到更有力的攻击。”
■ 真实案例:信息泄露是通过错误处理不当发生的,ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料,随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。
■ 如何保护用户:利用测试工具,比如OWASP的WebScarab Project等来查看应用软件出现的错误信息。OWASP说:“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”
另一个方法是:禁止或者限制在错误处理中使用具体信息,不向用户显示调试信息。
7、不安全的认证和会话治理
■ 问题:假如应用软件不能自始至终地保护认证证书和会话标识,用户的治理员账户就会被攻破。应注重隐私侵犯和认证系统的基础原理并进行有效监控。
评论加载中…
 |