OWASP说:“主要验证机制中经常出现各种漏洞,但是攻击往往是通过注销、密码治理、限时登录、自动记忆、秘密问题和账户更新等辅助验证功能展开的。”
■ 真实案例:微软公司曾经消除过Hotmail中的一个漏洞,恶意Java脚本程序员曾经在2002年利用这个漏洞窃取了许多用户密码。这个漏洞是一家联网产品转售商发现的,包含木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面,迫使用户不断重新输入他们的密码,并在用户不知情的情况下将它们发送给黑客。
■ 如何保护用户:通信与认证证书存储应确保安全性。传输私人文件的SSL协议应该是应用软件认证系统中的唯一选择,认证证书应以加密的形式进行保存。
另一个方法是:除去认证或者会话治理中使用的自定义cookie。
8、不安全的加密存储设备
■ 问题:虽然加密本身也是大部分网络应用软件中的一个重要组成部分,但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术
,其设计也是粗制滥造的。
OWASP说:“这些漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”.
■ 真实案例:TJX数据失窃案中,被窃取的信用卡和提款卡账号达到了4570万个。加拿大政府调查后认为,TJX未能升级其数据加密系统。
■ 如何保护用户:不要开发你自己的加密算法。最好只使用已经经过审批的公开算法,比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。
另外,千万不要在不安全渠道上传送私人资料。
OWASP说,现在将信用卡账号保存起来是比较常见的做法,但是明年就是《信用卡行业数据安全标准》发布的最后期限,以后将不再将信用卡账号保存起来。
9、不安全的通信
■ 问题:与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。
■ 真实案例:这次又是一个关于TJX的例子。华尔街日报的报道称,调查员们认为,黑客利用了一种类似于望远镜的天线和笔记本电脑来窃取通过无线方式传输的用户数据。
有报道称:“众多零售商的无线网络安全性还比不上许多人自己的局域网。TJX使用的是WEP加密系统而不是安全性更好的WPA加密系统。
■ 如何保护用户:在所有经过认证的连接上利用SSL,或者在敏感信息传输过程中使用SSL。SSL或者类似的加密协议应该加载在客户端、与在线系统有关的合作伙伴、员工和治理员账户上。利用传输层安全或者协议级加密系统来保护基础结构各部分之间的通信,比如网络服务器与数据库系统之间的通信。
10、未对网站地址的访问进行限制
■ 问题:有些网页的访问应该是受限于一小部分特权用户,比如治理员。然而这些网页通常并不具备真正的保护系统,黑客们可以通过猜测的方式找出这些地址。 Williams说,假如某个网站地址对应的ID号是123456,那么黑客会猜想123457对应的地址是什么呢?
OWASP说,针对这种漏洞的攻击被称作强迫浏览,通过猜测的方式去猜四周的链接并找出未经保护的网页。
■ 真实案例:Macworld Conference大会网站上有一个漏洞,用户可以免费获得价值1700美元的高级访问权限和史蒂夫·乔布斯的演讲内容。这个漏洞是在客户端而非服务器上评定用户的访问权限的,这样人们就可以通过浏览器中的Java脚本获得免费权限。
■ 如何保护用户:不要以为用户们不知道隐藏的地址。所有的网站地址和业务功能都应受到一个有效访问控制机制的保护,这个机制可以检验用户的身份和权限。
评论加载中…
 |