|
網(wǎng)站被攻擊的原因
當(dāng)企業(yè)用戶們聽說了太多的關(guān)于個人數(shù)據(jù)被竊的故事之后,網(wǎng)絡(luò)安全已成為企業(yè)用戶們考慮的頭等大事,但是網(wǎng)絡(luò)開發(fā)商卻忽視了安全漏洞給用戶帶來的危險�。
IT顧問Joel Snyder說:“他們完全忽略了安全問題�。當(dāng)你去找你的網(wǎng)站設(shè)計師時,你要找的實(shí)際上是那些可以建立有趣網(wǎng)站的具有創(chuàng)新意識的人��。有趣是第一位的����,可能排在第九位的應(yīng)考慮因素才是網(wǎng)站必須是一個安全的網(wǎng)站。”
他說��,最大的問題是設(shè)計師們不會在網(wǎng)絡(luò)應(yīng)用軟件之間建立保護(hù)機(jī)制來分割和驗(yàn)證系統(tǒng)各部分之間移動的數(shù)據(jù)�����。
Forrester公司高級分析師Khalid Kark說����,安全通常是網(wǎng)站建好之后才會考慮到的事,一般人很少在建站之前考慮它����。
Kark說:“我認(rèn)為�����,大部分網(wǎng)站都是可被攻破的���。問題的癥結(jié)在于設(shè)計師們在建站的時候沒有考慮過安全問題。”
這是個大問題���,也是非贏利性組織Open Web Application Security Project(OWASP )試圖解決的問題之一����。OWASP組織在今年發(fā)布了一篇名為《十大最關(guān)鍵的網(wǎng)絡(luò)應(yīng)用軟件安全漏洞》的報告�����,提高了網(wǎng)絡(luò)開發(fā)員們對安全問題的嚴(yán)重性的認(rèn)識���。
這份報告第一版的清單是在2004年發(fā)布的��,但是OWASP組織的主席Jeff Williams說���,網(wǎng)絡(luò)安全的重要性已經(jīng)提高了。各種新技術(shù),比如AJAX和Rich Internet Applications等能夠讓網(wǎng)站看起來更好看���,但是也給黑客們留下了更多借以攻擊的漏洞����。然而����,要想說服商業(yè)公司的老總們,讓他們明白他們的網(wǎng)站是不安全的也并不是一件容易的事���。
Aspect Security公司的首席執(zhí)行官、聯(lián)合創(chuàng)始人Williams說:“這真是讓人泄氣��,因?yàn)檫@些漏洞很容易找到�����,也很容易被利用���。它就像禿子頭上的蒼蠅一樣醒目��。”
本文歸納了OWASP組織提出的前十大網(wǎng)絡(luò)漏洞����,包括對每個問題的描述、真實(shí)案例以及如何修復(fù)它們���。
1�、跨站腳本(XSS)
問題:XSS漏洞是最普遍和最致命的網(wǎng)絡(luò)應(yīng)用軟件安全漏洞�,當(dāng)一款應(yīng)用軟件將用戶數(shù)據(jù)發(fā)送到不帶認(rèn)證或者不對內(nèi)容進(jìn)行編碼的網(wǎng)絡(luò)瀏覽器時容易發(fā)生。黑客可以利用瀏覽器中的惡意腳本獲得用戶的數(shù)據(jù)��,破壞網(wǎng)站�����,插入有害內(nèi)容���,以及展開釣魚式攻擊和惡意攻擊�����。
真實(shí)案例:惡意攻擊者去年針對Paypal發(fā)起了攻擊���,他們將Paypal用戶重新引導(dǎo)到另一個惡意網(wǎng)站并警告用戶,他們的賬戶已經(jīng)失竊��。用戶們被引導(dǎo)到另一個釣魚式網(wǎng)站上,然后輸入自己的Paypal登錄信息����、社會保險號和信用卡資料。Paypal公司稱���,它在2006年6月修復(fù)了那個漏洞���。
如何保護(hù)用戶:利用一個白名單來驗(yàn)證接到的所有數(shù)據(jù),來自白名單之外的數(shù)據(jù)一律攔截�。另外,還可以對所有接收到的數(shù)據(jù)進(jìn)行編碼�。OWASP說:“驗(yàn)證機(jī)制可以檢測攻擊,編碼則可以防止其他惡意攻擊者在瀏覽器上運(yùn)行的內(nèi)容中插入其他腳本�����。”
2�、注入漏洞
問題:當(dāng)用戶提供的數(shù)據(jù)被作為指令的一部分發(fā)送到轉(zhuǎn)換器(將文本指令轉(zhuǎn)換成可執(zhí)行的機(jī)器指令)的時候����,黑客會欺騙轉(zhuǎn)換器。攻擊者可以利用注入漏洞創(chuàng)建��、讀取、更新或者刪除應(yīng)用軟件上的任意數(shù)據(jù)��。在最壞的情況下�����,攻擊者可以利用這些漏洞完全控制應(yīng)用軟件和底層系統(tǒng)����,甚至繞過系統(tǒng)底層的防火墻。
真實(shí)案例:俄羅斯黑客在2006年1月份攻破了美國羅得島政府網(wǎng)站�,竊取了大量信用卡資料。黑客們聲稱SQL注入攻擊竊取了5.3萬個信用卡賬號���,而主機(jī)服務(wù)供應(yīng)商則聲稱只被竊取了4113個信用卡賬號����。
如何保護(hù)用戶:盡可能不要使用轉(zhuǎn)換器��。OWASP組織說:“如果你必須使用轉(zhuǎn)換器���,那么�����,避免遭受注入攻擊的最好方法是使用安全的API��,比如參數(shù)化指令和對象關(guān)系映射庫���。”
3����、惡意文件執(zhí)行
問題:黑客們可以遠(yuǎn)程執(zhí)行代碼��、遠(yuǎn)程安裝rootkits工具或者完全攻破一個系統(tǒng)��。任何一款接受來自用戶的文件名或者文件的網(wǎng)絡(luò)應(yīng)用軟件都是存在漏洞的�。漏洞可能是用PHP語言寫的,PHP是網(wǎng)絡(luò)開發(fā)過程中應(yīng)用最普遍的一種腳本語言�����。
真實(shí)案例:一位青少年程序員在2002年發(fā)現(xiàn)了Guess.com網(wǎng)站是存在漏洞的�����,攻擊者可以從Guess數(shù)據(jù)庫中竊取20萬個客戶的資料���,包括用戶名����、信用卡號和有效期等�。Guess公司在次年受到聯(lián)邦貿(mào)易委員會調(diào)查之后,同意升級其安全系統(tǒng)�����。
如何保護(hù)用戶:不要將用戶提供的任何文件寫入基于服務(wù)器的資源�,比如鏡像和腳本等。設(shè)定防火墻規(guī)則���,防止外部網(wǎng)站與內(nèi)部系統(tǒng)之間建立任何新的連接����。
4���、不安全的直接對象參照物
問題:攻擊者可以利用直接對象參照物而越權(quán)存取其他對象�����。當(dāng)網(wǎng)站地址或者其他參數(shù)包含了文件�、目錄���、數(shù)據(jù)庫記錄或者關(guān)鍵字等參照物對象時就可能發(fā)生這種攻擊�。
銀行網(wǎng)站通常使用用戶的賬號作為主關(guān)鍵字,這樣就可能在網(wǎng)絡(luò)接口中暴露用戶的賬號��。
OWASP說:“數(shù)據(jù)庫關(guān)鍵字的參照物通常會泄密��。攻擊者可以通過猜想或者搜索另一個有效關(guān)鍵字的方式攻擊這些參數(shù)�。通常,它們都是連續(xù)的�。”
真實(shí)案例:澳大利亞的一個稅務(wù)網(wǎng)站在2000年被一位用戶攻破。那位用戶只是在網(wǎng)站地址中更改了稅務(wù)ID賬號就獲得了1.7萬家企業(yè)的詳細(xì)資料�。黑客以電子郵件的方式通知了那1.7萬家企業(yè),告知它們的數(shù)據(jù)已經(jīng)被破解了�����。
如何保護(hù)用戶:利用索引�����,通過間接參照映射或者另一種間接法來避免發(fā)生直接對象參照物泄密��。如果你不能避免使用直接參照���,那么在使用它們之前必須對網(wǎng)站訪問者進(jìn)行授權(quán)���。
5、跨站指令偽造
問題:這種攻擊簡單但破壞性強(qiáng)�����,它可以控制受害人的瀏覽器然后發(fā)送惡意指令到網(wǎng)絡(luò)應(yīng)用軟件上���。這種網(wǎng)站是很容易被攻擊的�,部分原因是因?yàn)樗鼈兪歉鶕?jù)會話cookie或者“自動記憶”功能來授權(quán)指令的��。各銀行就是潛在的被攻擊目標(biāo)��。
Williams說:“網(wǎng)絡(luò)上99%的應(yīng)用軟件都是易被跨站指令偽造漏洞感染的�,F(xiàn)實(shí)中是否發(fā)生過某人因此被攻擊而損失錢財?shù)氖履兀恳苍S連各銀行都不知道�����。對于銀行來說�����,整個攻擊看起來就像是用戶登錄到系統(tǒng)中進(jìn)行了一次合法的交易。”
真實(shí)案例:一位名叫Samy的黑客在2005年末利用一個蠕蟲在MySpace網(wǎng)站上獲得了100萬個“好友”資料���,在成千上萬個MySpace網(wǎng)頁上自動出現(xiàn)了“Samy是我的英雄”的文字����。攻擊本身也許是無害的�,但是據(jù)說這個案例證明了將跨站腳本與偽造跨站指令結(jié)合在一起所具備的威力。另一個案例發(fā)生在一年前���,Google網(wǎng)站上出現(xiàn)了一個漏洞�,外部網(wǎng)站可以利用那個漏洞改變用戶的語言偏好設(shè)置�����。
如何保護(hù)用戶:不要依賴瀏覽器自動提交的憑證或者標(biāo)識�����。OWASP說:“解決這個問題的唯一方法是使用一種瀏覽器不會記住的自定義標(biāo)識����。”
6、信息泄露和錯誤處理不當(dāng)
問題:各種應(yīng)用軟件產(chǎn)生并顯示給用戶看的錯誤信息對于黑客們來說也是有用的�,那些信息可能將用戶的隱私信息�����、軟件的配置或者其他內(nèi)部資料泄露出去。
OWASP說:“各種網(wǎng)絡(luò)應(yīng)用軟件經(jīng)常通過詳細(xì)或者調(diào)試出錯信息將內(nèi)部狀態(tài)信息泄露出去�。通常,這些信息可能會導(dǎo)致用戶系統(tǒng)受到更有力的攻擊���。”
真實(shí)案例:信息泄露是通過錯誤處理不當(dāng)發(fā)生的���,ChoicePoint在2005年的崩潰就是這種類型的典型案例。攻擊者假扮是ChoicePoint的合法用戶在公司人員信息數(shù)據(jù)庫中尋找某個人的資料�����,隨后竊取了16.3萬個消費(fèi)者的記錄資料�����。ChoicePoint后來對包含敏感數(shù)據(jù)的信息產(chǎn)品的銷售進(jìn)行了限制���。
如何保護(hù)用戶:利用測試工具��,比如OWASP的WebScarab Project等來查看應(yīng)用軟件出現(xiàn)的錯誤信息�����。OWASP說:“未通過這種方法進(jìn)行測試的應(yīng)用軟件幾乎肯定會出現(xiàn)意外錯誤信息��。”
另一個方法是:禁止或者限制在錯誤處理中使用詳細(xì)信息���,不向用戶顯示調(diào)試信息�。
7��、不安全的認(rèn)證和會話管理
問題:如果應(yīng)用軟件不能自始至終地保護(hù)認(rèn)證證書和會話標(biāo)識���,用戶的管理員賬戶就會被攻破�����。應(yīng)注意隱私侵犯和認(rèn)證系統(tǒng)的基礎(chǔ)原理并進(jìn)行有效監(jiān)控��。
OWASP說:“主要驗(yàn)證機(jī)制中經(jīng)常出現(xiàn)各種漏洞��,但是攻擊往往是通過注銷��、密碼管理���、限時登錄�����、自動記憶���、秘密問題和賬戶更新等輔助驗(yàn)證功能展開的。”
真實(shí)案例:微軟公司曾經(jīng)消除過Hotmail中的一個漏洞��,惡意Java腳本程序員曾經(jīng)在2002年利用這個漏洞竊取了許多用戶密碼�。這個漏洞是一家聯(lián)網(wǎng)產(chǎn)品轉(zhuǎn)售商發(fā)現(xiàn)的�,包含木馬程序的電子郵件可以利用這個漏洞更換Hotmail用戶的操作界面,迫使用戶不斷重新輸入他們的密碼�����,并在用戶不知情的情況下將它們發(fā)送給黑客����。
如何保護(hù)用戶:通信與認(rèn)證證書存儲應(yīng)確保安全性。傳輸私人文件的SSL協(xié)議應(yīng)該是應(yīng)用軟件認(rèn)證系統(tǒng)中的唯一選擇�����,認(rèn)證證書應(yīng)以加密的形式進(jìn)行保存���。
另一個方法是:除去認(rèn)證或者會話管理中使用的自定義cookie��。
8���、不安全的加密存儲設(shè)備
問題:雖然加密本身也是大部分網(wǎng)絡(luò)應(yīng)用軟件中的一個重要組成部分����,但是許多網(wǎng)絡(luò)開發(fā)員沒有對存儲中的敏感數(shù)據(jù)進(jìn)行加密���。即便是現(xiàn)有的加密技術(shù)���,其設(shè)計也是粗制濫造的。
OWASP說:“這些漏洞可能會導(dǎo)致用戶敏感數(shù)據(jù)外泄以及破壞系統(tǒng)的一致性����。”.
真實(shí)案例:TJX數(shù)據(jù)失竊案中,被竊取的信用卡和提款卡賬號達(dá)到了4570萬個�。加拿大政府調(diào)查后認(rèn)為,TJX未能升級其數(shù)據(jù)加密系統(tǒng)���。
如何保護(hù)用戶:不要開發(fā)你自己的加密算法�����。最好只使用已經(jīng)經(jīng)過審批的公開算法��,比如AES���、RSA公鑰加密以及SHA-256或者更好的SHA-256����。
另外�����,千萬不要在不安全渠道上傳送私人資料����。
OWASP說�����,現(xiàn)在將信用卡賬號保存起來是比較常見的做法����,但是明年就是《信用卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》發(fā)布的最后期限,以后將不再將信用卡賬號保存起來�。
9��、不安全的通信
問題:與第8種漏洞類似�����,這種漏洞出現(xiàn)的原因是因?yàn)樵谛枰獙Π舾行畔⒌耐ㄐ胚M(jìn)行保護(hù)時沒有將網(wǎng)絡(luò)流通的數(shù)據(jù)進(jìn)行加密���。攻擊者們可以獲得包括證書和敏感信息的傳送在內(nèi)的各種不受保護(hù)的會話內(nèi)容。因此��,PCI標(biāo)準(zhǔn)要求對網(wǎng)絡(luò)上傳輸?shù)男庞每ㄐ畔⑦M(jìn)行加密��。
真實(shí)案例:這次又是一個關(guān)于TJX的例子����。華爾街日報的報道稱,調(diào)查員們認(rèn)為����,黑客利用了一種類似于望遠(yuǎn)鏡的天線和筆記本電腦來竊取通過無線方式傳輸?shù)挠脩魯?shù)據(jù)。
有報道稱:“眾多零售商的無線網(wǎng)絡(luò)安全性還比不上許多人自己的局域網(wǎng)�����。TJX使用的是WEP加密系統(tǒng)而不是安全性更好的WPA加密系統(tǒng)。
如何保護(hù)用戶:在所有經(jīng)過認(rèn)證的連接上利用SSL�,或者在敏感信息傳輸過程中使用SSL。SSL或者類似的加密協(xié)議應(yīng)該加載在客戶端�、與在線系統(tǒng)有關(guān)的合作伙伴、員工和管理員賬戶上���。利用傳輸層安全或者協(xié)議級加密系統(tǒng)來保護(hù)基礎(chǔ)結(jié)構(gòu)各部分之間的通信����,比如網(wǎng)絡(luò)服務(wù)器與數(shù)據(jù)庫系統(tǒng)之間的通信����。
10、未對網(wǎng)站地址的訪問進(jìn)行限制
問題:有些網(wǎng)頁的訪問應(yīng)該是受限于一小部分特權(quán)用戶����,比如管理員���。然而這些網(wǎng)頁通常并不具備真正的保護(hù)系統(tǒng)�����,黑客們可以通過猜測的方式找出這些地址���。 Williams說�,如果某個網(wǎng)站地址對應(yīng)的ID號是123456����,那么黑客會猜想123457對應(yīng)的地址是什么呢?
OWASP說�����,針對這種漏洞的攻擊被稱作強(qiáng)迫瀏覽�����,通過猜測的方式去猜周圍的鏈接并找出未經(jīng)保護(hù)的網(wǎng)頁��。
真實(shí)案例:Macworld Conference大會網(wǎng)站上有一個漏洞��,用戶可以免費(fèi)獲得價值1700美元的高級訪問權(quán)限和史蒂夫·喬布斯的演講內(nèi)容�����。這個漏洞是在客戶端而非服務(wù)器上評定用戶的訪問權(quán)限的���,這樣人們就可以通過瀏覽器中的Java腳本獲得免費(fèi)權(quán)限����。
如何保護(hù)用戶:不要以為用戶們不知道隱藏的地址。所有的網(wǎng)站地址和業(yè)務(wù)功能都應(yīng)受到一個有效訪問控制機(jī)制的保護(hù)�,這個機(jī)制可以檢驗(yàn)用戶的身份和權(quán)限。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
