问题:这一问题很简单,但是破坏性极大,这一攻击会在受害者浏览网页时控制浏览器,并且对网页应用程序发送恶意请求。网站是相当脆弱的,部分原因是因为授权的请求是基于cookie的。银行就是潜在的目标。安全专家表示网络中99%的应用程序会对伪造的跨站请求做出回应,是不是曾经真的发生过利用这一漏洞盗取客户存款的事情呢?可能银行自身也不知道。对于银行来说,这只不过是合法用户的一次正常转帐而已。”
实例:2005年末的时候,一个名叫Samy的黑客利用蠕虫病毒在MySpace.com网站上获取了为数超过1000000的用户信息,其中数以千计的MySpace网页上自动的出现了“Samy是我的英雄”的字样。这次攻击本身的危害性并不大。但是这次事件展示了利用跨站脚本和伪造跨站请求相结合的威力。另外一个例子就是一年之前,Google的一个漏洞允许外部站点随意修改Google用户的语言使用偏好。
如何保护用户:不要完全相信浏览器自动接受的信任请求和代号。唯一的解决之道就是不要让浏览器记住你的使用偏好。
6.信息泄露和不恰当的危机处理办法
问题:应用程序产生和演示的错误信息对于黑客来说是很有用的,他们可以借此滥用程序的配置、内部网络所无意识产生的隐私以及信息泄露。网页应用程序经常会通过详细描述或是调试错误信息的时候泄露关于系统内部状态的信息。一般来说,这些信息会引起或是自动发动危害很大的攻击。
实例:即使有过失处理方案,信息泄露也在所难免;漏洞事件管理程序也难以避免机密数据的泄露。2005年初,ChoicePoint网站的崩溃就属于这一范畴。大概163,000名顾客的信息受到威胁,因为犯罪分子伪装成ChoicePoint的合法用户,然后再公司的个人信息数据库里搜寻大量注册用户的信息。ChoicePoint后来出台措施限制包含有敏感数据的信息产品的出售。
如何保护用户:及时利用工具扫描系统中的漏洞或威胁。
7.打破授权和session管理
问题:当应用程序自始自终不能保护信任状和session标记的时候,用户和管理员的帐号就有可能遭到劫持。注意隐私安全、授权以及帐号控制的破坏。主要认证机制的漏洞层出不穷,但是漏洞的产生主要是因为附加的认证功能,譬如,注销、密码管理、定时设置、密码问题以及帐户升级等。
实例:2002年的时候,微软不得不消除一个存在于Hotmail中的漏洞,这一漏洞会使恶意的Java脚本程序编写者盗取用户密码。这一问题是由一个网络产品的分销商发现的,这一漏洞容易遭受含有能够改变Hotmail操作界面木马的邮件的攻击,强迫用户重输入密码,在毫不知情的情况下密码就泄露给了黑客。
如何保护用户:通讯和信任状的存储必须保证绝对的安全。对于应用程序的认证部分来说,传输隐私文件的SSL(Security Socket Layer , 加密套接字协议层)协议是唯一的安全选择。信任状必须以复杂和加密的形式储存起来。
8.不安全的密码储存
问题:许多网页的开发者在储存数据的时候都忘记加密,即使密码是大多数网页应用程序的关键的组成部分。有时即使有密码,那也只不过是非常简单的密码而已,难以保证安全。这些漏洞会导致敏感信息的泄露和被黑客利用。
实例:TJX(全球最大的零售商之一)公司的漏洞导致了4570000客户的信用借记卡号的泄露。加拿大政府的调查显示是因为该公司没有升级它的密码系统以致从从2005年7月开始就受到了电子窃听。
如何保护客户:密鈅应该在线下产生,任何时候不使用非安全渠道传输个人密鈅。
IT专家网了解到,这些年来储存信用卡号很流行,但是随着Payment Card Industry Data Security Standard(信用卡行业数据安全标准)的即将生效,阻止将信用卡号储存在一起会更加简单。
9.不安全的通讯
问题:与上一问题类似,也是当敏感信息需要保护的时候,而网络通信加密却不能提供相应的保护。攻击者借此可以访问未受保护的敏感信息。正是因为这个原因,PCI标准要求信用卡信息在网上的传输要加密。
实例:又是TJX公司。华尔街日报报道说,调查人员认为,黑客利用无线渗透盗取收银机和店面电脑之间的数据交换。令人不解的是,这家年销售额174亿美元的大公司的无线网络中的安全设备居然会比普通家庭用户中使用的还少。华尔街日报写到。TJX过去使用的WEP(WEP--Wired Equivalent Privacy加密技术,WEP安全技术源自于名为RC4的RSA数据加密技术,以满足用户更高层次的网络安全需求)加密系统,而不是更加先进的WPA系统(WPA是一种基于标准的可互操作的WLAN安全性增强解决方案,可大大增强现有以及未来无线局域网系统的安全)。
如何保护客户:在任何时候传输敏感数据(信用卡信息,健康记录和其他隐私信息)或是认证链接的时候,都要使用SSL加密协议。与此同时也要要求你的客户,合伙人,员工和管理员访问在线系统的时候使用SSL或是类似的加密协议。利用传输层安全或是协议层加密来保护你的基础组织的安全,譬如网页服务器和数据库系统。
10.在控制URL访问上的失败
问题:一些网页在设计的时候的对象只是一部分有特权的人,譬如管理员。但是对于这些网页却没有真正的保护,有时黑客只要通过有根据的猜测就可以找到相应的URL地址。如果一个URL地址指向的的ID是123456,黑客可能会想123457中的是什么呢?这个攻击瞄准的漏洞叫做强制浏览(forced browsing),它会通过猜测链接和暴力技术寻找到未受保护的网页。
实例:今年,Macworld Conference & Expo Web网站上的一个漏洞使用户免费得到了价值1700美元的白金会员和Steve Jobs的施政演说。这个漏洞评估客户机上的特权而不是服务器,让人们免费通过浏览器上的Java脚本,而不是通过服务器。
如何保护客户:不要以为用户不知道潜在的URL地址。所有的URL地址和商业功能都应该受到一个有效的机制的保护,这一机制要确定用户的角色和权利。
最后笔者提醒用户,特别是企业用户,随着网络技术的高速发展,获取黑客技术以及利用这些技术,已经不再是难题。对网络的潜在威胁也将随着黑客技术使用人群的扩大而增加,企业必须认真对待网络安全事项,避免看似不经意的漏洞,却给您和您的用户造成巨大的损失。