安全組織9日發(fā)布2007年十大Web安全漏洞,而利用網(wǎng)頁及cookies寫作漏洞的跨站腳本攻擊(XSS)登上首位.
開放Web軟件安全計(jì)劃(Open Web Application Security
Project,OWASP)臺灣分會今發(fā)表2007十大Web安全漏洞,年初曾發(fā)生在知名文件閱讀器Adobe Acrobat
Reader上的跨站腳本攻擊(Cross Site Scripting,XSS)居首位.
而上周疑似使微軟英國網(wǎng)站被駭?shù)碾[碼攻擊(Injection Flaw,包括SQL Injection及Command
Injection)居次,第三位則是Web應(yīng)用程序引入外部惡意程序的惡意文件執(zhí)行攻擊(Malicious File Execution).
OWASP臺灣分會主席黃耀文在新聞稿中表示,該安全漏洞報(bào)告乃經(jīng)由OWASP的資深安全專家,依Web安全弱點(diǎn)的嚴(yán)重性����、與是否易于被黑客采用等依據(jù)所選出,作為網(wǎng)站開發(fā)人員開發(fā)時的安全參考.
在Web 2.0流行風(fēng)潮下,新的網(wǎng)頁應(yīng)用程序開發(fā)與相關(guān)技術(shù)(如AJAX)的應(yīng)用,成為網(wǎng)站欲出奇致勝的重點(diǎn),但在網(wǎng)站經(jīng)營者爭相提供創(chuàng)新網(wǎng)頁服務(wù)的情況下,網(wǎng)頁應(yīng)用程序的安全性也成為新的問題.
趨勢科技臺灣技術(shù)顧問簡勝財(cái)便指出,包括跨站腳本攻擊與數(shù)據(jù)隱碼攻擊等上榜漏洞,多半都是因網(wǎng)頁應(yīng)用程序?qū)懽鞑划?dāng),才產(chǎn)生讓黑客得以入侵的漏洞.
他認(rèn)為,網(wǎng)頁應(yīng)用程序開發(fā)人員多半缺乏安全相關(guān)訓(xùn)練,導(dǎo)致開發(fā)出的程序可能存在漏洞,導(dǎo)致黑客得以入侵網(wǎng)頁,進(jìn)而竄改網(wǎng)頁、植入惡意程序,或偷取數(shù)據(jù),他認(rèn)為,企業(yè)網(wǎng)頁開發(fā)人員進(jìn)行網(wǎng)頁程序開發(fā)時,應(yīng)更嚴(yán)謹(jǐn),避免類似事件再次發(fā)生.
他并以6月底發(fā)生在意大利等歐洲國家,萬余網(wǎng)站遭入侵的事件為例解釋,黑客已可利用特殊工具包(toolkit),主動搜索網(wǎng)站漏洞,進(jìn)而入侵�、竄改網(wǎng)頁內(nèi)容,甚至造成大規(guī)模網(wǎng)災(zāi),提醒網(wǎng)頁應(yīng)用漏洞的普遍性,以及一旦遭黑客利用所可能造成的嚴(yán)重后果.
廠商則建議企業(yè)采用網(wǎng)頁應(yīng)用防護(hù)設(shè)備設(shè)備來檢測網(wǎng)站漏洞.
例如阿碼科技(Armorize Technologies)即推出網(wǎng)頁應(yīng)用程序原始碼檢測器CodeSecure
Verifier,以自動靜態(tài)分析(Automated Static
Analysis)技術(shù),提供網(wǎng)頁應(yīng)用程序開發(fā)人員從開發(fā)過程到上線后的開發(fā)生命周期的原始程序代碼分析.
至于NetContinuum、F5與Check Point等廠商,則是推出網(wǎng)頁應(yīng)用防火墻(Web Application Firewall),或?qū)⑵涔δ苷⑷肴鏤TM等網(wǎng)絡(luò)安全硬件中,以阻隔針對網(wǎng)頁應(yīng)用而來的攻擊的方式,達(dá)到保護(hù)網(wǎng)頁應(yīng)用安全性的目標(biāo).
OWASP 2007十大Web安全漏洞第四至第十名分別為:應(yīng)用程序可任意訪問文件的Insecure Direct Object
Reference��、讓合法使用者執(zhí)行惡意程序指令卻可能被允許的Cross-Site Request
Forgery(CSRF)���、錯誤信息泄露機(jī)密數(shù)據(jù)的Information Leakage and Improper Error
Handling����、身份驗(yàn)證功能缺陷的Broken Authentication and Session
Management����、敏感數(shù)據(jù)加密不安全或無加密的Insecure Cryptographic Storage、傳輸數(shù)據(jù)未加密Insecure
Communication,以及因無權(quán)限控制導(dǎo)致可直接存取數(shù)據(jù)的Failure to Restrict URL Access.
ZDNet消息
