国际安详组织新宣布:2004年十大网络应用裂痕
IT安详专业人士的开放网络应用安详打算组织(OWASP)宣布的第二份年度十大网络应用安详单薄环节列表中,增加了“拒绝提供处事”范例的隐患,因为在去年该范例的隐患已多如牛毛。OWASP的主席兼“奠定石”(一家提供计谋安详处事的公司)参谋会主任柯费·马克称:“我们预测:今年度,主要的电子商务网站将遭到拒绝提供处事的进攻,因为黑客已经对浩瀚的用户暗码感想厌烦。”好比:当一名把握着大量电子邮件帐号的黑客提倡进攻,致使电子商务网站上的用户暗码被修改时,他便到手了。
当柯费在Charles
Schwab从事IT安详事情时,他和其他公司的同行组建了OWASP,并开始着手对与掩护网站安详相关的重大问题举办评定。最终,在随后的一年他们颁发了一份近200页的OWASP指导性文献。这份资料直接面向IT安详专业人士和编程人员,其下载次数多达150万次。
柯费说:“它被承认的水平远远超乎我们的预计。”可是,编程人员却说:他们需要某种能拿给CIO和其他主管人员看的对象,因此,去年该机构宣布了它的第一份《十大网络应用安详单薄环节列表》。此处是2004年的十大单薄环节名列:
未履历证的参数:某信息在被一种网络应用软件利用之前未被验证其正当性,进攻者可以操作这种信息进攻后方应用软件组件。
失效的会见节制:节制各类授权用户的会见权限的限制性条件施用不妥,造成进攻者操作这些裂痕会见其它用户的帐户可能利用非经授权的成果。
失效的帐户及对话打点:帐户证书和对话权标没有获得妥当的掩护,导致进攻者对暗码、密钥、对话信息可能权标实施犯科操纵,并以其它用户的身份通过认证;
跨站点剧本裂痕:网络应用软件可以被进攻者用作一种将进攻转移至终端用户的欣赏器的装置。一次乐成的进攻可以获取到终端用户的对话信息或可以伪造内容以欺骗用户。
缓冲溢出:以某些无法正确验证输入信息的语言编写的网络应用软件措施组件很大概会毁掉某个历程;同时,在某些环境下,也能被用于节制某个历程。这些组件大概包罗民众网关接口(CGI)、措施库、驱动措施和网络应用软件处事器组件。
呼吁注入裂痕:当网络应用软件会见外部系统可能是当地操纵系统时,网络应用软件大概会通报出一些参数。假如进攻者可以或许在这些参数中嵌入一些恶意呼吁,那么外部系统大概会以这种网络应用软件的名义来执行这些呼吁。
错误的非正确处理惩罚:在用户对系统举办正常操纵的进程中呈现一些错误,这些错误没有获得正确的处理惩罚。在这种环境下,进攻者可以或许操作这些错误获取到具体的系统信息、拒绝处事、引起安详系统瘫痪可能摧毁处事器。
非安详存储:利用加密成果来掩护信息和证书的网络应用软件,业已颠末证实难以正常举办编码,从而导致掩护成果的弱化。
拒绝提供处事:如上所述,进攻者非常耗损网络应用资源,乃至其他正当用户再无法操作这些资源或利用应用措施。进攻者还可以封闭用户的帐户或导致无法举办帐户申请。
非安详的设置打点:拥有一个过得硬的处事器设置尺度对付掩护网络应用软件来说是至关重要的。这些处事器有很多可以影响到安详的设置选项,假如选择错误将使其失去安详性。“网络应用安详面对着各类挑战,”柯费说。“很多问题是人的逻辑问题,这些问题是永远无法用技妙手段找获得的。没有什么灵丹灵药。它是一道逻辑上的困难,一类有待办理的新问题。”
您大概感乐趣的文章: